【GDPR】GDPR处理

《通用数据保护条例》（GDPR）为所谓的“委托数据处理”提供了一种统一的、全欧洲范围的可能性，即处理者根据控制者基于合同的指示收集、处理或使用个人数据。

如果委托数据处理与欧盟内机构的活动有关，则委托数据处理的相关规定已经适用。这意味着，如果控制者或处理者在欧盟运营一家机构，并且处理过程在其活动的背景下进行，就足够了。必须区分处理和共同控制（GDPR第26条），其中双方共同定义数据处理的目的和方法，因此也共同负责这些目的和方法。

在控制者-处理者关系中，后者仅允许基于来自控制者的记录指令处理个人数据。未经相关控制人事先的具体或一般书面授权，处理人不得雇佣其他处理人帮助履行特定合同。在一般授权的情况下，处理者必须通知他有关处理的任何相关变更。

在大多数情况下，委托数据处理基于合同进行。GDPR第28（3）条规定了其最低要求。除其他事项外，合同必须包含将处理何种类型的个人数据，以及处理的目的和目的。此外，处理者还有其他义务。例如，他还必须维护处理活动的记录，其中包括他工作的每个控制者的姓名和联系数据，以及为他们进行的处理类别。此外，该指数必须包括（如适用）向第三国转移个人数据的情况，以及（如可能）技术和组织措施的一般说明。在选择处理方时，控制员必须确保其已实施足够的技术和组织措施，以确保处理满足法规的要求。

基本上，控制者是数据主体的第一联系人，负责数据处理符合法律要求。然而，这并不意味着处理者没有责任。根据GDPR第82条，他与控制人承担连带责任。然而，根据第2款，处理人的赔偿责任仅限于违反其特有的义务。双方都有能力为自己辩解。为此，他们必须证明他们对导致损害的事件不负任何责任。

Suitable GDPR articles

• Art. 4 GDPR Definitions 
• Art. 27 GDPR Representatives of controllers or processors not established in the Union 
• Art. 28 GDPR Processor 
• Art. 29 GDPR Processing under the authority of the controller or processor 
• Art. 30 GDPR Records of processing activities 
• Art. 40 GDPR Codes of conduct 
• Art. 42 GDPR Certification 
• Art. 44 GDPR General principle for transfers 
• Art. 45 GDPR Transfers on the basis of an adequacy decision 
• Art. 46 GDPR Transfers subject to appropriate safeguards
•  Art. 47 GDPR Binding corporate rules 
• Art. 82 GDPR Right to compensation and liability

Suitable Recitals

• (24) Applicable to Controllers/Processors Not Established in the Union if Data Subjects Within the Union are Profiled 
• (36) Determination of the Main Establishment 
• (80) Designation of a Representative 
• (81) The Use of Processors 
• (82) Record of Processing Activities 
• (98) Preparation of Codes of Conduct by Organisations and Associations
•  (99) Consultation of Stakeholders and Data Subjects in the Development of Codes of Conduct 
• (101) General Principles for International Data Transfers 
• (108) Appropriate Safeguards 
• (109) Standard Data Protection Clauses 
• (146) Indemnity 
• (147) Jurisdiction

External Links

Authorities

• Article 29 Data Protection Working Party ► WP 244 – Guidelines on the Lead Supervisory Authority (Link)
• Article 29 Data Protection Working Party ► WP 169 – Opinion on the concepts of “controller” and “processor” (2010!) (Link)
• European Commission ► Controller/processor (Link)
• Data Protection Authority UK ► Contracts and liabilities between controllers and processors (Link)
• Data Protection Authority Isle of Man ► Processors (Link)
• Data Protection Authority France ► General Data Protection Regulation: a guide to assist processors (Link)
• Data Protection Authority Luxembourg ► Data Protection Basics: The obligations of controllers and processors (Link)
• Data Protection Authority Ireland ► Guidance: A Practical Guide to Data Controller to Data Processor Contracts under GDPR (Link)

Expert contribution

• Bitkom ► Template Agreement Annex (Link)
• GDD ► Template – Processing in accordance with Article 28 General Data Protection Regulation (GDPR) (Link)
• IAPP ► Updating your vendor agreements to comply with GDPR (Link)
• IAPP ► What’s wrong with the ICO’s draft guidance on controller-processor contracts? (Link)
• DLA Piper ► Example Data Protection Addendum Addressing Article 28 GDPR (Processor Terms) and Incorporating Standard Contractual Clauses for Controller to Processor Transfers of Personal Data from the EEA to a Third Country (Link)

本文：https://cioctocdo.com/gdpr-processing