x

【GDPR】“控制者”、“处理者”和“传输”:重新解释了一些GDPR概念

cioctocdo
18 August 2022
SEO Title
‘Controller,’ ‘Processor’ and ‘Transfer’: Some GDPR Concepts Re-Explained

文章分类

数据隐私日快乐!

许多公司仍在为通用数据保护法规的一些基本概念而挣扎,例如个人数据的“控制者”“处理者”和“传输”。欧洲数据保护委员会(EDPB)试图在其控制器和处理器概念指南及其数据传输指南草案中阐明这些概念。

这篇博客文章总结了控制器、联合控制器、处理器和数据传输概念的关键要素。公司控制人、联合控制人或处理人的法律地位来自对案件事实要素或情况的分析。数据传输的概念对于那些虽然未在欧洲经济区(EEA)建立但属于GDPR地域范围的公司尤其重要。

作为提醒,GDPR也适用于在欧盟没有设立机构但在欧盟有目标数据主体的公司。

#1: 是什么使您的公司成为GDPR下的控制者?

控制者确定相关个人数据的处理目的(即,为什么进行处理)和处理手段(即,如何实现该目标)。虽然有关目的的决定始终由控制者决定,但在手段方面存在区别:

  • “基本手段”必须由控制者确定,因为它们与处理目的密切相关。除其他外,它们可能包括确定将处理哪些数据或将处理和保留数据多长时间。
  • “非必要手段”可由处理者决定。它们涉及实现的更实际的方面,例如硬件或软件的选择。

EDPB提供了在其核心活动中通常被视为控制人的公司的例子:临床试验赞助商、代表争议公司的律师事务所、为其客户签发旅行证件的旅行社等。

关键点

  • 获取数据不是一方成为控制方的先决条件。
  • 作为控制者或处理者的角色分配是不可协商的。
  • 控制者和处理者都负责确保已输入数据处理术语。
  • 此类条款应明确标识(例如,在主服务协议、使用条款或其附件中)。
  • 为选择处理者而进行的控制者风险评估需要考虑处理器的知识、可靠性、资源和市场声誉。

#2: 是什么使贵公司成为GDPR下的联合控制人?

联合控制人是联合参与确定加工作业的目的和方法的结果。这种参与可以采取两个或多个实体共同作出决定的形式,也可以通过将决定分配给每一方而产生。一个重要的标准是,没有双方的参与,处理是不可能的,因为各方的处理是不可分割的(即不可分割地联系在一起)。

例如,欧盟法院已确定在以下情况下存在联合控制人。

  • 网站运营商和社交插件提供商,其中社交插件嵌入在网站上,通过使商品在社交网络上更可见来优化商品的宣传。
  • 粉丝页面和社交媒体平台的管理员,通过统计数据处理访问者的个人数据可以实现:
    • 社交媒体平台改善其广告系统。
    • 风扇页面的管理员可以获取页面活动促销的统计信息。

关键点

  • 加工活动产生的互惠(如商业)不一定会产生共同控制人。
  • 联合控制者之间的安排必须组织联合控制者与所有相关GDPR义务相关的责任,包括他们将如何与主管监管机构就数据保护影响评估、个人数据泄露通知和指定数据保护官员进行沟通。
  • 这些义务不需要平均分配,尽管每个控制者仍对其个人义务负责(例如,为处理提供法律依据)。

#3: 是什么让您的公司成为GDPR下的处理者?

处理者根据其指令代表控制者处理个人数据。通常充当处理者的公司可以是云服务提供商或帮助客户回答客户问题的呼叫中心提供商。

同一家公司通常同时作为某些处理操作的处理者(例如,与提供给数据控制者的服务相关的处理操作)和其他处理操作的控制者(例如,对其员工的工资管理)。然而,如果处理者开始为自己的目的使用委托的个人数据,则它将成为此类个人数据的控制者。

关键点

  • 处理者可以建议元素,如果控制者接受这些元素,这些元素将成为所给出指令的一部分,而不被视为控制者。
  • 控制者和处理者之间的数据处理协议必须针对处理活动,而不是简单地重申GDPR的规定。
  • 2021 6月,欧盟委员会通过了一套针对控制者和处理者的标准合同条款,以满足其数据处理条款的要求。

#4: 什么处理活动构成数据传输?

《全球数据保护条例》没有为“传输”提供法律定义。然而,2021 11月18日,EDPB发布了其数据传输指南草案,标题为“2021第5号指南,根据《全球数据保护规则》第五章,关于第3条的适用与国际传输规定之间的相互作用”。尽管这些指南仍在公开协商中,该指南是EDPB首次尝试界定这一概念的范围。

根据准则草案,“转让”意味着个人数据由根据第3条受GDPR约束的控制者或处理者(出口商)发送或提供给第三国的不同控制者或处理者(进口商),无论进口者是否受GDPR的约束。”

准则草案还提供了符合GDPR意义上的数据传输的处理操作示例。

  • 如果EEA中的处理者处理从EEA外部的控制者接收的数据并将该数据发送回该控制者,则存在传输。即使EEA以外的控制人受GDPR约束(基于第3.2条),个人数据的发回也将构成转移。
  • 如果EEA外部的控制者直接从EEA中的数据主体收集数据,并通过在线表单将数据传递给控制者,则传输不存在。

如果处理构成转让,则控制人和加工者需要遵守第五章GDPR的条件,并通过使用适当的工具,包括新的标准合同条款,确定其转让的框架。(有关更多信息,请参阅我们关于SCC的博客。)

关键点

  • 根据第3.2条,向总部位于欧洲经济区之外但仍受GDPR约束的控制者或处理者的传输需要较少的保护和保障。
  • 对于此类转让,欧盟委员会将在现有条款的基础上制定一套新的标准合同条款。
  • 即使在处理不构成转让的情况下,控制人仍有责任解决此类处理在GDPR下合法所需的风险。

本文:https://cioctocdo.com/controller-processor-and-transfer-some-gdpr-conce…

文章链接
https://cpo.work/controller-processor-and-transfer-some-gdpr-concepts-re-explained

标签