什麽是數據控制者?
數據控制者确定個人數據的處理目的和方式。若該企業有權決定處理個人數據的 " 原因 " 和 " 方式 ",那麽它就是數據控制者。在 GDPR 中,數據控制者在保護數據主體(例如網站用戶)的隐私和權利方面負有最大責任。數據控制者可以使用自己的流程處理收集的數據。然而,在某些情況下,數據控制者需要與第三方或外部服務合作才能處理已收集的數據。即使在這種情況下,數據控制者也不會将對數據的控制權放棄給第三方,而是指定外部服務如何使用和處理數據來保持控制。
例子:一家健身房聘請當地印刷公司制作該健身房正在舉辦的特别活動邀請函。健身房從會員數據庫中向印刷公司提供會員的姓名和地址,印刷商用這些信息來處理邀請函和信封的地址。然後健身房發出邀請。
健身房是與邀請相關的個人數據處理的控制者。健身房确定處理個人數據的目的(發送單獨發送的活動邀請)和處理方式(使用數據主體的地址詳細信息通過郵件合并個人數據)。印刷公司是僅根據健身房的指示處理個人數據的處理者。
此外,當企業與一個或多個組織一起共同決定應該處理個人數據的 " 原因 " 和 " 方式 " 時,企業是一個聯合控制者。聯合控制人必須簽訂協議,規定各自遵守 GDPR 規則的責任。必須将該協議的主要内容傳達給正在處理其數據的個人或數據處理者。
關于共同數據控制者 GDPR 第 26 條對此作了法律說明:
1. 兩個或兩個以上的數據控者共同決定處理的目的和方式時,爲共同數據控制者。共同數據控制者應以透明的方式,彼此安排時間,确定各自遵守本條例所規定的義務的責任,特别是關于數據主體行使其各自關于本條例第 13 條和第 4 條規定的提供信息的義務,對數據控制者生效的歐盟或歐盟成員國法律已對數據控制者各自的責任作出規定的除外。該安排可以爲數據主體制定一個聯絡點。
2. 第 1 款規定的安排應當适應反映共同數據對于數據主體各自的職責和關系。數據主體應可得知該安排的實質内容。
3. 不論第款規定的安排條款爲何,數據主體可以依據本條例像任何一個數據控制者行使權力。
在實踐中,必須區分數據處理者和共同控制者,因爲二者承擔的責任範圍與大小也不同。
案例:德國一家名爲 Wirtschaftsakademie Schleswig-Holstein GmbH 的學術機構在 Facebook 上運營一個粉絲頁面,并通過一個名爲 "Facebook 見解儀 " 的功能利用浏覽器緩存收集用戶的數據。數據收集的目的是向粉絲頁面的管理員提供統計信息,并發布目标廣告。
德國數據保護局在發現該機構數據收集存在缺陷後,命令該機構停止收集數據,并停用該粉絲頁面。該機構否認了其在 Facebook 上處理個人數據的法律責任,從而對該命令提出了抗議。它還否認向 Facebook 提供了有關數據處理的指示,并聲稱德國數據保護局應該直接對數據控制者 Facebook 采取行動,學術機構僅是 Facebook 的用戶。
案件争議點在于判斷該學術機構是否具有 " 數據控制者 " 的角色,亦或該角色是否僅屬于 Facebook。2018 年 6 月 5 日,歐洲法院作出判決,粉絲頁面的管理員必須被視爲與 Facebook 聯合處理數據的數據控制者共同承擔責任。
法院認爲:僅僅使用 Facebook 并不能使該學術機構對處理 Facebook 上的個人數據負責。但是,Facebook Insights 允許粉絲頁面的管理員即該學術機構抽取訪問該頁面的用戶 cookies 數據。即:Facebook 根據收集到的這些 cookies 信息提供給管理員有關用戶行爲的統計數據,包括年齡、性别、關系網、職業、生活方式及地理位置等信息。根據這些數據,管理員可以針對合适的受衆提供特别優惠或組織活動。因此,在歐洲法院看來,粉絲頁面的管理員必須被視爲與 Facebook 聯合處理數據的數據控制者共同承擔責任。
什麽是數據處理者?
