浅谈个人数据处理法律角色的判定
在数据处理的过程中,通常存在控制者、共同控制者和处理者等多方主体参与的情况,而厘清各方主体的概念及其在数据处理中的互动关系,对GDPR的正确适用起着至关重要的作用。2021年7月7日,欧盟数据保护委员会(EDPB)正式通过了《GDPR下数据控制者及数据处理者概念的指南(07/2020)》,本文将根据EDPB指南解读对控制者和处理者的判定方法。
一控制者
GDPR Article 4(7)将控制者定义为:
“单独或与他人共同决定处理个人数据的目的和方式的自然人、法人、公共当局、机构或其他实体;如果这种处理的目的和方式是由联盟或成员国法律决定的,则其控制者或其认定的具体标准可以由联盟或成员国法律规定。”
图1 数据控制者的特征要素
故控制者的判定需考虑以下五个要素:
1、 自然人、法人、公共当局、机构或其他实体
根据GDPR,对于担任控制者角色的实体类型没有限制,可能是一个组织,也可能是一个人或一群人。但一般在实践中,通常由组织本身而非组织中的个人(如CEO,董事会成员)在GDPR范围内充当控制者。有时公司和公共机构会任命一名特定人员负责数据保护规则的执行,该自然人并非控制者,而是代表法律实体行事,在违反规则的情况下,法律实体作为控制者最终承担责任。
2、 决定
数据控制者有决定的权利,权利的来源可能是欧盟或成员国的法律法规,也可能是实际的事实影响。
图2 法律规定示例
在某些国家/地区,法律规定公共当局有责任在其职责范围内处理个人数据。一般来说,法律不会直接认定控制者,而是直接制定任务或赋予某人收集和处理某些数据的职责。这种情况下,数据处理的目的是由法律决定的。
在没有法律规定的控制权的情况下,则必须对处理过程的实际情况的评估来确定当事方作为控制者的资格,即某个特定实体是否对所涉及的个人数据处理具有决定性影响。这也意味着,控制者的角色并非源于正在处理数据的实体的性质,而是源于特定环境中的具体活动。换句话说,同一实体可能同时充当某些处理操作的控制者和其他处理操作的处理者。
3、 单独或与他人共同
这一要素表明数据处理的目的和方式可能由多个参与者决定,这也是判定共同控制者的要素。共同决定可以是多个主体共同决策的形式,也可以是多个主体决策合并所产生的结果,该情况下决策需要是相互补充的,并且对于处理活动具有必要意义和切实影响。合并决策的一个重要判定标准是,没有各方对处理目的和方式的参与,该处理就不可能进行。
图3 共同决策
图4 决策合并
4、 目的和方式
数据控制者决定的是数据处理的目的和方式,即为什么以及如何处理数据。关于方式的决定,可以区分为核心方式和非核心方式。核心方式是指关于被处理的个人数据的类型(“应处理哪些数据”),处理的持续时间(“处理多长时间”),接收者的类别(“谁有权访问”)和数据主体的类别(“谁的数据正在被处理”),由控制者决定。而非核心方式涉及实际的执行方面,例如选择特定类型的硬件或软件或详细的安全措施,这些可以由处理者决定。
图5 核心方式与非核心方式
5、 处理个人数据
数据控制者所决定的目的和方式必须与个人数据处理相关,在评估某个实体的角色时,应先确认处理的数据是否为个人数据。
通常在判定过程中可能存在一种误区,即“我司根本无法接触任何个人数据,因此不可能成为相关处理活动的控制者”。事实上,控制者不需要实际访问正在处理的数据,可参考下图中的例子。
二
处理者
处理者是独立于控制者,且按照控制者的指示进行个人数据处理的实体。处理者不可超出控制者的指示范围处理个人数据,相关管控要求可通过数据处理协议约定。虽然数据处理的目的和方式由控制者决定,但处理者有一定程度的自由裁量权,可以决定数据处理的非核心方式。
三判定方法
要正确评估每一个实体的角色,必须先确定涉及的个人数据处理的具体情况及其确切目的。如果涉及多个主体,则有必要评估其目的和手段是否共同确定,从而导致共同控制。总体来说,控制者和处理者的判定可参考下表中的因素,相关实体根据实际数据处理情况勾选符合的因素越多,就越可能属于相关角色类别:
参考文章
Guidelines 07/2020 on the concepts of controller and processor in the GDPR(Version 2.0),https://edpb.europa.eu/system/files/2021-07/eppb_guidelines_202007_controllerprocessor_final_en.pdf