旧版搜索
  • 新版搜索
  • 旧版搜索

历史搜索 全部删除

    热门搜索

      正在阅读:

      一篇文章理清GDPR下的“控制者”和“处理者”

      扫一扫下载界面新闻APP

      其他途径关注界面…

      一篇文章理清GDPR下的“控制者”和“处理者”

      GDPR是如何定义“控制者”和“处理者”的呢?

      APUS ·

      企业在进行GDPR合规工作的时候, 定义自己是“控制者”(Controller)还是“处理者”(Processor),是个相当纠结的问题。一方面,不懂啥意思:“控制者”和“处理者”究竟是什么角色,他们的法律义务有啥不同。另一方面,弄错了后果太严重:轻则合规工作上面花冤枉钱,重则全球营收百分之几充公也有可能的。

      所以,小编想在本期文章中,跟各位大佬好好汇报这个问题,希望各位大佬在读完本文后可以:

      1.突破法条复杂的表述,快速简单的区分两个概念

      2.了解二者各自承担了什么义务

      秒懂啥是“控制者”和“处理者”

      GDPR是如何定义“控制者”和“处理者”的呢?

      GDPR第四条第(6)款规定,能够单独或与其他主体一起决定个人数据处理目的和方法的自然人、法人或者公权力机关、机构或者其他主体,是个人数据的控制者。

      GDPR第四条第(7)款规定,代表控制者处理个人数据的自然人、法人、公权力机关、机构或者其他主体,是个人数据的处理者。

      看了条文,是不是觉得有点儿云里雾里的?别急,辨析两个概念的关键点…请看下方红色加粗字体。

      “控制者”决定(determines)个人数据处理的目的(purposes)和方式(means)。

      “处理者”只替(on behalf of)“控制者”处理个人数据。换句话说,为什么处理这些数据是“处理者”决定不了的,怎么处理这些数据也是“控制者”说了算的。

      如果“处理者”的活动超出了“替”的范围,如果在某次处理活动中,“处理者”决定了处理活动的目的和方式,那么针对这次处理活动,“处理者”就将被认为是“控制者”。

      那是不是掌握了概念以及概念的要点,实践中就可以轻松的判定自己到底是“控制者”还是“处理者”了呢?

      小编提醒各位大佬,没有那么乐观。“决定”、“目的”和“方式”等词看似不难理解,但实践中的适用往往需要进行复杂的事实分析。

      举个例子,既然“目的”和“方式”都是“控制者”决定的,那“处理者”在代表“控制者”处理个人数据时候有没有自主权,有多大自主权?是否连个人数据处理所采用的技术手段都决定不了?

      本期这个问题就不展开了。有机会小编另写一篇文章,与各位大佬探讨这个问题。

      “控制者”和“处理者”都需要做的事情

      虽然角色不同,但需要注意的问题还是有不少的共同点。GDRP下,“控制者”和“处理者”同时适用的个人数据保护义务有:

      安全措施的采取;

      个人数据处理活动的记录; 

      数据保护官(DPO)的任命; 

      对外传输时安保措施的采取;  

      域内代表的任命;以及配合数据专门保护机关的工作。

      # 安全措施的采取

      GDPR下,“控制者”和“处理者”都需要通过技术或管理措施来保证被处理的个人数据的安全。

      遵循根据GDPR的规定制定的“行为准则”(Code of Conducts)或者获得根据GDPR规定颁发的“认证”(Certification)也视作采取了GDPR认可的数据保护措施。

      # 个人数据处理活动的记录

      不论是“控制者”还是“处理者”,都需要按照GDPR的要求记录个人数据处理活动。

      “控制者”记录其“负责的”(under its responsibility)个人数据处理活动,“处理者”记录其替“控制者”进行的处理活动。记录应该是书面的(电子形式的也可),并包含联系方式、处理目的、数据主体类别等GDPR规定的内容。

      值得注意的是,针对这项义务,GDPR对250人以下的企业进行了有条件的豁免。

      # 数据保护官的任命

      都什么企业需要任命数据保护官呢?

