根據GDPR，控制者是自然人或法人、公共機關、機構或任何其他機構，能夠單獨或與他人共同確定個人數據的處理目的和方式。與控制者的概念相反，處理者是控制者的僱員以外的人，其代表控制者處理數據。這種區別很重要，因為主要負責遵守法律規定的相關數據保護義務的是控制者而非處理者。作為這些義務的一部分，控制者還有責任確保以書面合同管理與處理者的關係，並且處理者應當按照合同中的規定履行數據保護合規義務。這種區別的重要性反映在2010年2月16日通過的WP29的正式意見中。在這一意見中，WP29指出，控制者及處理者的含義及其判斷標準至關重要，但也應當認識到控制者和處理者概念的具體應用已變得越來越複雜。

將控制者和處理者角色應用於外包關係的最合理方式是將客戶視為控制者，將供應商視為處理者。這種角色分配反映了歐盟絕大多數外包安排的普遍做法，具有兩個實際意義：

確定處理的目的和方法：外包合同實際上可以不提及各方的角色安排，但它應該具備足夠的內容來判斷客戶在確定處理的目的和方式方面起主導作用。

強制履行法律義務：GDPR明確規定，處理者執行的處理必須受到控制者與處理者之間合同的約束，或者存在能約束處理者於控制者的法律行為，並且這種處理應當具備一些詳細要求。

與此同時，GDPR還通過Article 27、Article 28(2)、Article 28(3)、Article 28(4)、Article 29、Article 30(2)、Article 31、Article 32、Article 33、Article 37、Article 38、Article 44、Article 49確定了適用於處理者的義務。

在外包關係中，供應商通常會在處理某些決策方面發揮積極作用，這是非常合理的，因為供應商通常在特定處理操作方面比控制者具有更多的專業知識。但是，正如WP29意見WP 169所述，並在GDPR Article 28(3)中明確指出的那樣，超出控制者授權，並在確定目的或處理的基本方法方面發揮相關作用的處理者是控制者而不再是處理者。雖然供應商可能會自行成為控制者，但WP29也指出，授權仍然可能意味著處理者被允許採用最合適的技術和組織手段以最好地服務於控制者的利益。總的來說，儘管供應商在外包關係中的決策權越來越強，但供應商仍然是處理者的可能性更大，除非很明顯其做出的任何決定超出了合同授權的範圍。

目前外包通常遵循以下的模式：

首先，在公司集團中，位於不同司法管轄區設立的運營公司依靠該集團公司內的採購實體採購各種外包服務。

其次，由採購實體來採購數據處理服務。

再次，採購實體指定特定供應商作為相關數據處理服務的主承包商。

最後，供應商將其中一些服務分包給其公司集團內的其他實體或外部第三方。

這些安排具有重要的意義，通常會產生一系列協議，要求各方履行數據保護義務。在這種情況下，雖然控制者沒有必要對數據使用方法的所有細節進行定義，但WP29明確表示應至少告知客戶處理結構的主要元素，使其保有控制者這一角色。GDPR在這方面比Directive更具說明性，並包括規範子處理的具體規定。

出於法律和實踐的種種原因，數據保護條款對外包合同的有效性至關重要。與任何其他合同條款一樣，數據保護義務的確切內容通常取決於各方談判地位的強弱，但從控制者的角度來看，這些義務的能明確尤為重要。根據GDPR，這一點變得更加明顯，Article 28(3)規定了合同應規定的具體問題。

為了清楚地區分控制者（客戶）和處理者（供應商）的角色，任何涉及個人數據處理的外包合同都必須確定誰處於控制地位，這是法規本身的要求。因此，合同應包括一項內容，規定供應商僅根據客戶的書面說明處理相關的個人數據。這些說明可能是通用的，但它們越具體，客戶就越容易證明其僅為控制者。GDPR甚至進一步指出，這種要求也適用於個人數據的跨國傳輸，除非歐盟或處理者應受管轄的成員國法律另有要求，在這種情況下，處理者必須於處理之前通知控制者該法律的要求，除非該法律禁止這樣做。

鑒於當前對數據安全漏洞的複雜程度，控制者依靠供應商的專業知識決定所採用的確切安全措施，並要求供應商確認：

首先，客戶依靠供應商的技能和知識來評估什麼是「適當的」用以保護個人數據免遭未經授權或非法的處理，以及意外丟失、破壞、損壞、更改或披露。其次，技術和組織措施必須適用於任何未經授權或非法處理可能導致的損害，以及對個人數據的意外丟失、破壞或損壞，以及適合於擬被保護的個人數據的性質。

此外，在實施技術和組織安全措施時，可能經常要求供應商考慮：個人數據的敏感性以及因未經授權或非法處理或意外丟失、破壞或損壞此類個人數據而造成的重大損害，以及技術發展狀況和實施此類措施的成本。

此外，就供應商員工和子分包商的可靠性向供應商施加具體義務的做法也已經愈加普遍。這些義務可能要求供應商確保：

?可以訪問客戶個人數據的任何員工和分包商人員的可靠性。

?所有參與個人數據處理的員工和分包商人員都經過了充分的數據保護和處理培訓。

?所有員工和分包商人員嚴格按照合同中適用的保密規定履行職責，將客戶個人數據視為機密信息。

除上述基本義務外，根據GDPR，外包合同必須包括約束供應商的規定： ·

?履行GDPR規定的處理者對其他處理者的選用所承擔的義務。

?在可能的情況下，通過實施適當的技術和組織措施來協助控制者，使控制者能夠回應希望通過GDPR行使其權利的個人。

?協助控制者確保遵守GDPR Article32-36（與數據安全、泄露通知、影響評估和與DPA事先協商相關的條款）相關的義務，同時考慮到處理的性質和處理者可用的信息。

?在提供服務結束後，根據控制者的選擇，刪除或將所有個人數據返回給控制者，並刪除現有副本，除非歐盟或成員國法律要求存儲個人數據。·

?向控制者提供證明數據處理符合GDPR Article28所需的所有信息。

?允許控制者或控制者指定的審計員進行審計。

如前所述，外包關係可能涉及一系列處理者和子處理者，根據GDPR Article28(2)(4)，控制者簽訂外包合同，主要供應商應遵守以下條件：

?客戶必須事先向供應商提供有關子處理者參與數據處理（例如供應商作為處理者與子處理者簽訂分包合同）的特定或一般書面授權。 ·

?在一般書面授權的情況下，處理者必須通知控制者有關添加或更換其他子處理者的任何預期更改，使控制者有機會反對此類更改。處理者有義務強制執行此類更改於其子處理者。 ·

?對於任何子處理者的違規行為，主要供應商必須對客戶承擔責任。

推薦閱讀：

相關文章