关系 – 控制者-处理者协议
由于 EDPB 大大扩展了GDPR第 28 条规 手机号码数据 定的要求,因此有关控制者-处理者协议的指导可能会对贵组织的实践产生最重大的影响。至关重要的是,EDPB 声称,仅仅重申第 28 条规定的协议是不够的。他们解释说,协议是各方明确分配保护数据主体权利责任的一种方式,因此需要详细说明具体安排,包括:
- 关于处理活动的性质和范围的具体说明,特别是现有的安全安排
- 控制者可以批准或拒绝子处理者的明确流程
- 已获得控制者批准的所有子处理者的列表
- 如果控制者已授权处理者选择子处理者,则子处理者必须满足的标准列表
- 处理者向控制者提供的有关处理数据主体权利请求的协助性质的详细信息
除了要求这些协议比以
前更加详细之外,该指南还要求处理者在更改和遵守这些协议方面承担更重的负担。EDPB 表示,如果处理者打算对控制者-处理者协议进行任何更改,则必须直接通知控制者并获得其批准;他们不能简单地在其网站上发布 这是他这位坚定的艺术家兼 更改并单方面更改协议。此外,EDPB 澄清说,控制者和处理者同样有责任制定符合 GDPR 的协议,而这传统上是控制者的责任。
这些变化可能会受到许多人的欢迎,因为由 DPO 中心和数据保护世界论坛提供的英国数据保护指数的调查结果显示,81% 的 DPO 同意应在控制者和处理者之间引入更多的尽职调查。
关系 – 联合控制人协议
在联合控制者协议方面,EDPB 的建议比 GDPR 更进一步:
- 虽然第 26 条没有规定协议应采取的形式,但 EDPB 建议确保它是具有法律约束力的文件,以确保法律确定性,同时也允许各方在另一方违反协议时追回损失
- 与控制者-处理者协议一样,他们规定这些协议应包括有关各方责任分配的更多细节,以及此类分配的理由。这超出了第 26 条的规定,该条仅要求协议包含第 13 条和第 14 条中提到的信息。
结论
该指导有多大帮助?
指南第 2 部分大大扩展了 GDPR 中关 最新评论 于控制者-处理者和联合控制者协议的细节,而这些细节此前相当稀疏。这为这些协议应采取何种形式以及协议中需要包含哪些内容提供了更大的清晰度和确定性。