天极传媒:
天极网
比特网
IT专家网
52PK游戏网
极客修
全国分站

北京上海广州深港南京福建沈阳成都杭州西安长春重庆大庆合肥惠州青岛郑州泰州厦门淄博天津无锡哈尔滨

产品
  • 网页
  • 产品
  • 图片
  • 报价
  • 下载
全高清投影机 净化器 4K电视曲面电视小家电滚筒洗衣机
您现在的位置: 天极网 > 数码>新闻>理清GDPR下的”控制者”和”处理者”

一篇文章理清GDPR下的“控制者”和“处理者”

Yesky数字家庭频道 2018-10-10 12:14 我要吐槽

  【天极网数码频道】企业在进行GDPR合规工作的时候, 定义自己是“控制者”(Controller)还是“处理者”(Processor),是个相当纠结的问题。一方面,不懂啥意思:“控制者”和“处理者”究竟是什么角色,他们的法律义务有啥不同。另一方面,弄错了后果太严重:轻则合规工作上面花冤枉钱,重则全球营收百分之几充公也有可能的。

  所以,小编想在本期文章中,跟各位大佬好好汇报这个问题,希望各位大佬在读完本文后可以:

  1.突破法条复杂的表述,快速简单的区分两个概念

  2.了解二者各自承担了什么义务

  秒懂啥是“控制者”和“处理者”

  GDPR是如何定义“控制者”和“处理者”的呢?

  GDPR第四条第(6)款规定,能够单独或与其他主体一起决定个人数据处理目的和方法的自然人、法人或者公权力机关、机构或者其他主体,是个人数据的控制者。

  GDPR第四条第(7)款规定,代表控制者处理个人数据的自然人、法人、公权力机关、机构或者其他主体,是个人数据的处理者。

  看了条文,是不是觉得有点儿云里雾里的?别急,辨析两个概念的关键点…请看下方红色加粗字体。

  “控制者”决定(determines)个人数据处理的目的(purposes)和方式(means)。

  “处理者”只替(on behalf of)“控制者”处理个人数据。换句话说,为什么处理这些数据是“处理者”决定不了的,怎么处理这些数据也是“控制者”说了算的。

  如果“处理者”的活动超出了“替”的范围,如果在某次处理活动中,“处理者”决定了处理活动的目的和方式,那么针对这次处理活动,“处理者”就将被认为是“控制者”。

  那是不是掌握了概念以及概念的要点,实践中就可以轻松的判定自己到底是“控制者”还是“处理者”了呢?

  小编提醒各位大佬,没有那么乐观。“决定”、“目的”和“方式”等词看似不难理解,但实践中的适用往往需要进行复杂的事实分析。

  举个例子,既然“目的”和“方式”都是“控制者”决定的,那“处理者”在代表“控制者”处理个人数据时候有没有自主权,有多大自主权?是否连个人数据处理所采用的技术手段都决定不了?

  本期这个问题就不展开了。有机会小编另写一篇文章,与各位大佬探讨这个问题。

  “控制者”和“处理者”都需要做的事情

  虽然角色不同,但需要注意的问题还是有不少的共同点。GDRP下,“控制者”和“处理者”同时适用的个人数据保护义务有:

  安全措施的采取;

  个人数据处理活动的记录;

  数据保护官(DPO)的任命;

  对外传输时安保措施的采取;

  域内代表的任命;以及

  配合数据专门保护机关的工作。

  # 安全措施的采取

  GDPR下,“控制者”和“处理者”都需要通过技术或管理措施来保证被处理的个人数据的安全。

  遵循根据GDPR的规定制定的“行为准则”(Code of Conducts)或者获得根据GDPR规定颁发的“认证”(Certification)也视作采取了GDPR认可的数据保护措施。

  # 个人数据处理活动的记录

  不论是“控制者”还是“处理者”,都需要按照GDPR的要求记录个人数据处理活动。

  “控制者”记录其“负责的”(under its responsibility)个人数据处理活动,“处理者”记录其替“控制者”进行的处理活动。记录应该是书面的(电子形式的也可),并包含联系方式、处理目的、数据主体类别等GDPR规定的内容。

  值得注意的是,针对这项义务,GDPR对250人以下的企业进行了有条件的豁免。

  # 数据保护官的任命

  都什么企业需要任命数据保护官呢?

