資料控制者確定處理個人資料的目的和方式。 如果企業有權決定處理個人資料的“原因”和“方式”,那麼它就是資料控制者。 在GDPR中,資料控制者對保護資料主體(如使用者)的私隱和權利負有最大責任。 資料控制者可以使用自己的流程處理收集的資料。 但是,在某些情況下,資料控制者需要與第三方或外部服務合作,以處理已收集的資料。 即使在這種情況下,資料控制者也不會將對資料的控制權交給第三方,而是指定外部服務如何使用和處理資料以保持控制。
示例:一家健身房聘請了一家當地印刷公司來製作該健身房正在舉辦的特別活動的邀請函。 健身房將會員資料庫中的會員姓名和位址提供給印刷公司,印表機使用這些資訊來處理邀請函和信封的位址。 然後健身房發出邀請。
健身房是處理與邀請相關的個人資料的控制者。 健身房確定處理個人資料的目的(傳送單獨傳送的活動邀請)和處理方式(使用資料主體的位址詳細資訊通過郵件合併個人資料)。 印刷公司是僅根據健身房的指示處理個人資料的處理者。
此外,當企業與乙個或多個組織共同決定應處理個人資料的“原因”和“方式”時,它就是共同控制者。 聯合控制人必須簽訂乙份協議,規定他們各自遵守GDPR規則的責任。 協議的主要內容必須傳達給正在處理其資料的個人或資料處理者。
GDPR 第 26 條關於共同資料控制者對此進行了法律解釋:
1.當兩個或兩個以上的資料控制者共同確定處理的目的和方式時,他們就是共同的資料控制者。 聯合資料控制者應以透明的方式相互安排時間,以確定各自遵守本條例規定的義務的責任,特別是資料主體根據本條例第 13 條和第 4 條行使各自提供資訊的義務,除非歐盟或歐盟成員國的法律已經規定了資料控制者的各自責任對資料控制者有效。該安排可以為資料主體建立乙個聯絡點。
2.第1款所訂明的安排應作出調整,以反映資料當事人在公共資料方面各自的責任和關係。 有關安排的實質內容應可供資料當事人查閱。
3.儘管有第1段所載的安排條款,資料當事人仍可作為任何資料控制者行使其在《規例》下的權利。
在實踐中,必須區分資料處理者和共同控制者,因為它們具有不同的責任範圍和程度。
舉個例子:一家名為 Wirtschaftsakademie Schleswig-Holstein GmbH 的德國學術機構在 Facebook 上運營乙個粉絲頁面,並通過乙個名為“Facebook Insights”的功能通過瀏覽器快取收集使用者資料。 資料收集的目的是向粉絲頁面的管理員提供統計資訊,並發布有針對性的廣告。
德國資料保護局在發現該機構資料收集方面的缺陷後,命令該機構停止收集資料並停用粉絲頁面。 該機構否認其在Facebook上處理個人資料的法律責任,因此提交了命令。 它還否認向Facebook提供有關資料處理的指示,並聲稱德國資料保護局應該對資料控制者Facebook採取直接行動,而該學術機構只是Facebook的使用者。
本案的爭議點在於,該學術機構是否具有“資料控制者”角色,或者該角色是否僅屬於Facebook。 2018 年 6 月 5 日,歐洲法院裁定,粉絲頁面的管理員必須被視為作為資料控制者對與 Facebook 共同處理資料承擔連帶責任。
法院認為,僅僅使用Facebook並不能使學術機構對Facebook上的個人資料的處理負責。 但是,Facebook Insights 允許粉絲頁面的管理員(即學術機構)從訪問該頁面的使用者那裡提取 cookie 資料。 換言之,Facebook 會根據這些 Cookie 收集的資訊(包括年齡、性別、網路、職業、生活方式和地理位置等資訊)向管理員提供有關使用者行為的統計資料。 根據這些資料,管理員可以為合適的受眾提供特別優惠或組織活動。 因此,在歐洲法院看來,粉絲頁面的管理員必須被視為與Facebook共同處理資料的資料控制者,承擔連帶責任。
資料處理者是處理資料控制者提供給他們的任何資料的資料處理者。 第三方資料處理者不擁有他們處理的資料,也不控制它。 這意味著資料處理者將無法更改資料使用的目的和方式。 資料處理者的典型活動是提供 IT 解決方案,包括雲儲存。 資料處理者對資料控制者的責任必須在合同或其他法律行為中明確規定。 例如,合同必須指定合同終止後個人資料會發生什麼。
GDPR 第 28 條對資料處理者進行了規定:
1.代表資料控制者進行的處理,資料控制者應僅使用提供充分保證並採取適當技術和組織措施的資料處理者,以使處理符合本法規的要求,並確保資料主體的權利得到保障。
