GDPR行为守则系列研究（三）：德国《数字处理者行为守则》

Original 数治君数据信任与治理 2023-01-13

收录于合集 #欧盟数据治理模式 22个

引言

欧盟行为守则（Codes of Conduct）规定于《一般数据保护条例》（以下简称“GDPR”）第40条，是由协会以及代表数据控制者或数据处理者的实体起草的、用于细化GDPR之适用的准则。

GDPR下的行为守则分为两种类型，一是“国家行为守则”，守则草案须由所在成员国的主管机关批准后方可生效；二是“跨成员国行为守则”，该行为守则涉及多个成员国的数据处理活动，成员国监管机构批准守则草案之后还需将该行为守则及其意见书提交给欧洲数据保护委员会，并最终由欧盟委员会以颁布实施法案的形式确认该行为守则在欧洲经济区的一般有效性。

2022年11月18日，德国巴登符腾堡州数据保护机构（Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg）宣布批准《“GDPR第28条对数据处理者的要求”的行为守则》（以下简称“德国《数据处理者行为守则》”），该守则为“国家行为守则”。德国《数据处理者行为守则》适用于在德国市场上提供服务并在德国处理个人数据的所有行业的处理者，旨在使公司清楚如何在符合GDPR要求的情况下处理个人数据。

本文将以德国《数据处理者行为守则》为例，讲述GDPR下的“国家行为守则”从批准、加入到落实的过程。

此前数治君关于行为守则的研究有：

• 《GDPR行为守则系列研究（二）：欧盟云基础设施提供商行为守则（EU CISPE CoC）》

• 《GDPR行为守则系列研究（一）：欧盟云行为守则（EU Cloud CoC）》

• 《EDPB《关于行为守则作为数据跨境传输工具的04/2021号指南》简评（附征求意见前后对比中译本全文）》；

• 《对数据的监管如何培育数字经济创新和竞争——GDPR提供的共同监管工具》。

德国《数据处理者行为守则》的

批准与主要内容

1.1 德国《数据处理者行为守则》

如何获得批准？

根据规定，代表控制者或处理者类别的协会和其他机构（即“守则所有者”）可以制定国家或者跨国行为守则，或修改、扩展此类准则。可能的守则所有者包括但不限于：贸易和代表协会、部门组织、学术组织和利益集团。德国《数据处理者行为守则》由德国行为守则促进协会（Verein Zur Förderung Von Verhaltensregeln）提交审批，该协会旨在制定、修改行为守则并将其提交审批。

若国家行为守则所有者计划制定行为守则或修改、扩展现有守则，应将守则草案、修改或扩展方案提交给所在成员国的主管监管机构审批。德国《数据处理者行为守则》即提交给了德国巴登符腾堡州数据保护机构。守则草案获批后，成员国主管监管机构还应公布该守则，GDPR第40条第11款还要求EDPB公开所有获得批准的守则。德国巴登符腾堡州数据保护机构也对批准德国《数据处理者行为守则》进行了公布。

德国《数据处理者行为守则》获得批准是因为其满足了以下条件：

（1）必须解决特定部门或处理活动中出现的数据保护问题；

（2）促进了GDPR的应用；

（3）以具体、实用和精确的方式明确GDPR的适用方式；

（4）提供充分的保障措施；

（5）提供有效的监督机制以确保各方遵守守则。

1.2 德国《数据处理者行为守则》

主要解决什么问题？

国家或跨国行为守则可以适用于公平透明地处理、个人数据的收集、个人数据的假名化、个人数据跨境传输等场景。

德国《数据处理者行为守则》旨在落实GDPR第28条对处理者的规定。德国《数据处理者行为守则》认为，虽然GDPR第28条对处理者行为做出了规定，但是用户和处理者之间的其他方面仍需要澄清。德国《数据处理者行为守则》着眼于用户和处理者之间的业务流程，与行业无关，处理者的实际服务流程不受德国《数据处理者行为守则》的影响。在这方面，该行为守则是对特定行业行为守则的补充。

