О чём эта статья

Статья 28 — обработчик данных. Кто такой обработчик и какие обязательства у него.

28(1) — Выбор обработчика

Контролёр должен использовать только обработчиков, обеспечивающих достаточные гарантии реализации надлежащих технических и организационных мер.

28(2) — Запрет субпроцессоров без разрешения

Обработчик не должен привлекать другого обработчика без предварительного письменного разрешения контролёра — общего или конкретного.

28(3) — Содержание соглашения

Обработка обработчиком регулируется договором или иным правовым актом по праву ЕС или государства-члена, который связывает обработчик в отношении контролёра.

Договор должен охватывать как минимум:

  • предмет и продолжительность обработки;
  • характер и цель обработки;
  • тип данных и категории субъектов;
  • обязанности и права контролёра.

В договоре в особенности должно быть, что обработчик:

(a) обрабатывает данные только по документированным указаниям контролёра; (b) обеспечивает обязательство конфиденциальности; (c) принимает меры по Art. 32; (d) соблюдает условия привлечения субпроцессоров; (e) помогает контролёру отвечать на запросы субъектов; (f) помогает в обеспечении Art. 32-36 (безопасность, нарушения, DPIA); (g) по выбору контролёра удаляет или возвращает все данные после окончания; (h) предоставляет всю информацию, необходимую для демонстрации соблюдения, и допускает аудиты.

28(4) — Субпроцессоры

Любой субпроцессор обязан тем же обязательствам, что и обработчик.

28(10) — Обработчик как контролёр

Если обработчик определяет цели и средства обработки в нарушение GDPR, он считается контролёром в отношении этой обработки.

Почему это важно

Любой хостинг, любой облачный сервис (AWS, Azure, Google Cloud), любая система аналитики (где сайт не контролирует данные пользователей) — это обработчик. Без правильного DPA (Data Processing Agreement) по Art. 28 их использование незаконно.

Art. 28(10) — мощный аргумент: если хостинг сам решает, что делать с данными пользователей (например, использует их для ML-обучения), он автоматически становится контролёром, а не обработчиком. Это меняет всю юридическую конструкцию.