Співконтролери, які володіють даними HAAS Avocats

Стефан АСТЬЄ та Флоріан ПЕРРЕТІН

Розвиток економіки зараз обертається навколо даних. Питання, пов’язані з контролем над цими даними з точки зору стратегічного позиціонування та зайняття частки ринку, справді є головними та безпосередньо пов’язані із суттєвою проблемою: питанням власності на дані.

Справжня "нафта" 21 століття, гігантські обсяги даних, які зараз доступні, є предметом багаторазового використання від їх збору до повернення. Ця експлуатація навіть стала наукою сама по собі, " наука даних ".

Постачальники в цій галузі спеціалізуються, і зараз часто можна зустріти декілька зацікавлених сторін, які сприяють одному і тому ж лікуванню, особливо завдяки впровадженню API в рамках рішення. Бази даних, сформовані кожним із головних героїв, доповнюють один одного, перекриваються та взаємозв’язуються; стільки взаємодій, що сприяли визначенню поняття співвідповідальності за обробку, зокрема, висунутого Європейським загальним регламентом про захист даних від 26 квітня 2016 р. (далі GDPR) .

Сьогодні постаньте перед проблемою володіння даними з поняттям співвідповідальності за обробку це, безсумнівно, одне з найделікатніших питань, з яким слід вирішувати в рамках контрольованої цифрової стратегії. Немає сумнівів, що майбутнім особам, що займаються захистом даних (ОДВ), доведеться регулярно мати з цим справу.

Можливість повернутися до ключових концепцій, що дозволяють нам розглянути це питання в усьому світі.

1. Поняття "контролер"/"співконтролер"/"процесор"

Поняття "контролер" і "процесор" відіграють центральну роль у визначенні того, хто має контроль над даними, у праві власності на реалізовані бази даних, а тим більше, у доступі до доходу, отриманого від оброблених процедур та послуг, що впроваджуються.

Щоб визначити, хто є відповідальним або субпідрядником, необхідно покластися на застосування чинних норм законодавства про персональні дані, а саме: Закон про захист даних та GDPR .

Ці два поняття знаходять свій інтерес саме в зоні відповідальності за лікування. Між контролером та процесором існує проміжний статус "співконтролера", найчастіше незалежний щодо реалізованих засобів, але залежать від цілей обробки, оскільки він пов'язаний з іншим відповідальним співконтролером. Основні поняття, щодо яких необхідно пояснити.

"Контролер" - це фізична або юридична особа, державний орган, відділ чи інший орган, який самостійно або спільно з іншими визначає цілі та засоби обробки.

Це визначення обертається навколо трьох моментів:

  • Індивідуальний аспект: "Фізична або юридична особа, державний орган, служба чи інший орган";
  • Основні елементи, що дозволяють відрізнити контролер даних від процесора: "Визначає цілі та засоби обробки";
  • Можливість спільної відповідальності між кількома контролерами даних, які тоді розглядаються як контролери спільних даних: "Поодинці або спільно з іншими" .

Коли йдеться про визначення цілей і засобів з метою присвоєння ролі контролера, головне питання, яке виникає, - це ступінь точності цього визначення при обробці. Поняття "мета" та "засоби", відповідно, стосуються "чому" та "як" обробної діяльності. Ці концепції можуть відрізнятися залежно від конкретного середовища, в якому відбувається лікування, і лише прагматичний підхід дозволяє контекстуалізувати ці елементи.

Ми говоримо про «співконтролерів», коли два або більше контролерів спільно визначають цілі та засоби обробки. Співконтролери повинні прозоро визначити свої відповідні зобов'язання, щоб забезпечити відповідність законодавчим положенням про захист даних за допомогою угоди, контур якої буде наданий особі, яку стосується обробка. Ця угода - що передбачає точну формалізацію - залишає на практиці багато свободи співконтролеру. Приймаючи прагматичний підхід, європейський законодавець добре усвідомлює, що залежно від ситуації існує кілька ступенів залучення зацікавлених сторін до обробки, а отже, обов’язково кілька ступенів співвідповідальності.