      一般来讲,系统的、有规律的大规模监控数据主体的,或者大规模处理GDPR规定的特殊种类个人数据的“控制者”和“处理者”需要任命数据保护官。

      # 向外传输时安保措施的采取

      为了确保个人数据在向外传输时也能受到GDPR相同程度的保护,向其他国家或者国际组织传输个人数据时,需要采取安保措施。

      同时GDPR明确要求,不论在多少个不同的主体之间传输多少次,“控制者”和“处理者”都需要维持GDPR程度的保护。

      # 域内代表的任命

      如果处理行为受到GDPR管辖,即使“控制者”或者“处理者”位于欧盟域外,其也必须在欧盟域内书面指定一个代表。

      这个代表应该和个人数据被处理的数据主体处于同一个欧盟成员国,如果是隶属于多个成员国的多个数据主体的情况,则处于其中一国即可。

      # 配合数据专门保护机关的工作

      “控制者”和“处理者”都需要按照要求配合数据专门保护机关的工作。

      只有“控制者”需要做的事情

      如果企业是“处理者”,无需担心以下这些只有“控制者”才需要履行的个人数据保护义务。

      从设计开始的、默认的数据保护;

      与“处理者”签署个人数据处理合同;

      通知数据专门保护机关和相关数据主体个人数据泄露;

      进行影响评估和事前咨询;以及共同“控制者”的特别情况。

      # 从设计开始的、默认的数据保护

      “控制者”决定个人数据处理的方式和目的。

      GDPR要求“控制者”在综合考量数据处理活动的目的、内容等相关信息后,保证默认的处理活动和处理活动的设计都满足GDPR的要求。

      # 与“处理者”签署个人数据处理合同;

      在与“处理者”合作时,GDPR要求“控制者”必须与“处理者”签署有特定条款(含电子形式)的书面协议。

      根据小编搜集到的资料,如果没有签署协议,一般认为“控制者”会承担相应的责任。同时有观点认为现在GDPR对于“处理者”是否也会担责规定的不太明确。

      # 通知数据专门保护机关和相关数据主体个人数据泄露

      如果个人数据泄露可能会对有关数据主体的权利和自由造成高风险,“控制者”需要在72小时内通知数据专门保护机关,以及立即通知有关数据主体。

      # 进行影响评估和事前咨询

      GDPR下,“控制者”在进行数据处理之前,有进行个人数据保护影响评估的义务。

      作为GDPR下重要的个人数据保护工具,第35条对于评估的流程、内容与专门保护机关的配合等方面做出了一系列规定。

      根据评估的结果,如果处理活动可能对数据主体的权利和自由造成高风险,“控制者”应根据GDPR的规定在处理前咨询数据专门保护机关。

      # 共同“控制者”的特殊情况 

      两个或两个以上主体共同决定数据处理的目的和方式时,这些主体就是共同“控制者”。

      根据GDPR,共同“控制者”有义务以书面的形式明确权利和义务的分担。

      只有“处理者”需要做的事情 

      最后,以下是与“处理者”有关的保护义务。

      与“控制者”签署个人数据处理合同; 

      通知“控制者”个人数据泄露;以及

      关于“转包”的事前书面许可。

      # 与“控制者”签署个人数据处理合同;

      正如上文所述,有观点认为与目前还不明确与“控制者”签署个人数据处理合同是否同样也是“处理者”的义务。

      # 通知“控制者”个人数据泄露

      “处理者”在知晓个人数据泄露后,应该马上通知“控制者”,没有正当理由不能延误。

      # 关于“转包”的事前书面许可;

      如果“处理者”需要将个人数据处理活动“转包”给另一个“处理者”,GDPR规定必须获得“控制者”的事前书面同意。

      这种书面同意可以是针对此次“转包”的特定的同意,也可以是一个早先签好的,概括的同意。如果是后者,“处理者”在进行转包时候必须通知“控制者”。

      同时,GDPR还要求“处理者”在“转包时”,必须通过签署协议的方式,保证其与“控制者”合同义务,也同样约束接受“转包”的下一个“处理者”。

      尾声

      “控制者”和“处理者”简单的概念介绍和义务总结就到此为止。之后的文章中,小编希望给大家介绍一下欧盟法院系统在极端事实情形下探寻“控制者”和“处理者”角色边界的经典案例——Swift案。

      最后还是那句话,GDPR合规无小事,各位大佬我们下期再见啦!

