Társvezérlők, akik a HAAS Avocats adatait birtokolják

Stéphane ASTIER és Florian PERRETIN

A gazdaság fejlődése most az adatok körül forog. Az ezen adatok ellenőrzéséhez kapcsolódó kérdések a stratégiai helyzetmeghatározás és a piaci részesedés megszerzése szempontjából valóban jelentősek és közvetlenül kapcsolódnak egy lényeges kérdéshez: az adatok tulajdonjogához.

A 21. század valódi "olaja", a most hozzáférhető óriási mennyiségű adat sokszoros felhasználás tárgyát képezi a gyűjtésüktől a visszatérésig. Ez a kizsákmányolás még önálló tudománysá is vált, a " adattudomány ".

Ezen a területen a szolgáltatók szakosodtak, és ma már gyakran előfordul, hogy több érdekeltet találunk azonos kezeléshez, különösen az API-k megoldáson belüli megvalósításával. Az egyes főszereplők által létrehozott adatbázisok kiegészítik egymást, átfedik egymást és összekapcsolódnak; annyi interakció, amely hozzájárult a feldolgozással kapcsolatos társfelelősség fogalmának meghatározásához, különös tekintettel a 2016. április 26-i európai általános adatvédelmi rendeletre (a továbbiakban GDPR) .

Szembesítse ma az adat tulajdonjogának kérdését a feldolgozással kapcsolatos társfelelősség fogalmával kétségtelenül az egyik legkényesebb kérdés, amelyet egy ellenőrzött digitális stratégia keretében kell kezelni. Kétségtelen, hogy a jövőbeli adatvédelmi tisztviselőknek rendszeresen foglalkozniuk kell majd ezzel.

Az a lehetőség, hogy visszatérjünk a kulcsfogalmakhoz, lehetővé téve számunkra, hogy ezt a kérdést globálisan megvizsgáljuk.

1. A "vezérlő"/"társvezérlő"/"processzor" fogalmak

A "kontroller" és a "processzor" fogalmai központi szerepet játszanak annak meghatározásában, hogy kinek van ellenőrzése az adatok felett, a megvalósított adatbázisok tulajdonjogában, és ami még inkább a hozzáférés a megvalósított kezelésekből és szolgáltatásokból származó jövedelemhez.

A felelős vagy alvállalkozó meghatározásához a személyes adatokra vonatkozó jogszabályok, nevezetesen az adatvédelmi törvény és a GDPR alkalmazására kell támaszkodni. .

A két fogalom a kezelés felelősségének területén érdekli őket. A vezérlő és a processzor között van egy köztes állapot, a "társvezérlő", amely leggyakrabban független a megvalósított eszközöktől, de függ a feldolgozás céljától, mivel kapcsolódik a többi felelős társvezérlőhöz. Kulcsfogalmak, amelyek tisztázása szükséges.

Az "adatkezelő" az a természetes vagy jogi személy, közhatalmi szerv, osztály vagy más szerv, amely egyedül vagy másokkal együtt meghatározza az adatkezelés céljait és eszközeit.

Ez a meghatározás három pont körül forog:

  • Az egyéni szempont: "Természetes vagy jogi személy, közhatalmi szerv, szolgálat vagy más szerv";
  • Az alapvető elemek, amelyek lehetővé teszik az adatkezelő megkülönböztetését a processzortól: "Meghatározza a feldolgozás céljait és eszközeit";
  • A megosztott felelősség lehetősége több adatkezelő között, amelyeket akkor társadat-adatkezelőknek tekintenek: "Egyedül vagy másokkal együtt" .

Amikor a vezérlő szerepének kiosztása céljából meg kell határozni a célokat és az eszközöket, a fő kérdés felmerül, hogy ez a meghatározás mennyire pontos a feldolgozásban. A "cél" és a "jelentés" fogalma a feldolgozási tevékenység "miért" és "hogyan" kifejezésére utal. Ezek a fogalmak a kezelés sajátos környezetétől függően változhatnak, és csak a pragmatikus megközelítés teszi lehetővé ezen elemek kontextusba helyezését.

„Társvezérlőkről” beszélünk, amikor két vagy több vezérlő közösen határozza meg a feldolgozás céljait és eszközeit. A társadatkezelőknek átláthatóan meg kell határozniuk kötelezettségeiket annak érdekében, hogy az adatvédelemre vonatkozó jogszabályi rendelkezések betartását megállapodás útján biztosítsák, amelynek vázlatát az adatkezelés által érintett személy rendelkezésére bocsátják. Ez a megállapodás - amely pontos formalizálást feltételez - a gyakorlatban sok szabadságot hagy a társellenőrre. A gyakorlatias megközelítés alkalmazásával az európai jogalkotó tisztában van azzal, hogy a helyzettől függően az érdekelt felek több fokú részvétele zajlik a feldolgozásban, ezért szükségszerűen több fokú társfelelősség.

A "feldolgozó" az a természetes vagy jogi személy, közhatalmi szerv, osztály vagy más szerv, amely az adatkezelő nevében feldolgozza a személyes adatokat. A processzor megléte tehát az adatkezelő kezdeményezésétől függ, hogy ezeket a feldolgozási tevékenységeket részben vagy egészben külső szervezetre ruházza át.

Ez a meghatározás két pont körül forog:

  • Az "egyéni" szempont, nevezetesen az adatkezelőtől elkülönült jogi személy;
  • A személyes adatoknak az adatkezelő nevében történő feldolgozásának lényeges eleme.

Az adatkezelő nevében végzett adatkezelési tevékenységek eltérő természetűek lehetnek, kisebb-nagyobb mérlegelési mozgástérrel az alkalmazott technikai és szervezési eszközök megválasztása tekintetében.

Mivel az "adatkezelő" és a "feldolgozó" minősítése "ténybeli" és nem "szerződéses" megfontolásokon alapul, nyomvonalakból következő kritériumokon alapulnak: az adatkezelő előzetes utasításainak száma, annak figyelemmel kísérése gyakorlatok a szolgáltatás szintjén, az érintett személyek láthatósága, a felek szakértelme, a különböző szereplők autonóm döntéshozatali hatalma stb.