"Обробник" - це фізична або юридична особа, державний орган, відділ чи інший орган, який обробляє персональні дані від імені контролера. Таким чином, існування процесора залежить від ініціативи контролера делегувати всю або частину цих обробних дій зовнішній організації.

Це визначення обертається навколо двох моментів:

  • "Індивідуальний" аспект, а саме юридична особа, відокремлена від контролера;
  • Суттєвим елементом є факт обробки персональних даних від імені контролера.

Діяльність з обробки, що здійснюється від імені контролера, може мати різноманітний характер з більшою чи меншою свободою розсуду щодо вибору технічних та організаційних засобів.

Оскільки кваліфікація "контролера даних" та "процесора" базується на "фактичних", а не "договірних" міркуваннях, вони базуються на критеріях, що випливають із набору показників: кількості попередніх вказівок, даних контролером даних, контролюючи, що остання вправа на рівні обслуговування, видимості по відношенню до зацікавлених людей, досвіду сторін, автономному прийняттю рішень різних суб'єктів тощо.

2. Право власності на персональні дані

Історично склалося, що контролер називався "ведучим файлу" у Конвенції Ради Європи 108, укладеній у 1981 р. На додаток до "контролю", це поняття, мабуть, означає, що головним файлом є "власник". Однак питання власності на дані набагато складніші, ніж здається.

У Франції не існує поняття "володіння даними". Даними насправді не володіє ніхто, оскільки самі дані є носієм простої «інформації», яка не може бути захищена правами інтелектуальної власності. Однак деякі дані не відповідають кваліфікаційній інформації і можуть бути захищені, якщо вони містять інтелектуальний твір (картина, текст письменника тощо). Тому захист даних, особистий чи ні, включає різні галузі права:

даними

Що стосується персональних даних, які є справжніми витіканнями особистості, то вони є частиною сім'ї прав особистостей (зокрема, зокрема, щодо поваги до приватного життя). Це є причиною того, чому для збору персональних даних потрібна згода суб’єкта даних. Тут знову немає "власника" цих даних, але суб'єкт даних має багато прав на них із застосуванням принципу інформаційного самовизначення (доступ, виправлення, обмеження, заперечення). Однак після анонімізації дані можна розглядати та використовувати як будь-які інші необроблені дані.

Без володіння особистими даними можна мати базу даних. Дійсно, під виглядом виконання критерію оригінальності особа може мати право власності на «збір даних». Це випливає з принципу, згідно з яким автор розумового твору насолоджується цим твором, єдиним фактом його створення, ексклюзивним нематеріальним правом власності, що підлягає виконанню проти всіх.

Що стосується виробника бази даних, він має право sui generis на цій основі. Тому необхідно обґрунтувати значні інвестиції для його створення та функціонування. Хоча "виробник", однак останній не має жодного права "власності" на відповідну базу. Він може просто заборонити якісні або кількісні істотні видобування в ньому.

Не всі компіляції захищаються авторським правом, лише ті, які за вибором або розташуванням матеріалів становлять інтелектуальні витвори. Дані повинні бути структуровані. Тоді ми говоримо про "характерну" компіляцію, відмінну від простої "механічної" компіляції. Так само, щоб отримати вигоду від захисту права sui generis виробника бази даних, необхідно мати можливість продемонструвати значні фінансові, матеріальні та людські інвестиції, крім витрат, пов’язаних із «створенням» бази даних, за деякими винятками.

3. Співконтролер та співвласник даних ?

В контексті обробки персональних даних, на практиці співконтролери використовують спільну базу даних на час дії договірних відносин між ними.

