Как не влететь с ПЕРЕВОДОМ ФЗ-152 и GDPR?

В GDPR и ФЗ-152 есть правовая коллизия (о ней я как-то уже упоминал в одной рекламной статье), которая либо загоняет в ступор юридического переводчика, либо может в определенных случаях подставить заказчика перевода, связанного с этими законами.

ПРЕДЫСТОРИЯ

Речь пойдет о терминах controller и processor. Если просто взять и «в лоб» провести между ними параллели, то при первом приближении получается такой расклад:

controller = оператор персональных данных;
processor = лицо, действующее по поручению оператора персональных данных.

Казалось бы.
Чтобы понять, что здесь не так, давайте немного пофантазируем.

Допустим у Вас есть компания «Газмяс», которая пользуется услугами аутсорсинговой бухгалерской компании «Газбух».
Взаимодействие простое: Вы им шлёте карточки сотрудников, а тамошние бухгалтеры подсчитывают и перечисляют Вашим сотрудникам зарплату.
Всё идет прекрасно, и тут — БАЦ — из бухгалтерской фирмы утекли данные.
Возникают два вечных русских вопроса — кто виноват и что делать?

КТО ВИНОВАТ?

Логика ФЗ-152: «Вот кому субъект персональных данных вручал данные, тот и будет отвечает. А по сему — отвечать будет «Газмяс»».

GDPR не столь категоричен: «Безусловно, «Газмяс» будет отвечать, но исключительно в той мере, в которой он наломал дров. Однако не будет сбрасывать со счетов и «Газбух» — он сам определил и способы обработки данных, средства защиты. Так что, суд определит глубину вины каждого».

Иными словами, если в России сразу ясно, кого тащить на плаху, то в Европе — «Будем посмотреть».

ПРО ПЕРЕВОД

Вы скажете, это всё замечательно, только причём тут переводчики?
А я отвечу: при том, что нельзя ставить знак равно между вышеупомянутыми парами терминов — термины сильно разнятся по объему ответственности.

В России «оператор персональных данных» — отвечает за всё, ибо сказано в ФЗ-152, Статье 3:

<2) оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами ОРГАНИЗУЮЩИЕ и (или) ОСУЩЕСТВЛЯЮЩИЕ ОБРАБОТКУ персональных данных, а также ОПРЕДЕЛЯЮЩИЕ ЦЕЛИ обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными

… а согласно статье 21 того же закона «Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных», оператор обязан в тех или иных ситуациях:

— обеспечить блокирование (если ОБРАБОТКА персональных данных ОСУЩЕСТВЛЯЕТСЯ другим ЛИЦОМ, действующим по поручению оператора)…
— обеспечить их уточнение (если ОБРАБОТКА персональных данных ОСУЩЕСТВЛЯЕТСЯ другим ЛИЦОМ, действующим по поручению оператора)….
— обеспечить прекращение неправомерной ОБРАБОТКИ персональных данных ЛИЦОМ, действующим по поручению оператора… >

 

Получается, «оператор» и организует сбор данных, и определяет цели сбора, и осуществляет обработку (в т.ч. обеспечивает защиту).
Объем обязательств «лица, действующего по поручению оператора» в законе вообще не учитывается, это лицо отвечает перед оператором.

А вот так выглядит зона ответственности для controller и processor:

Цитирую:
<(7) ‘controller’ means the natural or legal person, public authority, agency or other body which, alone or jointly with others, DETERMINES THE PURPOSES and means of the processing of personal data; where the purposes and means of such processing are determined by Union or Member State law, the controller or the specific criteria for its nomination may be provided for by Union or Member State law;
(8) ‘processor’ means a natural or legal person, public authority, agency or other body which PROCESSES personal data on behalf of the controller>.

Здесь мы видим, что ‘controllerставит цели и определяет способы обработки, а ‘processor’ уже решает, как обрабатывать (и, как частный случай обработки, защищать) данные.

ТОТ ЛАРЧИК ЛОМОМ ОТКРЫВАЛСЯ

Собственно, вооружившись этими соображениями, мы пошли к Михаилу Емельянникову (именно он был заказчиком проекта, делая который мы и озадачились этой коллизией), и после некоторых дискуссий решили, что эти термины лучше переводить калькой, то есть:

controllerконтроллер (вместо «оператор персональных данных»), а processorпроцессор (вместо «лицо, действующее по поручению оператора персональных данных»).

Можете смело пользоваться.

Пока смело.

С уважением,
Евгений Бартов,
переводчик, копирайтер, маркетолог. 

Добавить комментарий