理清 GDPR 下的“控制者”和“处理者”有何不同

小提示：您能找到这篇{理清 GDPR 下的“控制者”和“处理者”有何不同}绝对不是偶然，我们能帮您找到潜在客户，解决您的困扰。如果您对本页介绍的理清 GDPR 下的“控制者”和“处理者”有何不同内容感兴趣，有相关需求意向欢迎拨打我们的服务热线，或留言咨询，我们将第一时间联系您！

作者：APUS 研究院（ID：apusapps）

出海注：本文是 APUS 研究院发布在出海 APUS 专栏、GDPR 系列文章中的第六篇。转载须保留本段文字，并注明作者和来源。商业转载/使用请前往 ，联系寻求作者授权。

企业在进行GDPR合规工作的时候， 定义自己是“控制者”（Controller）还是“处理者”（Processor）是个相当纠结的问题。一方面，不懂啥意思：“控制者”和“处理者”究竟是什么角色，他们的法律义务有啥不同。另一方面，弄错了后果太严重：轻则合规工作上面花冤枉钱，重则全球营收百分之几充公也有可能的。

所以，小编想在本期文章中，跟各位大佬好好汇报这个问题，希望各位大佬在读完本文后可以实现以下两个小目标：

1、突破法条复杂的表述，快速简单的区分两个概念

2、了解二者各自承担了什么义务

一、秒懂啥是“控制者”和“处理者”

GDPR 是如何定义“控制者”和“处理者”的呢？

GDPR 第四条第（6）款规定，能够单独或与其他主体一起决定个人数据处理目的和方法的自然人、法人或者公权力机关、机构或者其他主体，是个人数据的控制者。

GDPR 第四条第（7）款规定，代表控制者处理个人数据的自然人、法人、公权力机关、机构或者其他主体，是个人数据的处理者。

看了条文，是不是觉得有点儿云里雾里的？别急，辨析两个概念的关键点如下：

“控制者”决定（determines）个人数据处理的目的（purposes）和方式（means）。

“处理者”只替（on behalf of）“控制者”处理个人数据。换句话说，为什么处理这些数据是“处理者”决定不了的，怎么处理这些数据也是“控制者”说了算的。

如果“处理者”的活动超出了“替”的范围，如果在某次处理活动中，“处理者”决定了处理活动的目的和方式，那么针对这次处理活动，“处理者”就将被认为是“控制者”。

那是不是掌握了概念以及概念的要点，实践中就可以轻松的判定自己到底是“控制者”还是“处理者”了呢？

小编提醒各位大佬，没有那么乐观。“决定”、“目的”和“方式”等词看似不难理解，但在实践中往往需要进行复杂的事实分析。

举个例子，既然“目的”和“方式”都是“控制者”决定的，那“处理者”在代表“控制者”处理个人数据的时候有没有自主权，有多大自主权？是否连个人数据处理所采用的技术手段都决定不了？ 

关于这个问题，小编将另外整理总结与各位大佬详细探讨，本期将不再展开。

二、“控制者”和“处理者”应履行的义务 

1、“控制者”和“处理者”都需要做的事情 

虽然角色不同，但两者需要注意的问题还是有不少的共同点。GDRP 下，“控制者”和“处理者”同时适用的个人数据保护义务有：

1.1、安全措施的采取；

1.2、个人数据处理活动的记录；  

1.3、数据保护官（DPO）的任命；  

1.4、对外传输时安保措施的采取；  

1.5、域内代表的任命； 

1.6、配合数据专门保护机关的工作。 

1.1、安全措施的采取

GDPR 下，“控制者”和“处理者”都需要通过技术或管理措施来保证被处理的个人数据的安全。

遵循根据 GDPR 的规定制定的“行为准则”（Code of Conducts）或者获得根据 GDPR 规定颁发的“认证”（Certification）也视作采取了 GDPR 认可的数据保护措施。 

1.2、个人数据处理活动的记录 齐齐哈尔小程序;

不论是“控制者”还是“处理者”，都需要按照 GDPR 的要求记录个人数据处理活动。 

“控制者”记录其“负责的”（under its responsibility）个人数据处理活动，“处理者”记录其替“控制者”进行的处理活动。记录应该是书面的（电子形式的也可），并包含联系方式、处理目的、数据主体类别等 GDPR 规定的内容。