      (本文谨代表APUS研究院观点,并非正式法律意见。如有问题欢迎随时沟通。)

      本文为转载内容,授权事宜请联系原著作权人。
      互联网日常法律解析
      点赞
      收藏
      看评论
      沉浸模式

      评论

      暂无评论哦,快来评价一下吧!

      下载界面新闻

      微信公众号

      微博

      一篇文章理清GDPR下的“控制者”和“处理者”

      GDPR是如何定义“控制者”和“处理者”的呢?

      APUS · 2018/10/08 13:06

      企业在进行GDPR合规工作的时候, 定义自己是“控制者”(Controller)还是“处理者”(Processor),是个相当纠结的问题。一方面,不懂啥意思:“控制者”和“处理者”究竟是什么角色,他们的法律义务有啥不同。另一方面,弄错了后果太严重:轻则合规工作上面花冤枉钱,重则全球营收百分之几充公也有可能的。

      所以,小编想在本期文章中,跟各位大佬好好汇报这个问题,希望各位大佬在读完本文后可以:

      1.突破法条复杂的表述,快速简单的区分两个概念

      2.了解二者各自承担了什么义务

      秒懂啥是“控制者”和“处理者”

      GDPR是如何定义“控制者”和“处理者”的呢?

      GDPR第四条第(6)款规定,能够单独或与其他主体一起决定个人数据处理目的和方法的自然人、法人或者公权力机关、机构或者其他主体,是个人数据的控制者。

      GDPR第四条第(7)款规定,代表控制者处理个人数据的自然人、法人、公权力机关、机构或者其他主体,是个人数据的处理者。

      看了条文,是不是觉得有点儿云里雾里的?别急,辨析两个概念的关键点…请看下方红色加粗字体。

      “控制者”决定(determines)个人数据处理的目的(purposes)和方式(means)。

      “处理者”只替(on behalf of)“控制者”处理个人数据。换句话说,为什么处理这些数据是“处理者”决定不了的,怎么处理这些数据也是“控制者”说了算的。

      如果“处理者”的活动超出了“替”的范围,如果在某次处理活动中,“处理者”决定了处理活动的目的和方式,那么针对这次处理活动,“处理者”就将被认为是“控制者”。

      那是不是掌握了概念以及概念的要点,实践中就可以轻松的判定自己到底是“控制者”还是“处理者”了呢?

      小编提醒各位大佬,没有那么乐观。“决定”、“目的”和“方式”等词看似不难理解,但实践中的适用往往需要进行复杂的事实分析。

      举个例子,既然“目的”和“方式”都是“控制者”决定的,那“处理者”在代表“控制者”处理个人数据时候有没有自主权,有多大自主权?是否连个人数据处理所采用的技术手段都决定不了?

      本期这个问题就不展开了。有机会小编另写一篇文章,与各位大佬探讨这个问题。

      “控制者”和“处理者”都需要做的事情

      虽然角色不同,但需要注意的问题还是有不少的共同点。GDRP下,“控制者”和“处理者”同时适用的个人数据保护义务有:

      安全措施的采取;

      个人数据处理活动的记录; 

      数据保护官(DPO)的任命; 

      对外传输时安保措施的采取;  

      域内代表的任命;以及配合数据专门保护机关的工作。

      # 安全措施的采取

      GDPR下,“控制者”和“处理者”都需要通过技术或管理措施来保证被处理的个人数据的安全。

      遵循根据GDPR的规定制定的“行为准则”(Code of Conducts)或者获得根据GDPR规定颁发的“认证”(Certification)也视作采取了GDPR认可的数据保护措施。

      # 个人数据处理活动的记录

      不论是“控制者”还是“处理者”,都需要按照GDPR的要求记录个人数据处理活动。

      “控制者”记录其“负责的”(under its responsibility)个人数据处理活动,“处理者”记录其替“控制者”进行的处理活动。记录应该是书面的(电子形式的也可),并包含联系方式、处理目的、数据主体类别等GDPR规定的内容。

      值得注意的是,针对这项义务,GDPR对250人以下的企业进行了有条件的豁免。

      # 数据保护官的任命

      都什么企业需要任命数据保护官呢?

