什么是数据处理器和什么是GDPR下一个数据处理器的职责是什么?徳赢中国

数据处理器的定义,的数据处理器的朝向一些主要任务和责任的概述数据控制器数据对象,数据处理器的合约和数据保护义务,以及数据控制器在选择数据处理器时必须做什么一般数据保护条例(徳赢中国GDPR)

这是不断地在GDPR的文本使用和所有被周围的GDPR写的,从第29条工作组,以监督机构的建议的指导方针的两个术徳赢中国语,是控制器和处理器。

控制器或数据控制器仅仅是组织(法人、机关、机关等)或自然人,其单独或取决于组织和个人数据处理活动,与他人定义了需要与个人数据发生协作(同时也收集个人数据)显然是关键个人资料保护。

第28条处理机义务徳赢中国

数据处理器的定义和各种数据处理器的

处理器或数据处理器是谁通过为特定目的和服务提供给涉及控制器控制器的指示与个人资料有关系的个人或组织个人数据处理(记住,处理可以是GDPR下真的很多东西)徳赢中国

你可以在GDPR的文章中读到处理器的正式定义徳赢中国(徳赢中国GDPR第4条):

处理器装置一个自然人或法人,公共机关,机构或其他团体的处理代控制器的个人资料。

在GDPR下,控制器徳赢中国和数据处理器有许多相似的职责,需要遵守许多相似的原则。与GDPR的前身相比,数据处理器并没有太大的变化。徳赢中国

然而,主要的区别是,GDPR对于数据处理器有一个真正不同的立场,他们有直接适用的和可徳赢中国以直接执行的职责和责任,而遵守GDPR是一个共同的义务,正如你将发现的那样。

此外,数据处理器需要在各种相关的情况下协助控制器,例如在潜在的情况下个人数据泄露通知或考虑数据保护影响评估(下面更多的例子)

而GDPR第5条关于个人数据处理的原则也适用徳赢中国于数据处理机一样多,也适用于数据控制器。

数据处理器的一些例子:
  • 您的组织的人力资源部门(控制器)有一些方法来处理考生和需要得到保护和使用员工的个人资料。其中一些HR数据处理数据活动(或全部或任何在中间)可以外包。你外包给那么该公司的处理器。
  • 你的营销团队处理潜在和现有顾客的个人资料。当它与电子邮件营销公司或机构,例如,使用这些数据进行活动的作品,后者的处理器。
  • 您可能已经外包组织的入站联络中心的活动,或偶尔使用的呼叫中心,当你想使人们在拨号连接到特定号码在广告活动的电视等范围。联络中心就成为了处理器,捕获从谁在打电话人的信息 - 数据对象。

当然还有更多可能的例子,而且处理器通常可以与其他处理器一起工作(sub-processors),多个控制器将与一个处理器时,您可以使用多个处理器的一个任务(比如,如果你在网上卖很多东西,你可以选择几家快递公司)等等。也许你的营销机构可与针对特定任务由此这些合作伙伴也处理个人数据,从而成为处理器的合作伙伴。

该处理器拥有永远的个人资料。这同样适用于谁不拥有自己的客户,潜在客户,员工等个人数据的个人数据属于自然人控制。

然而,控制器呼吁如何以及为什么使用个人数据的镜头,只要这门课程的一个GDPR兼容的方式发生。徳赢中国

如果同意被选为合法处理的基础上,然后就同意所有的规则。在实践中,根据个人数据处理活动的类型,组织与合法处理的几种方法,并与几个进程和处理器工作。

数据处理器的复杂性

很明显,一个控制器有关于他的作品与处理器的责任(如果你知道他们不遵守GDPR规则,你可以考虑其他伴侣)徳赢中国但是,该处理器也可以负责,与控制器或其它处理器一起,在GDPR侵权的情况下,它可能导致徳赢中国徳赢中国GDPR罚款

控制器和处理器在个人数据保护和GDPR等范围内都有他们对客户、监管当局的职责。徳赢中国这就是契约存在的原因。

这一切听起来简单,但可能很复杂。在众多的原因,也可以是复杂的:

  • 与多个部门,任务,处理器,合作伙伴等组织的现实,
  • 事实上,处理器可以坐在远远超出了欧盟,
  • 事实上,处理的定义有GDPR下扩大了很多徳赢中国(这几乎是任何你能想象关于个人数据,包括存储),
  • 扩大了个人数据的定义,
  • 有数据的特殊类别,
  • 可识别性是很重要的(一些处理器将具有特定的数据使得能够识别个体;称为标识符或个人身份信息或PII;其它处理器将具有其他数据或混合)并且,如前所述,
  • 对数据处理器以及它们的责任和责任的关注已经发生了变化。

