企业出海合规:如何区分数据控制者与数据处理者
导语:如何区分数据控制者与数据处理者?
什么是数据控制者?
数据控制者确定个人数据的处理目的和方式。若该企业有权决定处理个人数据的“原因”和“方式”,那么它就是数据控制者。在GDPR中,数据控制者在保护数据主体(例如网站用户)的隐私和权利方面负有最大责任。数据控制者可以使用自己的流程处理收集的数据。然而,在某些情况下,数据控制者需要与第三方或外部服务合作才能处理已收集的数据。即使在这种情况下,数据控制者也不会将对数据的控制权放弃给第三方,而是指定外部服务如何使用和处理数据来保持控制。
例子:一家健身房聘请当地印刷公司制作该健身房正在举办的特别活动邀请函。健身房从会员数据库中向印刷公司提供会员的姓名和地址,印刷商用这些信息来处理邀请函和信封的地址。然后健身房发出邀请。
健身房是与邀请相关的个人数据处理的控制者。健身房确定处理个人数据的目的(发送单独发送的活动邀请)和处理方式(使用数据主体的地址详细信息通过邮件合并个人数据)。印刷公司是仅根据健身房的指示处理个人数据的处理者。
此外,当企业与一个或多个组织一起共同决定应该处理个人数据的“原因”和“方式”时,企业是一个联合控制者。联合控制人必须签订协议,规定各自遵守GDPR规则的责任。必须将该协议的主要内容传达给正在处理其数据的个人或数据处理者。
关于共同数据控制者GDPR第26条对此作了法律说明:
1. 两个或两个以上的数据控者共同决定处理的目的和方式时,为共同数据控制者。共同数据控制者应以透明的方式,彼此安排时间,确定各自遵守本条例所规定的义务的责任,特别是关于数据主体行使其各自关于本条例第13条和第4条规定的提供信息的义务,对数据控制者生效的欧盟或欧盟成员国法律已对数据控制者各自的责任作出规定的除外。该安排可以为数据主体制定一个联络点。
2. 第1款规定的安排应当适应反映共同数据对于数据主体各自的职责和关系。数据主体应可得知该安排的实质内容。
3. 不论第款规定的安排条款为何,数据主体可以依据本条例像任何一个数据控制者行使权力。
在实践中,必须区分数据处理者和共同控制者,因为二者承担的责任范围与大小也不同。
案例:德国一家名为Wirtschaftsakademie Schleswig-Holstein GmbH的学术机构在Facebook上运营一个粉丝页面,并通过一个名为“Facebook见解仪”的功能利用浏览器缓存收集用户的数据。数据收集的目的是向粉丝页面的管理员提供统计信息,并发布目标广告。
德国数据保护局在发现该机构数据收集存在缺陷后,命令该机构停止收集数据,并停用该粉丝页面。该机构否认了其在Facebook上处理个人数据的法律责任,从而对该命令提出了抗议。它还否认向Facebook提供了有关数据处理的指示,并声称德国数据保护局应该直接对数据控制者Facebook采取行动,学术机构仅是Facebook的用户。
案件争议点在于判断该学术机构是否具有“数据控制者”的角色,亦或该角色是否仅属于Facebook。2018年6月5日,欧洲法院作出判决,粉丝页面的管理员必须被视为与Facebook联合处理数据的数据控制者共同承担责任。
法院认为:仅仅使用Facebook并不能使该学术机构对处理Facebook上的个人数据负责。但是,Facebook Insights允许粉丝页面的管理员即该学术机构抽取访问该页面的用户cookies数据。即:Facebook根据收集到的这些cookies信息提供给管理员有关用户行为的统计数据,包括年龄、性别、关系网、职业、生活方式及地理位置等信息。根据这些数据,管理员可以针对合适的受众提供特别优惠或组织活动。因此,在欧洲法院看来,粉丝页面的管理员必须被视为与Facebook联合处理数据的数据控制者共同承担责任。
什么是数据处理者?