數據處理者是處理數據控制者提供給他們的任何數據。第三方數據處理者不擁有他們處理的數據,也不控制這些數據。這意味着數據處理者将無法改變數據使用的目的和方式。數據處理者的典型活動是提供 IT 解決方案,包括雲存儲。數據處理者對數據控制者的職責必須在合同或其他法律行爲中作出明确規定。例如,合同必須指明合同終止後個人數據應該怎麽處理。
GDPR 第 28 條是對數據處理者的規定:
1. 代表數據控制者進行的處理,數據控制者應僅使用提供充分擔保保證的會采取适當技術性和組織性措施以使處理符合本條例要求并确保數據主體的權利得到保障的數據處理者。
2. 未獲得數據控制者事先特别或一般書面授權時,該數據處理者不能引入另一個數據處理者。在一般的書面授權的情況下,數據處理者應當通知數據控制者任何有關計劃增加或者替代其他數據處理者的變動,以使數據控制者有機會拒絕該變動。
兩者的關系:數據控制者可以指示數據處理者如何處理數據,包括保留數據的時間、用戶訪問數據的權限等,或者授權數據處理者依照其最佳判斷和行業标準做法處理數據。而數據處理者僅允許基于來自數據控制者的記錄指令來處理個人數據,沒有相應數據控制者事先約定或一般書面授權,數據處理者不能與另一數據處理者通信以幫助履行特定合同。
數據控制者的職責
1. 确定處理目的和方式
數據控制者負有确定個人數據收集和處理的目的的主要責任。他們必須明确建立數據處理的法律基礎,并确保其符合數據正在處理的個人或數據主體的權利和期望。數據控制者必須考慮數據隐私和保護原則,确定适當的處理手段和方法。
2. 獲得同意
在許多情況下,數據控制者在處理個人數據之前必須獲得個人的有效同意。這涉及提供有關處理目的、所涉及數據類型以及任何潛在第三方接收者的清晰簡潔的信息。數據控制者必須确保同意是自由給予的、具體的、知情的,并且可以輕松撤回。
3. 确保數據安全
數據控制者有責任實施适當的安全措施來保護他們收集和處理的個人數據。這包括防止未經授權的訪問、丢失、破壞、更改或披露個人數據。加密、訪問控制和定期安全評估等措施對于維護數據機密性、完整性和可用性至關重要。
4. 提供透明度和隐私聲明
數據控制者必須向個人提供有關組織處理實踐的透明且易于訪問的信息。隐私聲明或政策應概述所收集的個人數據的類型、處理目的、數據保留期限以及涉及的任何第三方。通過提供清晰的信息,數據控制者使數據主體能夠對其數據做出明智的決定并行使其隐私權。
5. 促進個人權利的行使
數據控制者必須使個人能夠行使其有關個人數據的權利。這包括訪問、糾正、删除、限制處理和反對處理的權利。數據控制者必須制定适當的流程來及時有效地處理隐私請求,确保個人能夠維護自己的權利并保持對其數據的控制。
6. 進行數據保護影響評估(DPIA)
在數據處理可能對個人權利和自由造成高風險的情況下,數據控制者必須進行 DPIA。這些評估通過評估處理活動的必要性、相稱性和影響來幫助識别和減輕潛在的隐私風險。DPIA 允許數據控制者實施适當的措施來保護個人數據并遵守法律要求。
7. 建立數據處理協議
當數據處理者代表其處理個人數據時,數據控制者必須建立明确且全面的數據處理協議。這些協議概述了數據處理者必須遵守的具體說明、安全義務和數據保護要求。通過簽訂這些合同,數據控制者确保處理者按照适用的法律和法規處理個人數據。
數據處理者的職責
1. 按照指示處理數據
數據處理者必須根據數據控制者提供的指示處理個人數據。除非法律要求,否則他們不應偏離這些說明。數據處理者僅應收集、存儲和使用個人數據以實現數據控制者規定的特定目的,未經明确授權不得将其用于任何其他目的。
2. 确保數據安全和保密
數據處理者有責任實施強有力的安全措施來保護他們處理的個人數據。這包括維護數據的機密性、完整性和可用性,并防止未經授權的訪問、數據丢失或洩露。應采取适當的安全措施,例如加密、訪問控制和定期安全評估,以保護數據并防止數據洩露。
3. 協助數據控制者
數據處理者有義務協助數據控制者履行其職責。這可能涉及支持數據控制者響應數據主體請求 ( DSR ) ,以行使其數據保護權利,例如訪問個人數據或糾正不準确之處。數據處理者還應與數據控制者合作執行 DPIA/PIA 并遵守數據保護法規。
4. 分包和數據共享
如果數據處理者雇用分包商或與第三方共享個人數據,他們必須确保這些實體符合相同的數據保護标準。數據處理者應與這些各方簽訂适當的合同協議,概述其數據保護義務并确保根據适用的法律和法規處理個人數據。
5. 數據洩露通知
如果發生數據洩露,數據處理者有責任立即将事件通知數據控制者。他們應提供所有必要的信息,以協助數據控制者履行數據保護法要求的通知受影響個人和監管機構的義務。
6. 數據删除和保留
數據處理者必須遵循數據控制者關于個人數據保留和删除的指示。一旦處理目的完成,數據處理者應安全地删除或匿名化個人數據,除非有法律義務要求保留這些數據。他們保留個人數據的時間不應超出數據控制者定義的指定保留期限。
7. 遵守數據保護法律
數據處理者必須遵守适用的數據保護法律和法規,包括《通用數據保護條例》 ( GDPR ) 和其他相關隐私法。他們應該随時了解這些法律規定的義務,并維護反映當前數據保護最佳實踐的内部政策和程序。
