学习过GDPR的同学都知道，GDPR条文中不仅有数据控制者，还有数据处理者，很多人疑惑，这两个名词在法律上是指同一个角色吗？两者之间的法律责任一样吗？GDPR分别对他们有什么要求？事实上，数据控制者和数据处理者的关系，既可以是两个不同企业之间的事情，也可以是企业内部的事情，例如在同一个企业集团的情况下，集团内一个企业也可以作为另一个同一所属集团企业的数据处理者。GDPR对此分别进行了不同责任规定，今天SCA结合法律原文，整理以下内容，希望对您日后的GDPR合规工作有所帮助。

通常来讲，数据控制者和数据处理者都有权对个人有效数据进行处理，都是数据的处理方，数据处理者根据数据控制者的指令收集、处理或使用个人数据。GDPR条例第四章，第24条至43条，详列了关于数据控制者和数据管理者的责任规定，有兴趣的朋友可以找来原文参阅了解。以下内容是SCA结合GDPG法律原文，分别对数据控制者、联合数据控制者和数据处理者做出的详细解读，仅供参考，在企业实际事务中，还请参考有关法律专家的指导。

第一、什么是数据控制者？

数据控制者确定该个人数据被处理的目的和方式。因此，如果企业有权决定应该处理个人数据的“原因”和“方式”，那么它就是数据控制者。而在组织内处理个人数据的员工这样做是为了完成数据控制者的任务。

当企业与一个或多个组织一起共同决定应该处理个人数据的“原因”和“方式”时，企业是一个联合控制者。联合控制人必须签订协议，规定各自遵守GDPR规则的责任。必须将该协议的主要内容传达给正在处理其数据的个人或数据处理者。

关于共同数据控制者GDPR第26条对此做了法律说明。

GDPR第26条原文如下：

1、两个或两个以上的数据控制者共同决定处理的目的和方式时，为共同数据控制者。共同数据控制者应以透明的方式，彼此安排时间，确定各自遵守本条例所规定的义务的责任，特别是关于数据主体行使其各自关于本条例第13条和14条规定的提供信息的义务，对数据控制者生效的欧盟或欧盟成员国法律已对数据控制者各自的责任做出规定的除外。该安排可以为数据主体制定一个联络点。

2、第1款规定的安排应当适当反映共同数据对于数据主体各自的职责和关系。数据主体应可得知该安排的实质内容。

3、不论第1款规定的安排条款为何，数据主体可以依据本条例向任何一个数据控制者行使权力。

即人们必须区分数据处理者和共同控制者（第26条GDPR），双方共同确定数据处理的目的和手段，因此也共同负责。

关于数据控制者的责任GDPR 第24条 做出以下规定：

1、考虑到处理的性质，范围，背景和目的以及给自然人权利和自由带来的不同可能性和严重程度的风险，数据控制者应当采取适当的技术和组织措施，以确保并证明处理符合本条例规定。这些措施应在必要时予以审查和更新。

2、在处理活动相适当的情况下，第1款所述措施应包括数据控制者实施的适当数据保护政策。

3、遵守本条例第40条所述的经批准的行为守则或第42条所述的经批准的认证机制，可以作为数据控制者遵守其义务的证明要素。

基本上，数据控制者是数据主体的第一个联系人，并且负责让数据处理符合法律要求。但是，这并不意味着数据处理者不承担任何责任。GDPR规定，数据处理者与数据控制者共同承担责任。但是，根据第2款，处理者的责任仅限于违反他特有的义务。同时双方都有权利为自己开脱，要做到这一点，他们必须证明他们对导致损害的事件不负任何责任。

第二、什么是数据处理者？

数据处理者的典型活动是提供IT解决方案，包括云存储。在企业集团的情况下，同在一个集团内的一个企业可以作为另一个企业的处理者。数据处理者对数据控制者的职责必须在合同或其他法律行为中做出明确规定。例如，合同必须指明合同终止后个人数据应该怎么处理。

