学习过GDPR的同学都知道,GDPR条文中不仅有数据控制者,还有数据处理者,很多人疑惑,这两个名词在法律上是指同一个角色吗?两者之间的法律责任一样吗?GDPR分别对他们有什么要求?事实上,数据控制者和数据处理者的关系,既可以是两个不同企业之间的事情,也可以是企业内部的事情,例如在同一个企业集团的情况下,集团内一个企业也可以作为另一个同一所属集团企业的数据处理者。GDPR对此分别进行了不同责任规定,今天SCA结合法律原文,整理以下内容,希望对您日后的GDPR合规工作有所帮助。
通常来讲,数据控制者和数据处理者都有权对个人有效数据进行处理,都是数据的处理方,数据处理者根据数据控制者的指令收集、处理或使用个人数据。GDPR条例第四章,第24条至43条,详列了关于数据控制者和数据管理者的责任规定,有兴趣的朋友可以找来原文参阅了解。以下内容是SCA结合GDPG法律原文,分别对数据控制者、联合数据控制者和数据处理者做出的详细解读,仅供参考,在企业实际事务中,还请参考有关法律专家的指导。
第一、什么是数据控制者?
数据控制者确定该个人数据被处理的目的和方式。因此,如果企业有权决定应该处理个人数据的“原因”和“方式”,那么它就是数据控制者。而在组织内处理个人数据的员工这样做是为了完成数据控制者的任务。
当企业与一个或多个组织一起共同决定应该处理个人数据的“原因”和“方式”时,企业是一个联合控制者。联合控制人必须签订协议,规定各自遵守GDPR规则的责任。必须将该协议的主要内容传达给正在处理其数据的个人或数据处理者。
关于共同数据控制者
最低0.47元/天 解锁文章
1012
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