值得注意的是，针对这项义务，GDPR 对 250 人以下的企业进行了有条件的豁免。

1.3、数据保护官的任命 

都什么企业需要任命数据保护官呢？

一般来讲，系统的、有规律的大规模监控数据主体的，或者大规模处理 GDPR 规定的特殊种类个人数据的“控制者”和“处理者”需要任命数据保护官。 

1.4、向外传输时安保措施的采取

为了确保个人数据在向外传输时也能受到 GDPR 相同程度的保护，向其他国家或者国际组织传输个人数据时，需要采取安保措施。 

同时 GDPR 明确要求，不论在多少个不同的主体之间传输多少次，“控制者”和“处理者”都需要维持 GDPR 程度的保护。

1.5、域内代表的任命

如果处理行为受到 GDPR 管辖，即使“控制者”或者“处理者”位于欧盟域外，也必须在欧盟域内书面指定一个代表。

这个代表应该和个人数据被处理的数据主体处于同一个欧盟成员国，如果是隶属于多个成员国的多个数据主体的情况，则处于其中一国即可。

1.6、 配合数据专门保护机关的工作

“控制者”和“处理者”都需要按照要求配合数据专门保护机关的工作。

2、只有“控制者”需要做的事情

如果企业是“处理者”，无需担心，以下这些只有“控制者”才需要履行的个人数据保护义务。

2.1、从设计开始的、默认的数据保护；

2.2、与“处理者”签署个人数据处理合同； 

2.3、通知数据专门保护机关和相关数据主体个人数据泄露；

2.4、进行影响评估和事前咨询； 

2.5、共同“控制者”的特别情况。

2.1、从设计开始的、默认的数据保护

“控制者”决定个人数据处理的方式和目的。

GDPR 要求“控制者”在综合考量数据处理活动的目的、内容等相关信息后，保证默认的处理活动和处理活动的设计都满足 GDPR 的要求。

2.2、与“处理者”签署个人数据处理合同

在与“处理者”合作时，GDPR 要求“控制者”必须与“处理者”签署有特定条款（含电子形式）的书面协议。

根据小编搜集到的资料，如果没有签署协议，一般认为“控制者”会承担相应的责任。同时有观点认为现在 GDPR 对于“处理者”是否也会担责规定的不太明确。

2.3、通知数据专门保护机关和相关数据主体个人数据泄露 

如果个人数据泄露可能会对有关数据主体的权利和自由造成高风险，“控制者”需要在 72 小数字营销怎么用时内通知数据专门保护机关，以及立即通知有关数据主体。 

2.4、进行影响评估和事前咨询

GDPR 下，“控制者”在进行数据处理之前，有进行个人数据保护影响评估的义务。

作为 GDPR 下重要的个人数据保护工具，第 35 条对于评估的流程、内容与专门保护机关的配合等方面做出了一系列规定。

根据评估的结果，如果处理活动可能对数据主体的权利和自由造成高风险，“控制者”应根据 GDPR 的规定在处理前咨询数据专门保护机关。

2.5、共同“控制者”的特殊情况

两个或两个以上主体共同决定数据处理的目的和方式时，这些主体就是共同“控制者”。 

根据 GDPR，共同“控制者”有义务以书面的形式明确权利和义务的分担。

3、只有“处理者”需要做的事情 

最后，以下是与“处理者”有关的保护义务。

3.1、与“控制者”签署个人数据处理合同； 

3.2、通知“控制者”个人数据泄露；

3.3、关于“转包”的事前书面许可。

3.1、与“控制者”签署个人数据处理合同

正如上文所述，有观点认为与目前还不明确与“控制者”签署个人数据处理合同是否同样也是“处理者”的义务。

3.2、通知“控制者”个人数据泄露

“处理者”在知晓个人数据泄露后，应该马上通知“控制者”，没有正当理由不能延误。 

3.3、关于“转包”的事前书面许可 

如果“处理者”需要将个人数据处理活动“转包”给另一个“处理者”，GDPR 规定必须获得“控制者”的事前书面同意。

这种书面同意可以是针对此次“转包”的特定的同意，也可以是一个早先签好的，概括的同意。如果是后者，“处理者”在进行转包时候必须通知“控制者”。

同时，GDPR 还要求“处理者”在“转包时”，必须通过签署协议的方式，保证其与“控制者”合同义务，也同样约束接受“转包”的下一个“处理者”。

尾声

关于“控制者”和“处理者”的概念比较和义务总结就到此为止。之后的文章中，小编希望给大家介绍一下欧盟法院系统在极端事实情形下探寻“控制者”和“处理者”角色边界的经典案例——Swift 案。 

最后还是那句话，GDPR 合规无小事，各位大佬切勿忽视。

本文谨代表 APUS 研究院观点，并非正式法律意见。如有问题欢迎随时沟通。