委托处理个人数据时向个人数据管理员提出的建议 – CPDP

2024年12月19日

在实施控制活动和对众多个人数据管理员进行检查的过程中，CPLD 根据《欧盟》2016/679 号法规第 28 条的要求，建立了大量正式方法来定义向个人数据处理者分配活动时规范相互关系的条件。。 就此，在 2024 年 12 月 18 日举行的会议上。, 委员会通过了《委托处理个人数据时给个人数据管理员的建议》”。

这些建议基于 “关于 GDPR 中“管理员”和“个人数据处理者”概念的指南 07/2020（指南） 欧洲数据保护委员会 (EDPB) 的信息，可用 这里。 GDPR 采用的指南对欧盟所有个人数据保护监管机构具有强制性，因此个人数据保护委员会（CPPD，委员会）在开展监管活动时充分考虑了这一点。从这个意义上说，个人数据的管理员（管理员）和个人数据的处理者（处理者）都应该充分了解并遵守其中规定的基本规则。根据目前的建议，CPLD 希望再次特别关注在委托个人数据处理者处理个人数据时应考虑的一些具体要点。

1. 选择处理器之前管理员的操作。

1.1.如果管理员决定将个人数据的处理委托给处理者，他首先应该这样做 对此的判断 – 哪些个人数据、以何种形式和数量将代表他进行处理。这是至关重要的，因为将个人数据处理操作外包给处理者, 并不以任何方式免除管理员根据 GDPR 承担的责任（GDPR 第 5 条第 2 款）。管理员有义务进行初步风险分析，以评估即将进行的处理任务的风险，并在后续行动中相应地考虑该分析的结果。

在此阶段，管理员应确定处理者应具有的访问限制，排除对管理员处理的与即将进行的处理任务没有具体关系的个人数据的访问。在这个方向上经常使用两个原则：

• “他需要知道”，仅提供对处理者履行其义务所需的个人数据的访问；
• “必须使用”，仅授予处理者履行其职责所需的个人数据处理方式的访问权限。

1.2.接下来，管理员应该做 评估处理者提供的保证是否充分，以确保遵守所有 GDPR 要求。 （“……管理员仅使用提供足够保证的个人数据处理器……” – GDPR 第 28 条第 1 部分）。该控制者对保障措施的评估是风险评估的一种形式，很大程度上取决于委托给处理者的处理类型。 （《指南》第 96 段）。

管理员应考虑以下要素（GDPR 的叙述 81 和段落。指南第 97 条），评估保障措施是否充分：

• 专业知识 处理者的信息（例如有关安全措施和数据安全漏洞的技术和专业知识）；
• 可靠性 处理器，包括。在市场上的声誉；
• 资源 处理器的。

此外，为了遵守 GDPR 第 5 条第 2 款规定的问责原则，控制者应能够展示该风险分析/评估的绩效及其与处理者选择相关的结论。

此阶段（第 1.2 项）的实施是管理员的永久义务，并且应在适当的时间间隔（包括时间间隔）重新评估处理者的保证。通过审计和检查（GDPR 第 28 条第 3 款 b.“h”和指南第 99 款）。

2. 管理员在与处理者签订合同之前的操作。

2.1.在此阶段，管理员应确保处理者遵守 GDPR 处理个人数据的要求。处理者必须向管理员证明其将应用与个人数据安全相关的特定规则（政策），并使管理员满意（指南第 95 段）：

• 特别是关于将要处理的个人数据的类别；
• 注册中心（服务器）的物理位置；
• 确保处理系统和服务的持续机密性、完整性、可用性和弹性；
• 访问和提供个人数据的方式；
• 控制机制，包括访问控制、监控、报告和审计；
• 有权访问或接收信息的处理者员工的明确列表，包括。他们承诺保密的声明（GDPR 第 28 条第 3 款 b.“b”）；
• 管理个人数据安全漏洞的程序（通知和事件恢复合作）。

2.2.这里还有一个重要的点是 管理员与处理者关系的具体规范:

• OLD 仅根据管理员的书面命令处理个人数据（GDPR 第 28 条第 3 款 b.“a”）；
• 具体说明要处理的个人数据（处理的性质、范围、背景和目的）；
• 提供个人数据的方法；
• 选择适当的技术和组织措施，以便能够保证并证明遵守法规 (EU) 2016/679 和 GDPR（例如个人数据的假名化或加密）——在分析风险之后（GDPR 第 28 条第 3 款 b.“c”）；
• 在自动化处理系统中保存数据处理活动的日志；
• 员工培训；
• 监控遵守商定的处理安全要求的流程和程序；
• 具体处理的监管要求以及如何确保其合规性的说明；
• 变更合同时的条件和行动；
• 合同终止后的义务——归还、销毁、储存；
• 可移植性——数据传输后如何存储以及存储多长时间；
• 通知管理员的义务，包括。协助他回应行使数据主体权利的请求（GDPR 第 28 条第 3 款 b.“e”）；
• 有义务通知监管机构并与监管机构合作；
• 发生安全违规行为时采取的行动，包括。恢复LD的可用性。
• 对处理者的审计/检查（GDPR 第 28 条第 3 款 b.“h”）；
• 终止合同的理由。

还需要明确处理者是独立进行处理还是使用分包商，这些分包商应适用所有上述要求（GDPR 第 28 条第 3 款 b.“d”），这只能在管理员事先明确同意后发生，因为即使在这种情况下，管理员仍保留其在处理中的主要角色（指南第 152 段）。

2.3. 实施技术服务时 服务水平应确定（服务水平协议 （SLA）），包括：

• 所提供服务的描述；
• 沟通渠道；
• 服务效率/质量；
• 服务范围——开发、测试、生产等；
• 可用性——时间段和故障服务时间；
• 归档政策；
• 变革管理；
• 安全措施和安全级别；
• 事件和违规行为；
• 监控和审计；
• 终止服务；
• 删除和销毁；
• 对不遵守 SLA 的处罚；
• SLA 概述。

3. 规范管理员和处理者之间关系的法律依据 – 第 1 条GDPR 第 28 条。

根据艺术，管理员和处理者之间的关系。 28，第 28 段。 GDPR 3 条，受“通过合同或其他法律行为 根据联盟法或成员国法律 对于处理器来说是强制性的 个人资料 给管理员，并规范处理的主题和持续时间、处理的性质和目的、个人数据的类型和数据主体的类别以及控制者的义务和权利。”它应列出上述第 1 项和第 2 项考虑的所有要素（指南第 100-160 段）。

为了澄清管理员和处理者之间关系的其他一些方面，也可以使用它们 “关于某些义务的第 22/2024 号意见 处理者和子处理者的使用GDPR 的“，可用 这里 和 “解决方案 根据欧洲议会和理事会条例 (EU) 2016/679 以及欧洲议会和理事会条例 (EU) 2018/1725，执行委员会 2021 年 6 月 4 日关于个人数据控制者和处理者之间标准合同条款的 (EU) 2021/915”， 可用的 这里。