GDPR中数据控制者和数据处理者有明确区别,他们在法律责任上有所不同。数据控制者决定数据处理的目的和方式,而数据处理者根据控制者指令操作。两者共同确保个人数据合规处理,数据控制者为主要联系人,负责法律要求的合规。数据处理者需在控制者授权下行动,且合同需规定处理细节。在某些情况下,同一实体可能既是控制者也是处理者。
学习过GDPR的同学都知道,GDPR条文中不仅有数据控制者,还有数据处理者,很多人疑惑,这两个名词在法律上是指同一个角色吗?两者之间的法律责任一样吗?GDPR分别对他们有什么要求?事实上,数据控制者和数据处理者的关系,既可以是两个不同企业之间的事情,也可以是企业内部的事情,例如在同一个企业集团的情况下,集团内一个企业也可以作为另一个同一所属集团企业的数据处理者。GDPR对此分别进行了不同责任规定,今天SCA结合法律原文,整理以下内容,希望对您日后的GDPR合规工作有所帮助。
通常来讲,数据控制者和数据处理者都有权对个人有效数据进行处理,都是数据的处理方,数据处理者根据数据控制者的指令收集、处理或使用个人数据。GDPR条例第四章,第24条至43条,详列了关于数据控制者和数据管理者的责任规定,有兴趣的朋友可以找来原文参阅了解。以下内容是SCA结合GDPG法律原文,分别对数据控制者、联合数据控制者和数据处理者做出的详细解读,仅供参考,在企业实际事务中,还请参考有关法律专家的指导。
第一、什么是数据控制者?
数据控制者确定该个人数据被处理的目的和方式。因此,如果企业有权决定应该处理个人数据的“原因”和“方式”,那么它就是数据控制者。而在组织内处理个人数据的员工这样做是为了完成数据控制者的任务。
当企业与一个或多个组织一起共同决定应该处理个人数据的“原因”和“方式”时,企业是一个联合控制者。联合控制人必须签订协议,规定各自遵守GDPR规则的责任。必须将该协议的主要内容传达给正在处理其数据的个人或数据处理者。
关于共同数据控制者GDPR第26条对此做了法律说明。
GDPR第26条原文如下:
1、两个或两个以上的数据控制者共同决定处理的目的和方式时,为共同数据控制者。共同数据控制者应以透明的方式,彼此安排时间,确定各自遵守本条例所规定的义务的责任,特别是关于数据主体行使其各自关于本条例第13条和14条规定的提供信息的义务,对数据控制者生效的欧盟或欧盟
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
