2020年9月2日,欧洲数据保护委员会('EDPB')发表 新指南 关于一般数据保护规范中的控制器和处理器的概念('GDPR')。这些指南在2020年10月19日之前开放公众咨询。新的准则将取代 以前的指导方针 在同样的概念,由第29条工作组在2010年发布。

新指南的第一部分分析了控制器和处理器的概念,提供了相关的示例。第二部分分析了不同角色之间的后果和关系。

控制器

虽然已经确定了控制员是决定处理的目的和手段的方(即 为什么如何 处理),EDPB澄清了:

  • 控制器是一个决定处理的某些关键要素的主体;
  • 虽然控制器必须决定目的和手段,但是实现的一些更实际的方面(称为“非必要手段”)可以留给处理器,例如使用的IT系统或特定的安全措施;
  • 一个人可以是用于特定处理阶段的控制器,或者仅用于其中一部分[1];
  • 控制器没有必要访问正在处理的数据被视为控制器[2];和
  • 合同条款可以帮助识别控制器,但在所有情况下它们都不会果断。

EDP​​B还讨论了控制器和处理器之间的关系及其实际意义。 EDP​​B提醒其义务的控制人员,只参与提供足够保证的处理器,以实施适当的技术和组织措施,以便该处理符合GDPR的要求。

此外,在深入指导中提供的EDPB以及数据处理协议应该包括的内容以及要包括的详细程度。它不应重述GDPR的相关规定。相反,它应该包括如何满足控制器和处理器之间的相关要求的具体和具体信息,特别是与要部署的安全级别有关。

特别是,数据处理协议应该说明子处理器如何授权,处理器如何帮助控制器符合GDPR下的义务,以及处理器实现的安全措施。

联合控制器

EDP​​B为确定联合控制器的总体标准提供了一些实际指导。 edpb澄清了 联合的 控制可以通过“共同决定“或通过”融合决策“(即,在没有两个控制器的决定的情况下无法进行处理)。

虽然任何指令95/46 / EC也不应记录在联合控制器之间的关系中的任何形式,但EDPB建议联合控制器进入合同或类似的绑定文件。该指导方针表明,该约束文件记录了每个控制员在GDPR和彼此的数据主体上对数据主体的义务。

各方可以自由地分配自己之间的责任,因为他们认为适合哪一个是最好的位置来遵守这些责任。联合控制器必须提供“本质“他们对数据主体的安排,包括提供清晰度,即数据控制器是行使数据主体权利的联系点。

处理器

eDPB解释说,作为处理器有两个基本条件:

  1. 它必须是控制器的单独实体;和
  2. 它必须代表控制器处理个人数据,从而根据控制器的说明。

根据如何最好地服务于控制器的兴趣,处理器是一定程度的自由裁量权,例如通过能够选择最合适的技术和组织方式。

处理器将被视为一个控制器,其中它超出了控制器的指令,并确定了自己的目的和处理手段。

评论

EDP​​B的新指南提供了这些概念周围的更深层种。他们提醒人们整体上的GDPR下的数据保护制度仍在成熟。

___________________

[1] 时尚id.,C-40/17,ECLI:欧盟:C:2019:629,第74段

[2] wirtschaftsakademie.,C-201/16,ECLI:欧盟:C:2018:388,第38段