理清GDPR下的“控制者”和“处理者”有何不同
APUS研究院2018/10/11 9:27:36

企业在进行GDPR合规工作的时候,定义自己是“控制者”(Controller)还是“处理者”(Processor)是个相当纠结的问题。一方面,不懂啥意思:“控制者”和“处理者”究竟是什么角色,他们的法律义务有啥不同。另一方面,弄错了后果太严重:轻则合规工作上面花冤枉钱,重则全球营收百分之几充公也有可能的。

所以,小编想在本期文章中,跟各位大佬好好汇报这个问题,希望各位大佬在读完本文后可以实现以下两个小目标:

1、突破法条复杂的表述,快速简单的区分两个概念

2、了解二者各自承担了什么义务

一、秒懂啥是“控制者”和“处理者”

GDPR是如何定义“控制者”和“处理者”的呢?

GDPR第四条第(6)款规定,能够单独或与其他主体一起决定个人数据处理目的和方法的自然人、法人或者公权力机关、机构或者其他主体,是个人数据的控制者。

GDPR第四条第(7)款规定,代表控制者处理个人数据的自然人、法人、公权力机关、机构或者其他主体,是个人数据的处理者。

看了条文,是不是觉得有点儿云里雾里的?别急,辨析两个概念的关键点如下:

“控制者”决定(determines)个人数据处理的目的(purposes)和方式(means)。

“处理者”只替(on behalf of)“控制者”处理个人数据。换句话说,为什么处理这些数据是“处理者”决定不了的,怎么处理这些数据也是“控制者”说了算的。

如果“处理者”的活动超出了“替”的范围,如果在某次处理活动中,“处理者”决定了处理活动的目的和方式,那么针对这次处理活动,“处理者”就将被认为是“控制者”。

那是不是掌握了概念以及概念的要点,实践中就可以轻松的判定自己到底是“控制者”还是“处理者”了呢?

小编提醒各位大佬,没有那么乐观。“决定”、“目的”和“方式”等词看似不难理解,但在实践中往往需要进行复杂的事实分析。

举个例子,既然“目的”和“方式”都是“控制者”决定的,那“处理者”在代表“控制者”处理个人数据的时候有没有自主权,有多大自主权?是否连个人数据处理所采用的技术手段都决定不了?

关于这个问题,小编将另外整理总结与各位大佬详细探讨,本期将不再展开。

二、“控制者”和“处理者”应履行的义务

1、“控制者”和“处理者”都需要做的事情

虽然角色不同,但两者需要注意的问题还是有不少的共同点。GDRP下,“控制者”和“处理者”同时适用的个人数据保护义务有:

1.1、安全措施的采取;

1.2、个人数据处理活动的记录;

1.3、数据保护官(DPO)的任命;

1.4、对外传输时安保措施的采取;

1.5、域内代表的任命;

1.6、配合数据专门保护机关的工作。

1.1、安全措施的采取

GDPR下,“控制者”和“处理者”都需要通过技术或管理措施来保证被处理的个人数据的安全。

遵循根据GDPR的规定制定的“行为准则”(Code of Conducts)或者获得根据GDPR规定颁发的“认证”(Certification)也视作采取了GDPR认可的数据保护措施。

1.2、个人数据处理活动的记录

不论是“控制者”还是“处理者”,都需要按照GDPR的要求记录个人数据处理活动。

“控制者”记录其“负责的”(under its responsibility)个人数据处理活动,“处理者”记录其替“控制者”进行的处理活动。记录应该是书面的(电子形式的也可),并包含联系方式、处理目的、数据主体类别等GDPR规定的内容。

值得注意的是,针对这项义务,GDPR对250人以下的企业进行了有条件的豁免。

1.3、数据保护官的任命

都什么企业需要任命数据保护官呢?