  一般来讲,系统的、有规律的大规模监控数据主体的,或者大规模处理GDPR规定的特殊种类个人数据的“控制者”和“处理者”需要任命数据保护官。

  # 向外传输时安保措施的采取

  为了确保个人数据在向外传输时也能受到GDPR相同程度的保护,向其他国家或者国际组织传输个人数据时,需要采取安保措施。

  同时GDPR明确要求,不论在多少个不同的主体之间传输多少次,“控制者”和“处理者”都需要维持GDPR程度的保护。

  # 域内代表的任命

  如果处理行为受到GDPR管辖,即使“控制者”或者“处理者”位于欧盟域外,其也必须在欧盟域内书面指定一个代表。

  这个代表应该和个人数据被处理的数据主体处于同一个欧盟成员国,如果是隶属于多个成员国的多个数据主体的情况,则处于其中一国即可。

  # 配合数据专门保护机关的工作

  “控制者”和“处理者”都需要按照要求配合数据专门保护机关的工作。

  只有“控制者”需要做的事情

  如果企业是“处理者”,无需担心以下这些只有“控制者”才需要履行的个人数据保护义务。

  从设计开始的、默认的数据保护;

  与“处理者”签署个人数据处理合同;

  通知数据专门保护机关和相关数据主体个人数据泄露;

  进行影响评估和事前咨询;以及

  共同“控制者”的特别情况。

  # 从设计开始的、默认的数据保护

  “控制者”决定个人数据处理的方式和目的。

  GDPR要求“控制者”在综合考量数据处理活动的目的、内容等相关信息后,保证默认的处理活动和处理活动的设计都满足GDPR的要求。

  # 与“处理者”签署个人数据处理合同;

  在与“处理者”合作时,GDPR要求“控制者”必须与“处理者”签署有特定条款(含电子形式)的书面协议。

  根据小编搜集到的资料,如果没有签署协议,一般认为“控制者”会承担相应的责任。同时有观点认为现在GDPR对于“处理者”是否也会担责规定的不太明确。

  # 通知数据专门保护机关和相关数据主体个人数据泄露

  如果个人数据泄露可能会对有关数据主体的权利和自由造成高风险,“控制者”需要在72小时内通知数据专门保护机关,以及立即通知有关数据主体。

  # 进行影响评估和事前咨询

  GDPR下,“控制者”在进行数据处理之前,有进行个人数据保护影响评估的义务。

  作为GDPR下重要的个人数据保护工具,第35条对于评估的流程、内容与专门保护机关的配合等方面做出了一系列规定。

  根据评估的结果,如果处理活动可能对数据主体的权利和自由造成高风险,“控制者”应根据GDPR的规定在处理前咨询数据专门保护机关。

  # 共同“控制者”的特殊情况

  两个或两个以上主体共同决定数据处理的目的和方式时,这些主体就是共同“控制者”。

  根据GDPR,共同“控制者”有义务以书面的形式明确权利和义务的分担。

  只有“处理者”需要做的事情

  最后,以下是与“处理者”有关的保护义务。

  与“控制者”签署个人数据处理合同;

  通知“控制者”个人数据泄露;以及

  关于“转包”的事前书面许可。

  # 与“控制者”签署个人数据处理合同;

  正如上文所述,有观点认为与目前还不明确与“控制者”签署个人数据处理合同是否同样也是“处理者”的义务。

  # 通知“控制者”个人数据泄露

  “处理者”在知晓个人数据泄露后,应该马上通知“控制者”,没有正当理由不能延误。

  # 关于“转包”的事前书面许可;

  如果“处理者”需要将个人数据处理活动“转包”给另一个“处理者”,GDPR规定必须获得“控制者”的事前书面同意。

  这种书面同意可以是针对此次“转包”的特定的同意,也可以是一个早先签好的,概括的同意。如果是后者,“处理者”在进行转包时候必须通知“控制者”。

  同时,GDPR还要求“处理者”在“转包时”,必须通过签署协议的方式,保证其与“控制者”合同义务,也同样约束接受“转包”的下一个“处理者”。

  尾声

  “控制者”和“处理者”简单的概念介绍和义务总结就到此为止。之后的文章中,小编希望给大家介绍一下欧盟法院系统在极端事实情形下探寻“控制者”和“处理者”角色边界的经典案例——Swift案。

  最后还是那句话,GDPR合规无小事,各位大佬我们下期再见啦!

  (本文谨代表APUS研究院观点,并非正式法律意见。如有问题欢迎随时沟通。)

请关注天极网天极新媒体 最酷科技资讯
扫码赢大奖
评论
* 网友发言均非本站立场,本站不在评论栏推荐任何网店、经销商,谨防上当受骗!
游戏整机手机家电
热门产品
  1. 佳能 5D Mark III(单机)¥16200
  2. 哈苏 H6D-400C MS¥380000
  3. 尼康 P1000暂无报价
  4. 佳能 EOS 80D¥6299
  5. 尼康 Z6¥16735
  6. 佳能 EOS R¥16000
  7. 佳能 EOS M50¥4249
  8. 尼康 D850¥28600
  9. 佳能 60D(单机)¥6599
  10. 富士 X-T3¥9790