英国信息专员(ICO)已发布GDPR指南草案 控制者与加工者之间的合同和负债。指南草案目前向 咨询服务,截止日期为2017年10月10日。

该指南的目的是帮助组织了解《通用数据保护条例》(GDPR)下控制者与处理者之间的书面合同中应包含哪些内容。它还考察了控制者和处理者的责任和义务。

书面合同

根据GDPR,当控制人使用处理器处理个人数据时,必须签订书面合同。这不是一个新概念,因为已经使用数据处理协议来满足数据保护指令(95/46 / EC)的安全要求。但是,GDPR的范围更广,现在规定了此类合同中必须包含的特定条款;例如,处理的主题和持续时间,处理的性质和目的,要处理的个人数据的类型,数据主体的类别以及控制者的义务和权利。有关更多详细信息,请参见GDPR第28.3条和指南草案的第12页。

GDPR还允许使用由欧洲委员会或监管机构(例如ICO)发布的标准合同条款,以及处理者可以签署的批准的行为准则或认证计划;但是,这些尚不可用。

责任与义务

控制器

这里的关键点是,控制者最终负责确保根据GDPR处理个人数据。这意味着,不管使用处理器如何,控制器都可能受到GDPR规定的任何纠正措施和制裁-包括对数据主体的赔偿要求和行政罚款。但是,它可能能够向其处理者要求赔偿的全部或部分赔偿额(GDPR第82.5条)。

除非控制者能证明“对造成损害的事件不承担任何责任”,否则它将是 完全责任 无论因使用不符合处理器而导致的不合规处理所造成的任何损坏。

处理器

如果处理器在控制器的书面说明之外行事并确定处理的目的和手段,则将其视为控制器,并承担与上述相同的责任。

加工商还具有GDPR规定的某些直接责任和义务,其中一些是合同条款所必需的(有关更多详细信息,请参阅指南草案的第22-23页)。处理器可能被追究不遵守这些义务或合同条款的直接责任,并可能受到行政罚款或其他制裁,并有责任向数据主体支付赔偿。但是,它可能能够从控制人那里索回所支付的赔偿金,以控制人的责任份额(GDPR第82.5条)。如果处理器能够证明自己“对造成损害的事件不承担任何责任”,则它不承担任何责任。

子处理器

处理器无法通过使用子处理器来免除责任。子处理合同(根据GDPR要求)必须对子处理器施加与主合同中规定的相同的法律义务,并规定原始处理器仍对控制器负责,以确保子处理器的合规性。 。

企业应该做什么准备?

2018年5月25日签订的所有合同都需要满足GDPR的新要求。企业现在应该检查其现有合同,以确保它们包括所有必需的条款。如果没有,则需要起草并签署新合同。所有模板或先例合同也应在必要时进行审查和更新。

企业需要留出足够的时间与供应商就诸​​如风险和责任分配(包括任何上限的适当性),审计权和使用分处理器等问题进行谈判,特别是与提供大规模处理解决方案的供应商进行谈判。标准条款。

控制者还应负责检查其处理者是否有权处理个人数据,因此企业应在每种情况下进行评估,以使自己确信处理者正在根据GDPR的要求提供“足够的保证”。