一般来讲,系统的、有规律的大规模监控数据主体的,或者大规模处理GDPR规定的特殊种类个人数据的“控制者”和“处理者”需要任命数据保护官。

1.4、向外传输时安保措施的采取

为了确保个人数据在向外传输时也能受到GDPR相同程度的保护,向其他国家或者国际组织传输个人数据时,需要采取安保措施。

同时GDPR明确要求,不论在多少个不同的主体之间传输多少次,“控制者”和“处理者”都需要维持GDPR程度的保护。

1.5、域内代表的任命

如果处理行为受到GDPR管辖,即使“控制者”或者“处理者”位于欧盟域外,也必须在欧盟域内书面指定一个代表。

这个代表应该和个人数据被处理的数据主体处于同一个欧盟成员国,如果是隶属于多个成员国的多个数据主体的情况,则处于其中一国即可。

1.6、配合数据专门保护机关的工作

“控制者”和“处理者”都需要按照要求配合数据专门保护机关的工作。

2、只有“控制者”需要做的事情

如果企业是“处理者”,无需担心,以下这些只有“控制者”才需要履行的个人数据保护义务。

2.1、从设计开始的、默认的数据保护;

2.2、与“处理者”签署个人数据处理合同;

2.3、通知数据专门保护机关和相关数据主体个人数据泄露;

2.4、进行影响评估和事前咨询;

2.5、共同“控制者”的特别情况。

2.1、从设计开始的、默认的数据保护

“控制者”决定个人数据处理的方式和目的。

GDPR要求“控制者”在综合考量数据处理活动的目的、内容等相关信息后,保证默认的处理活动和处理活动的设计都满足GDPR的要求。

2.2、与“处理者”签署个人数据处理合同

在与“处理者”合作时,GDPR要求“控制者”必须与“处理者”签署有特定条款(含电子形式)的书面协议。

根据小编搜集到的资料,如果没有签署协议,一般认为“控制者”会承担相应的责任。同时有观点认为现在GDPR对于“处理者”是否也会担责规定的不太明确。

2.3、通知数据专门保护机关和相关数据主体个人数据泄露

如果个人数据泄露可能会对有关数据主体的权利和自由造成高风险,“控制者”需要在72小时内通知数据专门保护机关,以及立即通知有关数据主体。

2.4、进行影响评估和事前咨询

GDPR下,“控制者”在进行数据处理之前,有进行个人数据保护影响评估的义务。

作为GDPR下重要的个人数据保护工具,第35条对于评估的流程、内容与专门保护机关的配合等方面做出了一系列规定。

根据评估的结果,如果处理活动可能对数据主体的权利和自由造成高风险,“控制者”应根据GDPR的规定在处理前咨询数据专门保护机关。

2.5、共同“控制者”的特殊情况

两个或两个以上主体共同决定数据处理的目的和方式时,这些主体就是共同“控制者”。

根据GDPR,共同“控制者”有义务以书面的形式明确权利和义务的分担。

3、只有“处理者”需要做的事情

最后,以下是与“处理者”有关的保护义务。

3.1、与“控制者”签署个人数据处理合同;

3.2、通知“控制者”个人数据泄露;

3.3、关于“转包”的事前书面许可。

3.1、与“控制者”签署个人数据处理合同

正如上文所述,有观点认为与目前还不明确与“控制者”签署个人数据处理合同是否同样也是“处理者”的义务。

3.2、通知“控制者”个人数据泄露

“处理者”在知晓个人数据泄露后,应该马上通知“控制者”,没有正当理由不能延误。

3.3、关于“转包”的事前书面许可

如果“处理者”需要将个人数据处理活动“转包”给另一个“处理者”,GDPR规定必须获得“控制者”的事前书面同意。

这种书面同意可以是针对此次“转包”的特定的同意,也可以是一个早先签好的,概括的同意。如果是后者,“处理者”在进行转包时候必须通知“控制者”。

同时,GDPR还要求“处理者”在“转包时”,必须通过签署协议的方式,保证其与“控制者”合同义务,也同样约束接受“转包”的下一个“处理者”。

尾声

关于“控制者”和“处理者”的概念比较和义务总结就到此为止。之后的文章中,小编希望给大家介绍一下欧盟法院系统在极端事实情形下探寻“控制者”和“处理者”角色边界的经典案例——Swift案。

最后还是那句话,GDPR合规无小事,各位大佬切勿忽视。

本文谨代表APUS研究院观点,并非正式法律意见。如有问题欢迎随时沟通。

2018第三届中国移动金融安全大会上,金杜律师事务所合伙人、合规业务部负责人宁宣凤将分享《GDPR与网络安全法对比及对金融行业的影响》,详情见:http://www.mpaypass.com.cn/MFSC2018/


展开全文
相关阅读
资讯查询取消