2.未經資料控制者事先明確或一般書面授權,資料處理者不得引入其他資料處理者。 在一般書面授權的情況下,資料處理者應將有關新增或替換其他資料處理者計畫的任何更改通知資料控制者,以便資料控制者有機會拒絕更改。
兩者的關係
資料控制者可以指示資料處理者如何處理資料,包括資料將保留多長時間、使用者對資料的訪問等,或授權資料處理者根據其最佳判斷和行業標準做法處理資料。 另一方面,資料處理者只能根據資料控制者的記錄指示處理個人資料,並且未經相應資料控制者的事先同意或一般書面授權,資料處理者不能與其他資料處理者通訊以協助履行特定合同。
1.確定處理的目的和方式:資料控制者對確定收集和處理個人資料的目的負有主要責任。 他們必須明確建立資料處理的法律依據,並確保其符合正在處理資料的個人或資料主體的權利和期望。 資料控制者必須考慮資料私隱和保護原則,並確定適當的處理方式和方法。
2.獲得同意:在許多情況下,資料控制者在處理個人資料之前必須獲得個人的有效同意。 這涉及提供有關處理目的、所涉及的資料型別以及任何潛在第三方接收者的清晰簡明的資訊。 資料控制者必須確保同意是自由的、具體的、知情的,並且可以很容易地撤回。
3.確保資料安全:資料控制者負責實施適當的安全措施,以保護他們收集和處理的個人資料。 這包括防止未經授權的訪問、丟失、破壞、更改或披露個人資料。 加密、訪問控制和定期安全評估等措施對於維護資料機密性、完整性和可用性至關重要。
4.提供透明度和私隱宣告:資料控制者必須向個人提供有關組織處理實踐的透明且易於訪問的資訊。 私隱宣告或政策應概述所收集的個人資料的型別、處理資料的目的、資料保留期限以及涉及的任何第三方。 通過提供清晰的資訊,資料控制者使資料主體能夠對其資料做出明智的決定並行使其私隱權。
5.促進個人權利的行使:資料控制者必須使個人能夠行使與個人資料有關的權利。 這包括訪問、更正、刪除、限制處理和反對處理的權利。 資料控制者必須制定流程,及時有效地處理私隱請求,確保個人能夠維護自己的權利並保持對其資料的控制。
6.進行資料保護影響評估 (DPIA):在處理可能對個人權利和自由構成高風險的情況下,資料控制者必須執行 DPIA。 這些評估通過評估處理活動的必要性、相稱性和影響來幫助識別和減輕潛在的私隱風險。 DPIA 允許資料控制者實施適當的措施來保護個人資料並遵守法律要求。
7.建立資料處理協議:當資料處理者代表其處理個人資料時,資料控制者必須建立清晰、全面的資料處理協議。 這些協議概述了資料處理者必須遵守的具體說明、安全義務和資料保護要求。 通過簽訂這些合同,資料控制者確保處理者根據適用的法律和法規處理個人資料。
1.按照說明處理資料:資料處理者必須按照資料控制者提供的說明處理個人資料。 除非法律要求,否則他們不應偏離這些說明。 資料處理者只能出於資料控制者指定的特定目的收集、儲存和使用個人資料,未經明確授權不得將其用於任何其他目的。
2.確保資料安全性和機密性:資料處理者有責任實施強有力的安全措施來保護他們處理的個人資料。 這包括維護資料的機密性、完整性和可用性,並防止未經授權的訪問、資料丟失或披露。 應採取適當的安全措施,例如加密、訪問控制和定期安全評估,以保護資料並防止資料洩露。
3.對資料控制者的協助:資料處理者有義務協助資料控制者履行其職責。 這可能涉及支援資料控制者響應資料主體請求 (DSR) 以行使其資料保護權利,例如訪問個人資料或更正不準確之處。 資料處理者還應與資料控制者合作實施 DPIA PIA,並遵守資料保護法規。
4.分包和資料共享:如果資料處理者雇用分包商或與第三方共享個人資料,他們必須確保這些實體符合相同的資料保護標準。 資料處理者應與這些當事方簽訂適當的合同協議,概述其資料保護義務,並確保根據適用的法律和法規處理個人資料。
5.資料洩露通知:如果發生資料洩露,資料處理者有責任立即將事件通知資料控制者。 他們應提供所有必要的資訊,以協助資料控制者履行其義務,將資料保護**要求通知受影響的個人和監管機構。
6.資料刪除和保留:資料處理者必須遵循資料控制者關於保留和刪除個人資料的指示。 一旦達到處理目的,資料處理者應安全地刪除或匿名化個人資料,除非有法律義務要求保留此類資料。 他們保留個人資料的時間不得超過資料控制者定義的指定保留期限。
7.遵守資料保護法律:資料處理者必須遵守適用的資料保護法律和法規,包括《通用資料保護條例》(GDPR) 和其他相關私隱法。 他們應隨時了解這些法律規定的義務,並維護反映當前資料保護最佳實踐的內部政策和程式。