GDPR 第28条 讲述了数据处理者的相关规定 其中第1项第2项讲到：

1、代表数据控制者进行的处理，数据控制者应仅使用提供充分担保保证的会采取适当技术性和组织性措施以使处理符合本条例要求并确保数据主体的权利得到保障的数据处理者。

2、未获得数据控制者事先特别或一般书面授权时，该数据处理者不能引入另一个数据处理者。在一般的书面授权的情况下，数据处理者应当通知数据控制者任何有关计划增加或者替代其他数据处理者的变动，以使数据控制者有机会拒绝该变动。

综上，在数据控制者 - 处理者关系中，后者仅允许基于来自数据控制者的记录指令来处理个人数据。没有相应数据控制者的事先约定或一般书面授权，数据处理者不能与另一数据处理者通信以帮助履行特定合同。在一般授权的情况下，数据处理者必须通知他关于处理的任何相关变化。

在大多数情况下，委托数据处理基于合同进行。数据处理者可以仅将其任务的一部分分包给另一个数据处理者，或者分包给它接收到数据控制者先前的书面授权时指定联合数据处理者。GDPR 第28（3）规定了其最低要求。——除其他事项外，合同必须包含将处理哪种类型的个人数据，以及处理的原因和目的。此外，数据处理者还有其他义务。例如，必须保留处理活动的记录，其中包括他正在为其工作的每个数据控制者的名称和联系数据，以及为它们进行的处理类别，还须包括向第三国转移个人数据（如适用）。

第三、其他人能代表“我”的公司处理数据吗？

（数据处理者和数据控制者之间的约定）

如果有合同或其他法律行为规定，其他人（自然人或法人或任何其他机构）可代表企业处理个人数据。重要的是，企业指定的数据处理者提供足够的保证，和实施适当的技术和组织措施，以确保处理符合通用数据保护法案（GDPR）的标准，并保证个人权利得到保护。

企业与处理者之间的合同或法律行为应包括以下要素：

√ 处理只能在数据控制者的文件化指令下进行;

√ 处理者确保被授权处理个人数据的人承诺保密或承担适当的法定保密义务;

√ 数据处理者必须提供数据控制者定义的最低安全级别;

√ 数据处理者必须协助确保符合GDPR。

综上所述数据处理者只是数据控制者处理个人数据的代表。数据处理者通常是公司外部的第三方。但是，在某些情况下，企业即可以是数据控制者，也可以是数据处理者，或两者兼而有之。

例如：

建筑公司正在使用分包商进行特定的建筑工作，并向其提供需要进行施工的客户的详细联系方式。分包商进一步使用该数据发送客户营销材料。在这种情况下，分包商不仅仅被视为GDPR下的“处理者”，因为分包商不仅代表建筑公司处理个人数据，而且还为了自己的目的进一步处理它。因此，分包商还充当了“数据控制者”。

若企业是一家零售公司，决定在云服务器上存储客户端数据库的备份版本。为此，企业与云提供商签订了一份合同，该提供商以其数据保护标准而闻名，并且还拥有经过认证的数据加密系统。那么云提供商是企业的数据处理者，通过将客户的个人数据存储在其服务器中，它将代表企业处理个人数据。

最后，本文由SCA安全通信联盟结合GDPR官方文案翻译整理，转载请注明出处。https://gdpr-info.eu/issues/processing/

GDPR合规|数据控制者与数据处理者区别大吗？分别承担什么法律责任？相关推荐

1. 安全合规/GDPR--25--研究：GDPR合规的培训宣讲与监督审计

   一.合规培训及宣讲 定期对企业的董事.高管.雇员和第三方开展多元化的GDPR培训是企业进行有效的GDPR合规的重要环节,也是监管机构在评估企业内部GDPR合规制度有效性的主要关注点之一.可以针对不同的 ...

2. 安全合规/GDPR--24--研究：GDPR合规体系设立与执行

   企业实施GDPR合规业务,除进行整体合规风险的评估以及组织架构的搭建之外,更为关键的是如何在企业的具体事项上落实GDPR的具体要求. 一.GDPR合规制度的设立与健全 1.1 保障个人数据主体的权利 ...