数据处理者是处理数据控制者提供给他们的任何数据。第三方数据处理者不拥有他们处理的数据,也不控制这些数据。这意味着数据处理者将无法改变数据使用的目的和方式。数据处理者的典型活动是提供IT解决方案,包括云存储。数据处理者对数据控制者的职责必须在合同或其他法律行为中作出明确规定。例如,合同必须指明合同终止后个人数据应该怎么处理。
GDPR第28条是对数据处理者的规定:
1. 代表数据控制者进行的处理,数据控制者应仅使用提供充分担保保证的会采取适当技术性和组织性措施以使处理符合本条例要求并确保数据主体的权利得到保障的数据处理者。
2. 未获得数据控制者事先特别或一般书面授权时,该数据处理者不能引入另一个数据处理者。在一般的书面授权的情况下,数据处理者应当通知数据控制者任何有关计划增加或者替代其他数据处理者的变动,以使数据控制者有机会拒绝该变动。
两者的关系:数据控制者可以指示数据处理者如何处理数据,包括保留数据的时间、用户访问数据的权限等,或者授权数据处理者依照其最佳判断和行业标准做法处理数据。而数据处理者仅允许基于来自数据控制者的记录指令来处理个人数据,没有相应数据控制者事先约定或一般书面授权,数据处理者不能与另一数据处理者通信以帮助履行特定合同。
数据控制者的职责
1.确定处理目的和方式
数据控制者负有确定个人数据收集和处理的目的的主要责任。他们必须明确建立数据处理的法律基础,并确保其符合数据正在处理的个人或数据主体的权利和期望。数据控制者必须考虑数据隐私和保护原则,确定适当的处理手段和方法。
2. 获得同意
在许多情况下,数据控制者在处理个人数据之前必须获得个人的有效同意。这涉及提供有关处理目的、所涉及数据类型以及任何潜在第三方接收者的清晰简洁的信息。数据控制者必须确保同意是自由给予的、具体的、知情的,并且可以轻松撤回。
3. 确保数据安全
数据控制者有责任实施适当的安全措施来保护他们收集和处理的个人数据。这包括防止未经授权的访问、丢失、破坏、更改或披露个人数据。加密、访问控制和定期安全评估等措施对于维护数据机密性、完整性和可用性至关重要。
4. 提供透明度和隐私声明
数据控制者必须向个人提供有关组织处理实践的透明且易于访问的信息。隐私声明或政策应概述所收集的个人数据的类型、处理目的、数据保留期限以及涉及的任何第三方。通过提供清晰的信息,数据控制者使数据主体能够对其数据做出明智的决定并行使其隐私权。
5. 促进个人权利的行使
数据控制者必须使个人能够行使其有关个人数据的权利。这包括访问、纠正、删除、限制处理和反对处理的权利。数据控制者必须制定适当的流程来及时有效地处理隐私请求,确保个人能够维护自己的权利并保持对其数据的控制。
6. 进行数据保护影响评估(DPIA)
在数据处理可能对个人权利和自由造成高风险的情况下,数据控制者必须进行DPIA。这些评估通过评估处理活动的必要性、相称性和影响来帮助识别和减轻潜在的隐私风险。DPIA允许数据控制者实施适当的措施来保护个人数据并遵守法律要求。
7. 建立数据处理协议
当数据处理者代表其处理个人数据时,数据控制者必须建立明确且全面的数据处理协议。这些协议概述了数据处理者必须遵守的具体说明、安全义务和数据保护要求。通过签订这些合同,数据控制者确保处理者按照适用的法律和法规处理个人数据。
数据处理者的职责
1.按照指示处理数据
数据处理者必须根据数据控制者提供的指示处理个人数据。除非法律要求,否则他们不应偏离这些说明。数据处理者仅应收集、存储和使用个人数据以实现数据控制者规定的特定目的,未经明确授权不得将其用于任何其他目的。
2.确保数据安全和保密
数据处理者有责任实施强有力的安全措施来保护他们处理的个人数据。这包括维护数据的机密性、完整性和可用性,并防止未经授权的访问、数据丢失或泄露。应采取适当的安全措施,例如加密、访问控制和定期安全评估,以保护数据并防止数据泄露。
3.协助数据控制者
数据处理者有义务协助数据控制者履行其职责。这可能涉及支持数据控制者响应数据主体请求 (DSR),以行使其数据保护权利,例如访问个人数据或纠正不准确之处。数据处理者还应与数据控制者合作执行DPIA/PIA并遵守数据保护法规。
4.分包和数据共享
如果数据处理者雇用分包商或与第三方共享个人数据,他们必须确保这些实体符合相同的数据保护标准。数据处理者应与这些各方签订适当的合同协议,概述其数据保护义务并确保根据适用的法律和法规处理个人数据。
5.数据泄露通知
如果发生数据泄露,数据处理者有责任立即将事件通知数据控制者。他们应提供所有必要的信息,以协助数据控制者履行数据保护法要求的通知受影响个人和监管机构的义务。
6.数据删除和保留
数据处理者必须遵循数据控制者关于个人数据保留和删除的指示。一旦处理目的完成,数据处理者应安全地删除或匿名化个人数据,除非有法律义务要求保留这些数据。他们保留个人数据的时间不应超出数据控制者定义的指定保留期限。
7.遵守数据保护法律
数据处理者必须遵守适用的数据保护法律和法规,包括《通用数据保护条例》 ( GDPR ) 和其他相关隐私法。他们应该随时了解这些法律规定的义务,并维护反映当前数据保护最佳实践的内部政策和程序。
发表评论