具体而言，德国《数据处理者行为守则》在以下方面规定了处理者需要遵守的规范：

（1）（与客户）报价和签订合同；

（2）分包次级处理者；

（3）数据主体的权利；

（4）报告潜在的个人数据泄露（安全事件）；

（5）保密义务。

数据处理者如何申请加入守则

通过承诺遵守德国《数据处理者行为守则》，处理者向外界表明其遵循德国《处理者行为守则》中规定的准则。随着德国《数据处理者行为守则》被认可，数据保护认证公司（DSZ Datenschutz Zertifizierungsgesellschaft MBH，以下简称“DSZ”）也被认可为新的监督机构（认证程序见4.1监督机构的认证），负责处理承诺遵守德国《处理者行为守则》的申请。

处理者申请遵守德国《处理者行为守则》的流程如下：

下载并填写申请书

收集申请书中列明的

能够证明遵守行为守则

的证据

填写在线表单并

上传所有必要文件

提交第一年费用的一半

DSZ审查申请

提交第一年费用的另一半

《申请书》就申请者遵守德国《数据处理者行为守则》进行了约定，形式与合同相似，并在附录中列明了收费清单和申请者需要提交的证明文件清单。

处理者想要继续保持遵守德国《数据处理者行为守则》的承诺，需要每年续交费用，所交费用还将用于随机验证是否遵守行为守则。目前已经有两家公司通过对德国《数据处理者行为守则》的自愿承诺申请，涉及领域为软件和医疗。

监督机构的认证与监督职责

3.1 监督机构的认证

根据GDPR及EDPB相关指南规定，为了使国家行为守则得到批准，必须确定一个（或多个）监督机构，并得到成员国主管监管机构的认证。主管监管机构将根据GDPR第63条中提到的一致性机制，向EDPB提交监督机构的认证要求草案。主管监管机构需在EDPB的批准下根据该要求认定监督机构。

守则所有者可以决定使用外部或内部监督机构，并证明其所提议的监督机构符合GDPR第41条第2款的要求：

（1）监督机构在规范主题方面的独立性和专业知识；

（2）监督机构有既定程序，允许其评估有关控制者和处理者是否有资格应用该守则，并允许其监督控制者和处理者遵守守则并定期审查其运作；

（3）建立程序和结构来处理有关违反守则的投诉，并使这些程序和结构对数据主体和公众透明；

（4）监督机构在执行任务和职责时不会导致利益冲突。

3.2 监督机构的监督职责

除了接受自愿承诺的申请，监督机构最重要的职责就是监督行为守则的实施。监督机构需要根据既定的程序（规定在本德国《数据处理者行为守则》中）履行如下职责：

（1）审查处理者自愿遵守德国《数据处理者行为守则》的行为；

（2）如有违反德国《数据处理者行为守则》的行为，视情况选择向监管机构报告、要求停止违反德国《数据处理者行为守则》的行为等，并根据既定程序进行后续监督；

（3）在接到投诉时检查是否违反德国《数据处理者行为守则》；

（4）如果自愿遵守德国《数据处理者行为守则》的承诺被撤销，通知监管机构；

（5）公布自愿遵守德国《数据处理者行为守则》的处理者名单；

（6）暂停或者撤回相关处理者自愿遵守德国《数据处理者行为守则》承诺的公布。

本《数据处理者行为守则》并未说明何种情况下会暂停或者撤销处理者自愿遵守《数据处理者行为守则》的承诺。

下表展示了德国《数据处理者行为守则》中规定的监督机构的监督权利和处理者的合作义务：

监督机构的权利	处理者的合作义务
（1）检查是否满足本行为守则和申请中所述的参与要求以及对本行为守则的自愿承诺；	（1）及时提供所要求的文件；
（2）接受或拒绝申请者参与本行为守则；	（2）及时提供所需要的信息；
（3）如果有迹象表明涉嫌违反行为守则，要求有关公司提交声明；	（3）允许监督机构员工及其代表不受限制地进入其场所；
（4）暂时停止参与行为守则；	（4）允许监督机构员工及其代表访问与本行为准则相关的所有个人数据和信息、数据处理系统和设备或处理操作。
（5）排除公司/处理者参与行为守则；	-
（6）进行现场检查；	-
（7）要求提供关于遵守行为守则的书面证据，特别是样本合同、流程说明等；	-
（8）将被排除在行为守则之外的情况通知数据保护监管机构；	-
（9）公布参与行为守则处理者名单；	-
（10）设定适当的反应和整改期限；	-
（11）直接联系有义务的公司/处理者管理层；	-
（12）如果有义务的公司/处理者为集团公司，直接联系最高管理层。	-