如何识别数据控制者、处理者与共同控制者?法国CNIL发布指南
欢迎点击上方 TMT法律论坛 关注我们
导读
Law
★
NEWS
★
当地时间6月2日,法国数据保护机构国家信息与自由委员会(Commission nationale de l'informatique et des libertés,“CNIL”)发布指南,明确公共采购背景下基于《通用数据保护条例(“GDPR”)》识别“控制者”[注1]、“处理者”[注2]与“共同控制者”[注3]时需要考虑的因素,以帮助有关专业人员识别他们在公共采购背景下的数据处理身份和责任。
获取该指南,请点击文末“阅读原文”。
注1:GDPR下的“控制者”即中国《个人信息保护法》下的“个人信息处理者”;
注2:GDPR下的“处理者”即中国《个人信息保护法》下的“个人信息受托处理者”;
注3:GDPR下的“共同控制者”即中国《个人信息保护法》下的“个人信息共同处理者”。
如何在公共采购场景下,
识别数据控制者、处理者与共同控制者?
背景
行政当局经常委托另一个机构(“经济经营者”)负责满足公共工程、用品或服务方面的需要。为了执行这些公共合同或特许权合同,有时,个人数据的处理活动必不可缺。
此时,这些数据处理活动的开展必须遵循GDPR的要求,故有必要结合相关法律规定、合同性质、合同内容,尽快明确合同各方(主要为行政当局与经济经营者)的身份为“控制者”、“处理者”还是“共同控制者”,以确定各方在数据方面的责任性质和程度。
行政当局为控制者
1、判断标准
数据处理活动的开展是为了满足行政当局的需要。
数据处理活动在行政当局控制下进行:行政当局在合同中明确决定了处理的目的、处理的方式(如涉及哪些人和数据,数据的保存期限,数据的接收者等)。
* 仅设定了处理活动的服务目标,但没有给出处理方式,且没有对处理方式施加限制与影响时,该数据处理活动不能被认定为在行政当局控制下进行。
* 行政当局在合同执行期间是否能访问数据不影响其身份性质认定。
2、常见情形
合同的根本目的是实施数据处理,且行政当局在合同中规定了其主要特点。
数据处理为履行合同内容不可避免的一部分,且行政当局在合同内容的设定中明确了对数据处理活动的要求。如要求使用特定的技术设备,而该技术设备对个人数据的特征等有所要求。
行政当局提出了处理个人数据的目的和条件范围,并验证了经济经营者提出的目的和条件。如行政当局在招标时要求投标人提供个人数据处理细节,并明确中标人提出的细节会构成合同内容。
3、经济经营者的可能身份
(1)数据处理者
判断标准
经济经营者无独立目的/利益追求。
经济经营者严格在行政当局确定的框架内处理数据。
* 经济经营者可决定“非必要”处理方式(如选择特定软件/硬件、采取的安全措施、技术和组织细节)的事实不影响其身份性质认定。
数据处理责任与合同内容
行政当局对数据处理活动负全部责任。
必须确保合同中提供足够的保证和数据处理活动要求。
(2)共同控制者
判断标准
经济经营者参与确定处理活动的目标和方式,与行政当局共同确定数据处理活动的目标和方式,对处理活动的目标和方式施加了决定性影响,如其参与确定的处理活动超出了仅为行政当局提供服务的范围,以满足其自身的需要。
数据处理责任与合同内容
双方对数据处理活动负共同责任。
各方应当在有约束力的协议中,以明确、透明、务实、可操作的方式,约定各自的义务,以确保有效遵守。
经济经营者为独立控制者
1、判断标准
经济经营者的数据处理活动不受合同约束。
经济经营者可以自由、独立地确定处理目标和处理方式。
2、数据处理责任与合同内容
经济经营者对数据处理活动负全部责任。
CNIL建议行政当局在合同中加入一般性条款,明确经济经营者有义务确保其数据处理活动符合GDPR的要求。
作者往期文章推荐
中伦解读
域外关注
本期编辑:陈瑊 陈煜烺 林婉琪