3. 安全合规/GDPR--27--我们通过了GDPR合规认证

   Number one 首先,GDPR是一个数据隐私保护条例,类似法律那种的一个东西,是需要你无条件遵守的,因此并没有官方给你发证书这么一说,违反了它你吃罚款就是.于是,大家在欧洲开展业务就变得小心翼翼 ...

4. 安全、合规、IT运营面临的5大主要挑战

   本文讲的是安全.合规.IT运营面临的5大主要挑战,鉴于如今不断进化的威胁态势,公司企业希望采取积极主动的威胁应对方式,创建持续合规的环境,拥有响应良好的IT运营过程,是无可厚非的.谁不想减小风险暴露面 ...

5. 手机 app GDPR 合规的9个关键步骤

   1. Think about the data you collect from users 从用户收集了什么信息,这些信息是否是必须必要的.邮件,电话,地址.... 2. 分析如何处理这些信息.如何 ...

6. GDPR合规_Exchange Online之eDiscovery Holds

   GDPR (通用数据保护条例)即将取缔1995年的<数据保护法案>,是一套适用于全球的法律条规,该法律条例将在2018年5月25日生效,也就是说无论您公司总部在哪里,无论数据存储和处理点在 ...

7. GDPR合规_Exchange Online（一）之eDiscovery Holds

   GDPR (通用数据保护条例)即将取缔1995年的<数据保护法案>,是一套适用于全球的法律条规,该法律条例将在2018年5月25日生效,也就是说无论您公司总部在哪里,无论数据存储和处理点在 ...

8. Office365安全与合规--数据防丢失保护（二）--创建DLP（基本设置）

   上一章我们讨论了DLP存在的意义和基本概念,这一张着重介绍如何创建DLP,使用基本设置 注:微软在推送Preview版本的安全与合规中心的页面(Security and Compliance Cent ...

9. SCA连载GDPR 数据处理案件分析 | 德国数据保护局vs德国学术机构，谁是数据控制者？

   众所周知2018年5月新发布实施的GDPR将适用主体扩大到数据控制者和数据处理者,且引入了数据联合控制者的感念,并分别规定其不同的数据合规义务.2018年6月5日,德国Schleswig-Holste ...

最新文章

1. 灰度直方图均衡化实现
2. ANSYS Products 19.1 安装教程
3. css里面的let,js中let和var定义变量的区别
4. foobar插件_如何为 caddy 添写自定义插件
5. php 跟踪邮件,php – 电子邮件跟踪 – GMail
6. Altium AD20原理图元件自动编号，位号重新排序
7. GAN能生成3D图像啦！朱俊彦团队公布最新研究成果
8. 力扣——合并两个有序数组
9. 红外接收器c语言软件,红外线遥控解码接收程序_C语言.doc
10. readline函数重新定位到第一行_学习MATCH函数3种匹配方式，轻松确定数据位置和数量...
11. ERP标准物料编码规则及方法
12. vb6判断操作系统版本-从win95到win7
13. 单独计算机械台班费套什么定额,机械台班费用定额
14. 优锘科技：森数据初体验
15. 一分钟带你快速认识S参数
16. Golang使用mgo.v2包操作MongoDB的基础示例
17. 1024共码未来（一览中华风华，API First）
18. TypeError Cannot instantiate abstract class xxx with abstract method
19. DH ERP系统权限设计
20. 8086系列（22）：中断响铃

热门文章

1. 基于SSM职业测评系统
2. 首例 3次IPO：前2次申请科创板、创业板均撤回、第3次改为主板、难圆其说变更保代及券商……
3. Mysql之st_distance_sphere计算两坐标点距离
4. XX健康:移动端开发-体检预约验证码30秒倒计时短信验证码获取与验证DatePicker日历展示提交预约复杂流程阿里短信工具类
5. 硬币面值组合（上台阶）
6. androID程序！BAT大厂面试基础题集合，附带学习经验
7. Activiti实战. 1.2工作流基础
8. 云效一站式DevOps平台
9. C语言中 || \ 符号的意思
10. 借用 potplayer 播放器，在本地播放 b 站视频也能看弹幕了