APUS研究院 | 一篇文章理清GDPR下的“控制者”和“處理者”_風聞

企業在進行GDPR合規工作的時候， 定義自己是“控制者”（Controller）還是“處理者”（Processor），是個相當糾結的問題。一方面，不懂啥意思：“控制者”和“處理者”究竟是什麼角色，他們的法律義務有啥不同。另一方面，弄錯了後果太嚴重：輕則合規工作上面花冤枉錢，重則全球營收百分之幾充公也有可能的。

所以，小編想在本期文章中，跟各位大佬好好彙報這個問題，希望各位大佬在讀完本文後可以：

**1.**突破法條複雜的表述，快速簡單的區分兩個概念

**2.**瞭解二者各自承擔了什麼義務

秒懂啥是**“控制者”和“處理者”**

GDPR是如何定義“控制者”和“處理者”的呢？

GDPR第四條第（6）款規定，能夠單獨或與其他主體一起決定個人數據處理目的和方法的自然人、法人或者公權力機關、機構或者其他主體，是個人數據的控制者。

GDPR第四條第（7）款規定，代表控制者處理個人數據的自然人、法人、公權力機關、機構或者其他主體，是個人數據的處理者。

看了條文，是不是覺得有點兒雲裏霧裏的？別急，辨析兩個概念的關鍵點…請看下方紅色加粗字體。

“控制者”決定（determines）個人數據處理的目的（purposes）和方式（means）。

“處理者”只替（on behalf of）“控制者”處理個人數據。換句話説，為什麼處理這些數據是“處理者”決定不了的，怎麼處理這些數據也是“控制者”説了算的。

如果“處理者”的活動超出了“替”的範圍，如果在某次處理活動中，“處理者”決定了處理活動的目的和方式，那麼針對這次處理活動，“處理者”就將被認為是“控制者”。 

那是不是掌握了概念以及概念的要點，實踐中就可以輕鬆的判定自己到底是“控制者”還是“處理者”了呢？

小編提醒各位大佬，沒有那麼樂觀。“決定”、“目的”和“方式”等詞看似不難理解，但實踐中的適用往往需要進行復雜的事實分析。

舉個例子，既然“目的”和“方式”都是“控制者”決定的，那“處理者”在代表“控制者”處理個人數據時候有沒有自主權，有多大自主權？是否連個人數據處理所採用的技術手段都決定不了？ 

本期這個問題就不展開了。有機會小編另寫一篇文章，與各位大佬探討這個問題。 

**“控制者”和“處理者”**都需要做的事情

雖然角色不同，但需要注意的問題還是有不少的共同點。GDRP下，“控制者”和“處理者”同時適用的個人數據保護義務有：

安全措施的採取；

個人數據處理活動的記錄； 

數據保護官（DPO）的任命； 

對外傳輸時安保措施的採取；  

域內代表的任命；以及

配合數據專門保護機關的工作。 

**#**安全措施的採取 

GDPR下，“控制者”和“處理者”都需要通過技術或管理措施來保證被處理的個人數據的安全。 

遵循根據GDPR的規定製定的“行為準則”（Code of Conducts）或者獲得根據GDPR規定頒發的“認證”（Certification）也視作採取了GDPR認可的數據保護措施。

**#**個人數據處理活動的記錄

不論是“控制者”還是“處理者”，都需要按照GDPR的要求記錄個人數據處理活動。

“控制者”記錄其“負責的”（under its responsibility）個人數據處理活動，“處理者”記錄其替“控制者”進行的處理活動。記錄應該是書面的（電子形式的也可），幷包含聯繫方式、處理目的、數據主體類別等GDPR規定的內容。