      一般来讲,系统的、有规律的大规模监控数据主体的,或者大规模处理GDPR规定的特殊种类个人数据的“控制者”和“处理者”需要任命数据保护官。

      # 向外传输时安保措施的采取

      为了确保个人数据在向外传输时也能受到GDPR相同程度的保护,向其他国家或者国际组织传输个人数据时,需要采取安保措施。

      同时GDPR明确要求,不论在多少个不同的主体之间传输多少次,“控制者”和“处理者”都需要维持GDPR程度的保护。

      # 域内代表的任命

      如果处理行为受到GDPR管辖,即使“控制者”或者“处理者”位于欧盟域外,其也必须在欧盟域内书面指定一个代表。

      这个代表应该和个人数据被处理的数据主体处于同一个欧盟成员国,如果是隶属于多个成员国的多个数据主体的情况,则处于其中一国即可。

      # 配合数据专门保护机关的工作

      “控制者”和“处理者”都需要按照要求配合数据专门保护机关的工作。

      只有“控制者”需要做的事情

      如果企业是“处理者”,无需担心以下这些只有“控制者”才需要履行的个人数据保护义务。

      从设计开始的、默认的数据保护;

      与“处理者”签署个人数据处理合同;

      通知数据专门保护机关和相关数据主体个人数据泄露;

      进行影响评估和事前咨询;以及共同“控制者”的特别情况。

      # 从设计开始的、默认的数据保护

      “控制者”决定个人数据处理的方式和目的。

      GDPR要求“控制者”在综合考量数据处理活动的目的、内容等相关信息后,保证默认的处理活动和处理活动的设计都满足GDPR的要求。

      # 与“处理者”签署个人数据处理合同;

      在与“处理者”合作时,GDPR要求“控制者”必须与“处理者”签署有特定条款(含电子形式)的书面协议。

      根据小编搜集到的资料,如果没有签署协议,一般认为“控制者”会承担相应的责任。同时有观点认为现在GDPR对于“处理者”是否也会担责规定的不太明确。

      # 通知数据专门保护机关和相关数据主体个人数据泄露

      如果个人数据泄露可能会对有关数据主体的权利和自由造成高风险,“控制者”需要在72小时内通知数据专门保护机关,以及立即通知有关数据主体。

      # 进行影响评估和事前咨询

      GDPR下,“控制者”在进行数据处理之前,有进行个人数据保护影响评估的义务。

      作为GDPR下重要的个人数据保护工具,第35条对于评估的流程、内容与专门保护机关的配合等方面做出了一系列规定。

      根据评估的结果,如果处理活动可能对数据主体的权利和自由造成高风险,“控制者”应根据GDPR的规定在处理前咨询数据专门保护机关。

      # 共同“控制者”的特殊情况 

      两个或两个以上主体共同决定数据处理的目的和方式时,这些主体就是共同“控制者”。

      根据GDPR,共同“控制者”有义务以书面的形式明确权利和义务的分担。

      只有“处理者”需要做的事情 

      最后,以下是与“处理者”有关的保护义务。

      与“控制者”签署个人数据处理合同; 

      通知“控制者”个人数据泄露;以及

      关于“转包”的事前书面许可。

      # 与“控制者”签署个人数据处理合同;

      正如上文所述,有观点认为与目前还不明确与“控制者”签署个人数据处理合同是否同样也是“处理者”的义务。

      # 通知“控制者”个人数据泄露

      “处理者”在知晓个人数据泄露后,应该马上通知“控制者”,没有正当理由不能延误。

      # 关于“转包”的事前书面许可;

      如果“处理者”需要将个人数据处理活动“转包”给另一个“处理者”,GDPR规定必须获得“控制者”的事前书面同意。

      这种书面同意可以是针对此次“转包”的特定的同意,也可以是一个早先签好的,概括的同意。如果是后者,“处理者”在进行转包时候必须通知“控制者”。

      同时,GDPR还要求“处理者”在“转包时”,必须通过签署协议的方式,保证其与“控制者”合同义务,也同样约束接受“转包”的下一个“处理者”。

      尾声

      “控制者”和“处理者”简单的概念介绍和义务总结就到此为止。之后的文章中,小编希望给大家介绍一下欧盟法院系统在极端事实情形下探寻“控制者”和“处理者”角色边界的经典案例——Swift案。

      最后还是那句话,GDPR合规无小事,各位大佬我们下期再见啦!

      (本文谨代表APUS研究院观点,并非正式法律意见。如有问题欢迎随时沟通。)

      本文为转载内容,授权事宜请联系原著作权人。