贵组织在处理个人资料
– 作为控 目标电话号码或电话营销数据 制者、处理者或联合控制者 – 确定其在该处理方面承担的责任、义务和责任。因此,在处理之前,您必须能够清楚地确定自己扮演的角色。虽然听起来很简单,但数据处理的复杂性意味着控制者和处理者之间的界限变得越来越模糊。因此,本指南及时提醒了如何区分两者,也是有关两者责任的重要信息来源。
本指南分为两个不同的部分。首先,它定义了三个角色,并详细说明了他们的职责。其次,它 考虑了 他们之间的关系 以及管理这些关系的协议。 第一篇 博客 探讨了指南的第 1 部分, 第二篇博客 探讨了第 2 部分。在每篇博客中,我们都 试图 强调 EDPB 超越之前所说的关键领域, 更重要的是,这对您的组织意味着什么。
角色和职责 –控制者
定义控制器
EDP B 澄清了 有关将组织 定义 种非常棒的技术 为控制者的要求的两点 :
- 他们 不必能够访问正在处理的数据即可成为 控制者/联合控制者。 当组织指示 服务提供商过程个人数据, 无论该组织是否实际收到任何 原始 个人数据,都可能被视为控制者。
-
- 例如, 如果一个组织 雇用 服务提供商代表他们进行市场研究,那么即使该组织只收到 从收集的个人数据中创建的统计输出 ,该组织也可能是控制者。
-
- 他们可以 是整个处理流程的控制者 ,也 可以只是 处理流程中某个特定阶段的控制者。 在此, EDPB 呼应了 CJEU 的一项 裁决,该裁决认为, 嵌入了 Facebook“点赞”按钮 的网站 将个人数据传送给 Facebook,该网站与 Facebook 是联合控制者 , 但仅限于 处理的两个阶段:个人数据的收集和传输。
必要和非必要决策
GDPR 第 4 条 规定的 控制者定义指出, 其 “确定处理个人数据的目的和方法” 。 虽然 EDPB 强调控制者必须 决定处理的目的,但在方法方面,他们区分了 “ 必要”和 “非必要” 。
- 基本信息—— 与处理目的和范围密切相关的信息 ,例如 要处理的个人数据类型
- 非必要 —— 指 与实施的实际方面 有关,例如所 使用的软件类型
该指南指出, 虽然控制者必须做出与必要手段有关的 任何 决定,但与非必要手段有关的决定 可以 留给处理者,只要他们根据控制者就个人数据 最新评论 安全给出的一般指示 做出此类决定 。尽管这赋予了处理者更多的控制权,但 EDPB 强调,控制者仍然 最终负责处理 是否符合 GDPR 要求,而且至关重要的是,他们必须能够证明其合规性。