值得注意的是，針對這項義務，GDPR對250人以下的企業進行了有條件的豁免。 

**#**數據保護官的任命 

都什麼企業需要任命數據保護官呢？

一般來講，系統的、有規律的大規模監控數據主體的，或者大規模處理GDPR規定的特殊種類個人數據的“控制者”和“處理者”需要任命數據保護官。

**#**向外傳輸時安保措施的採取 

為了確保個人數據在向外傳輸時也能受到GDPR相同程度的保護，向其他國家或者國際組織傳輸個人數據時，需要採取安保措施。 

同時GDPR明確要求，不論在多少個不同的主體之間傳輸多少次，“控制者”和“處理者”都需要維持GDPR程度的保護。 

**#**域內代表的任命 

如果處理行為受到GDPR管轄，即使“控制者”或者“處理者”位於歐盟域外，其也必須在歐盟域內書面指定一個代表。 

這個代表應該和個人數據被處理的數據主體處於同一個歐盟成員國，如果是隸屬於多個成員國的多個數據主體的情況，則處於其中一國即可。 

**#**配合數據專門保護機關的工作

“控制者”和“處理者”都需要按照要求配合數據專門保護機關的工作。 

只有**“控制者”**需要做的事情

如果企業是“處理者”，無需擔心以下這些只有“控制者”才需要履行的個人數據保護義務。 

從設計開始的、默認的數據保護；

與“處理者”簽署個人數據處理合同；

通知數據專門保護機關和相關數據主體個人數據泄露；

進行影響評估和事前諮詢；以及

共同“控制者”的特別情況。

 **#**從設計開始的、默認的數據保護

“控制者”決定個人數據處理的方式和目的。

GDPR要求“控制者”在綜合考量數據處理活動的目的、內容等相關信息後，保證默認的處理活動和處理活動的設計都滿足GDPR的要求。

**#與“處理者”**簽署個人數據處理合同； 

在與“處理者”合作時，GDPR要求“控制者”必須與“處理者”簽署有特定條款（含電子形式）的書面協議。

根據小編蒐集到的資料，如果沒有簽署協議，一般認為“控制者”會承擔相應的責任。同時有觀點認為現在GDPR對於“處理者”是否也會擔責規定的不太明確。 

**#**通知數據專門保護機關和相關數據主體個人數據泄露 

如果個人數據泄露可能會對有關數據主體的權利和自由造成高風險，“控制者”需要在72小時內通知數據專門保護機關，以及立即通知有關數據主體。 

**#**進行影響評估和事前諮詢 

GDPR下，“控制者”在進行數據處理之前，有進行個人數據保護影響評估的義務。 

作為GDPR下重要的個人數據保護工具，第35條對於評估的流程、內容與專門保護機關的配合等方面做出了一系列規定。

根據評估的結果，如果處理活動可能對數據主體的權利和自由造成高風險，“控制者”應根據GDPR的規定在處理前諮詢數據專門保護機關。

**#共同“控制者”**的特殊情況

兩個或兩個以上主體共同決定數據處理的目的和方式時，這些主體就是共同“控制者”。 

根據GDPR，共同“控制者”有義務以書面的形式明確權利和義務的分擔。 

只有**“處理者”**需要做的事情 

最後，以下是與“處理者”有關的保護義務。

與“控制者”簽署個人數據處理合同； 

通知“控制者”個人數據泄露；以及

關於“轉包”的事前書面許可。

 **#與“控制者”**簽署個人數據處理合同；

正如上文所述，有觀點認為與目前還不明確與“控制者”簽署個人數據處理合同是否同樣也是“處理者”的義務。 

**#通知“控制者”**個人數據泄露

“處理者”在知曉個人數據泄露後，應該馬上通知“控制者”，沒有正當理由不能延誤。 

**#關於“轉包”**的事前書面許可； 

如果“處理者”需要將個人數據處理活動“轉包”給另一個“處理者”，GDPR規定必須獲得“控制者”的事前書面同意。 

這種書面同意可以是針對此次“轉包”的特定的同意，也可以是一個早先簽好的，概括的同意。如果是後者，“處理者”在進行轉包時候必須通知“控制者”。 

同時，GDPR還要求“處理者”在“轉包時”，必須通過簽署協議的方式，保證其與“控制者”合同義務，也同樣約束接受“轉包”的下一個“處理者”。 

尾聲

“控制者”和“處理者”簡單的概念介紹和義務總結就到此為止。之後的文章中，小編希望給大家介紹一下歐盟法院系統在極端事實情形下探尋“控制者”和“處理者”角色邊界的經典案例——Swift案。 

最後還是那句話，GDPR合規無小事，各位大佬我們下期再見啦！ 

（本文謹代表APUS研究院觀點，並非正式法律意見。如有問題歡迎隨時溝通。）

APUS****研究院

APUS旗下專注於全球互聯網發展研究的智庫平台，是面向未來移動互聯網創新變革的孵化器及加速器。