Однак, коли ці договірні відносини закінчуються, питання власності на базу даних може створювати труднощі. Чи зберігає особа, яка надала свою базу даних, усі права на неї? Чи може співконтролер вимагати права на базу даних? Чи можемо ми опинитися в ситуації "спільного володіння" базою даних ?

Демонструвати оригінальний характер бази даних дуже складно. Тому буде важко поставити себе під режими, передбачені Кодексом інтелектуальної власності, у питаннях спільної роботи або навіть похідної роботи для встановлення принципів власності на основі.

Отже, саме на двох принципах права власності нам здається цікавим розглянути право вимоги на базу даних співконтролерів: принцип набуття майна шляхом уточнення (ст. 570 - 572 ЦК) та принцип набуття майна шляхом змішування (ст. 573 ЦК).

Принцип набуття майна за специфікацією

Ілюстрація принципу порівняно проста: він стосується лісоруба, який постачає деревину шафщикові. Цей шафщик будує стіл з дощок. У цьому випадку, з придбанням права власності за специфікацією, столик буде власником столика. Дійсно, цей приніс своє ноу-хау, перетворив сировину на новий об’єкт. Праця вважається настільки важливою, що вона значно перевищує вартість сировини.

Тому легко уявити, що база даних, яка є нематеріальною особистою власністю, може бути використана та вдосконалена таким чином співконтролером, що це вдосконалення значно перевищує цінність бази даних. Native. Тоді він міг вимагати права на "нову" базу даних.

У тому ж ключі часто трапляється так, що два співконтролери об'єднують свої відповідні бази даних, і що один із співконтролерів перетворює їх, надаючи свої ноу-хау, щоб мати можливість досягти мети лікування. Потім він використовуватиме власну базу даних, але також базу даних другого співконтролера. У цій ситуації ми можемо вважати, що отримана нова база даних буде спільною для обох власників.

Принцип набуття властивості шляхом змішування

Ми потрапили в ситуацію, коли кілька співконтролерів об’єднали свої відповідні бази даних для досягнення цілей обробки, не маючи жодного з них, який представив свої ноу-хау для покращення лікування. Тут нова сформована база може, залежно від конкретного випадку, бути відокремленою чи ні від баз кожного із співменеджерів. У випадку, якщо цю базу неможливо відокремити без незручностей, тоді ще раз різні співменеджери спільно придбають право власності.

Рішення: врегулювати питання власності на базу даних в угоді між співконтролерами

Випадки набуття права власності на базу даних шляхом специфікації та змішування є залишковими, що означає, що від неї можна відмовитись за контрактом. Це добре, оскільки RGPD точно передбачає, що угода повинна бути оформлена між різними співконтролерами. Потім ми повинні скористатися цією можливістю, щоб включити до цієї угоди пункт, що передбачає коригування права власності на бази даних, щоб з’ясувати ситуацію та передбачити ризики щодо власності.

Отже, визначення контрактом ролі кожного головного героя у формуванні бази даних є важливим етапом, який слід враховувати при визначенні цифрової стратегії. Завдяки як юридичному, так і прагматичному аналізу кожного внеску та ролі кожної зі сторін можна створити адекватні рамки для ефективного розвитку діяльності в безпечному середовищі.

Експерт вже більше двадцяти років у галузі ІКТ, HAAS Avocats залишається у вашому розпорядженні, щоб підтримати вас у ваших проектах цифрового переходу: створення правового середовища для веб-платформи, підтримка проектів, відповідність законодавству обробки даних, підготовка до вступу набувши чинності Європейського регламенту про захист даних, наші послуги охоплюють усі сфери та сектори, що стосуються цифрових технологій.

Для отримання додаткової інформації про ці послуги, Натисніть тут або зв’яжіться з юристом безпосередньо через службу JurisAppel.

Поділіться публікацією "Співконтролери: кому належать дані?"

  • Facebook
  • Twitter
  • Google+
  • Віадео
  • LinkedIn
  • Електронна пошта