学习过GDPR的同学都知道,GDPR条文中不仅有数据控制者,还有数据处理者,很多人疑惑,这两个名词在法律上是指同一个角色吗?两者之间的法律责任一样吗?GDPR分别对他们有什么要求?事实上,数据控制者和数据处理者的关系,既可以是两个不同企业之间的事情,也可以是企业内部的事情,例如在同一个企业集团的情况下,集团内一个企业也可以作为另一个同一所属集团企业的数据处理者。GDPR对此分别进行了不同责任规定,今天SCA结合法律原文,整理以下内容,希望对您日后的GDPR合规工作有所帮助。
通常来讲,数据控制者和数据处理者都有权对个人有效数据进行处理,都是数据的处理方,数据处理者根据数据控制者的指令收集、处理或使用个人数据。GDPR条例第四章,第24条至43条,详列了关于数据控制者和数据管理者的责任规定,有兴趣的朋友可以找来原文参阅了解。以下内容是SCA结合GDPG法律原文,分别对数据控制者、联合数据控制者和数据处理者做出的详细解读,仅供参考,在企业实际事务中,还请参考有关法律专家的指导。
第一、什么是数据控制者?
数据控制者确定该个人数据被处理的目的和方式。因此,如果企业有权决定应该处理个人数据的“原因”和“方式”,那么它就是数据控制者。而在组织内处理个人数据的员工这样做是为了完成数据控制者的任务。
当企业与一个或多个组织一起共同决定应该处理个人数据的“原因”和“方式”时,企业是一个联合控制者。联合控制人必须签订协议,规定各自遵守GDPR规则的责任。必须将该协议的主要内容传达给正在处理其数据的个人或数据处理者。
关于共同数据控制者GDPR第26条对此做了法律说明。
GDPR第26条原文如下:
1、两个或两个以上的数据控制者共同决定处理的目的和方式时,为共同数据控制者。共同数据控制者应以透明的方式,彼此安排时间,确定各自遵守本条例所规定的义务的责任,特别是关于数据主体行使其各自关于本条例第13条和14条规定的提供信息的义务,对数据控制者生效的欧盟或欧盟成员国法律已对数据控制者各自的责任做出规定的除外。该安排可以为数据主体制定一个联络点。
2、第1款规定的安排应当适当反映共同数据对于数据主体各自的职责和关系。数据主体应可得知该安排的实质内容。
3、不论第1款规定的安排条款为何,数据主体可以依据本条例向任何一个数据控制者行使权力。
即人们必须区分数据处理者和共同控制者(第26条GDPR),双方共同确定数据处理的目的和手段,因此也共同负责。
关于数据控制者的责任GDPR 第24条 做出以下规定:
1、考虑到处理的性质,范围,背景和目的以及给自然人权利和自由带来的不同可能性和严重程度的风险,数据控制者应当采取适当的技术和组织措施,以确保并证明处理符合本条例规定。这些措施应在必要时予以审查和更新。
2、在处理活动相适当的情况下,第1款所述措施应包括数据控制者实施的适当数据保护政策。
3、遵守本条例第40条所述的经批准的行为守则或第42条所述的经批准的认证机制,可以作为数据控制者遵守其义务的证明要素。
基本上,数据控制者是数据主体的第一个联系人,并且负责让数据处理符合法律要求。但是,这并不意味着数据处理者不承担任何责任。GDPR规定,数据处理者与数据控制者共同承担责任。但是,根据第2款,处理者的责任仅限于违反他特有的义务。同时双方都有权利为自己开脱,要做到这一点,他们必须证明他们对导致损害的事件不负任何责任。
第二、什么是数据处理者?
数据处理者的典型活动是提供IT解决方案,包括云存储。在企业集团的情况下,同在一个集团内的一个企业可以作为另一个企业的处理者。数据处理者对数据控制者的职责必须在合同或其他法律行为中做出明确规定。例如,合同必须指明合同终止后个人数据应该怎么处理。
GDPR 第28条 讲述了数据处理者的相关规定 其中第1项第2项讲到:
1、代表数据控制者进行的处理,数据控制者应仅使用提供充分担保保证的会采取适当技术性和组织性措施以使处理符合本条例要求并确保数据主体的权利得到保障的数据处理者。
2、未获得数据控制者事先特别或一般书面授权时,该数据处理者不能引入另一个数据处理者。在一般的书面授权的情况下,数据处理者应当通知数据控制者任何有关计划增加或者替代其他数据处理者的变动,以使数据控制者有机会拒绝该变动。
综上,在数据控制者 - 处理者关系中,后者仅允许基于来自数据控制者的记录指令来处理个人数据。没有相应数据控制者的事先约定或一般书面授权,数据处理者不能与另一数据处理者通信以帮助履行特定合同。在一般授权的情况下,数据处理者必须通知他关于处理的任何相关变化。
在大多数情况下,委托数据处理基于合同进行。数据处理者可以仅将其任务的一部分分包给另一个数据处理者,或者分包给它接收到数据控制者先前的书面授权时指定联合数据处理者。GDPR 第28(3)规定了其最低要求。——除其他事项外,合同必须包含将处理哪种类型的个人数据,以及处理的原因和目的。此外,数据处理者还有其他义务。例如,必须保留处理活动的记录,其中包括他正在为其工作的每个数据控制者的名称和联系数据,以及为它们进行的处理类别,还须包括向第三国转移个人数据(如适用)。
第三、其他人能代表“我”的公司处理数据吗?
(数据处理者和数据控制者之间的约定)
如果有合同或其他法律行为规定,其他人(自然人或法人或任何其他机构)可代表企业处理个人数据。重要的是,企业指定的数据处理者提供足够的保证,和实施适当的技术和组织措施,以确保处理符合通用数据保护法案(GDPR)的标准,并保证个人权利得到保护。
企业与处理者之间的合同或法律行为应包括以下要素:
√ 处理只能在数据控制者的文件化指令下进行;
√ 处理者确保被授权处理个人数据的人承诺保密或承担适当的法定保密义务;
√ 数据处理者必须提供数据控制者定义的最低安全级别;
√ 数据处理者必须协助确保符合GDPR。
综上所述数据处理者只是数据控制者处理个人数据的代表。数据处理者通常是公司外部的第三方。但是,在某些情况下,企业即可以是数据控制者,也可以是数据处理者,或两者兼而有之。
例如:
建筑公司正在使用分包商进行特定的建筑工作,并向其提供需要进行施工的客户的详细联系方式。分包商进一步使用该数据发送客户营销材料。在这种情况下,分包商不仅仅被视为GDPR下的“处理者”,因为分包商不仅代表建筑公司处理个人数据,而且还为了自己的目的进一步处理它。因此,分包商还充当了“数据控制者”。
若企业是一家零售公司,决定在云服务器上存储客户端数据库的备份版本。为此,企业与云提供商签订了一份合同,该提供商以其数据保护标准而闻名,并且还拥有经过认证的数据加密系统。那么云提供商是企业的数据处理者,通过将客户的个人数据存储在其服务器中,它将代表企业处理个人数据。
最后,本文由SCA安全通信联盟结合GDPR官方文案翻译整理,转载请注明出处。https://gdpr-info.eu/issues/processing/