再想想物流例如:也驾驶员谁提供的包和定义进行,如姓名,地址等谁正在等待他们的包裹各地客户的个人数据(被。。。雇佣)处理器,除非该公司履行了自己的订单,其中可能有对这些客户提供更多的数据比驾驶员等。更多的数据和识别你的风险就越高。然而,所有的处理器都在全链中的关键。

数据处理器义务 - 关键GDPR文章徳赢中国

个人数据处理器的一般义务GDPR第28条进行了说明。然而,第一款真正的是与关于责任的控制义务,如前所述,需要仔细选择的处理器。徳赢中国

简单地说,控制器必须确保他们与谁提供关于他们的实际能力与数据主体的权利GDPR和保护线,以处理个人数据足以保证处理器工作。徳赢中国或者,扭转它:处理器需GDPR标准。徳赢中国

数据处理器不能带来其他的数据处理器,除非...。

数据处理器也不能在其他处理器带来从没有一个明确的许可(朝向并且因此通知义务)控制器。

所以,如果你已经外包了一些涉及个人数据的任务,而你外包的公司太忙了,需要为一项特定任务找另一家公司(或认定,作为便宜在很多业务领域经常发生的那样)作为控制器,你必须知道并批准这一点。这还要当有(即使是暂时的)的变化。

数据处理器的义务总结 - 源和更多信息LawInfographic  - 杰西卡榄
数据处理器的义务总结 -来源和全文文章LawInfographic.com - Jessica Lam

数据控制器和数据处理器之间的合同

还必须有合同或其他批准的法律基础数据处理器和控制器之间并不仅仅规定整个事情你觉得在这样一个合同,还应该清晰地说明主题,持续时间、性质和相关数据处理的目的,以及个人数据的类型和类别的数据对象,控制器的义务和权利。

这是相当深远的影响力,并为当然的处理器,尤其是

  • 在GDP徳赢中国R提到8个处理器职责合同应包含这样做检查他们全力以赴在第28条,因为有更多的条件,满足了这样的合同,
  • 还有谁是认证处理器的具体规定(徳赢中国GDPR第42条和第GDPR 43),
  • 处理器有责任协助控制器确保安全处理(徳赢中国GDPR第32条),以备有关违反个人资料的通知可能会在需要(GDPR第徳赢中国33和34条),看是否不DPIA(数据保护影响评价)可能需要(徳赢中国GDPR第35条),并在需要时寻求事先协商(徳赢中国GDPR第36条)。

处理器(和子处理器或处理器工作的人)除非他们有关于这些数据的处理明确指示不能处理代控制器的个人资料。因此,没有计划当你没有明确的任务(徳赢中国GDPR第二十九条)

数据处理器,记录保存和安全处理

数据处理器也必须保持加工活动所有类别它代表的控制器进行的记录,只是作为一个控制器必须也这样做(徳赢中国GDPR第30条)

该记录还必须包含同一篇文章中提到的一系列信息。这包括处理器工作的所有控制器的名称和联系细节(当然是在个人资料处理范围内),,的处理器自己的数据保护官员(如果有的话),对第三国的个人数据的传输potentional(常在外包发生)和远不止这些。

正如控制器需要那样,处理器也必须与控制器合作监督权力当问及如此(徳赢中国GDPR第31条)并采取一切措施,以确保安全处理的足够水平(徳赢中国GDPR第32条)

数据处理器和控制器:共同的职责,共同的责任

如前所述,GDPR第5条所确立的有关处理个人资料的原则同样适用于处理器和控制器。徳赢中国关于任务、义务和责任的许多其他规定也有不同程度的规定。

不要只看到数据处理器作为一个组织进行数据处理任务后的事实或需要为它的处理个人数据提供给处理器之后。

数据处理器通常是数据主体和数据控制器之间的中介。如果你使用平台和工具(从而)合作伙伴谁捕获个人从数据对象在他们的工作范围数据(在你的网站的范围如在线工具,营销活动,与入站服务,前面所提到的外部联络中心,无论你决定要使用的时候需要招聘和任何招聘机构的护理,人力资源公司)等等,数据处理必须遵循所有那些相同GDPR规则,并提供与数据和记录的数据控制器。徳赢中国

最后但并非最不重要的,很明显,也有额外的规则可循至于敏感数据,儿童和更多的处理器了。而在侵权的情况下,这两个数据控制器和处理器事实上往往会承担责任,取决于其相应的侵权作用等等。然而,这是完全不同的,高度个性化的事情。

最上面的图片:存在Shutterstock - Ç版权所:SFIO CRACHO - 所有其他图片均为其各自所有者上述的财产。虽然这篇文章的内容是彻底的检查,我们不是为潜在的错误,建议您寻求在GDPR准备协助承担责任。徳赢中国