花和尚北美情趣社区

標題: 个人数据处理的合同和责任 [打印本頁]

作者: mimmita1 時間: 2023-12-27 18:11
標題: 个人数据处理的合同和责任

控制者是负责个人数据处理决策的人。它是数据的所有者，将决定哪些数据将被处理、如何处理、目的、处理期限、是否与第三方共享等。控制者负责有关数据管理的所有决策。
国家数据保护局（ANPD）在《个人数据处理代理和负责人定义指南》[1]中指出，为了定义控制者的角色，不必所有决定都由控制者做出控制器。

根据 ANPD 的规定，控制者只会做出涉及实现处理目的的基本要素的主要决策。从这个意义上说，处理的目的必须始终由控制器定义。

反过来，运营商是在实践中以控制者的名义和利益进行个人数据处理的人。操作者只能在控制者确定的职责范围内行事。

ANPD 在指南中明确指出，运营商必须是与控制者不同的实体。因此，如果雇员在履行职责期间处理雇主掌握的数据，则不能被视为操作者。

2. 控制者和操作者的责任
在签订涉及个人数据处理的合同时，必须明确承包商在处理操作中的角色。

这个定义非常重要，因为LGPD第42条规定，运营者只有在不遵守数据保护立法义务或不遵循控制者的合法指示时才承担责任。

为了免除操作者的责任，有必要证明操作者遵循了控制者的指示。对于此类证明，这些准则必须在双方签署的合同或其他有效文件中列出。此外，还必须有数据处理操作的记录。

反过来，如果经营者不遵守其在合同中制定的规则，控制者可以要求承担连带责任。在这种情况下，LGPD通过等价创建了控制者的形象（第 42 条第 1 款 I）。

需要注意的是，如果证明是经营者造成的不规范处理，则可以享有退货的权利。因此，合同中规定了经营者应遵循的说明和退货权利，这一点再次重要。

除了个人数据处理不规范时的责任外，定义控制者和操作者的角色也很重要，因为 LGPD 向控制者分配了具体的义务：准备个人数据保护影响报告、证明获得的同意的有效性持有人，在发生安全事件时来自国家数据保护机构的通信。

处理代理是为每个处理操作定义的。因此，在涵盖不同操作的合同的情况下，同一个人可能是控制者和操作者。

最后，当处理代理人证明（1）他们没有处理个人数据时，可以排除其责任；(2) 尽管他们进行了处理，但没有违反数据保护法，或者 (3) 损害是由于数据主体或第三方的过失造成的（LGPD 第 43 条）。

3. 联合控制
想象一下以下情况：一家公司聘请第三方来管理工资。第三方服务提供 电报号码数据 商和承包公司（即雇主）都有权定义如何处理员工数据以及处理的目的。

在这种情况下，如何界定谁将扮演数据控制者和操作者的角色？

根据欧盟关于隐私和个人数据保护的法律法规《通用数据保护条例》（GDPR），联合控制权的存在是可能的，即同一数据处理操作中存在两个控制者。

欧洲法规将控制者定义为“单独或与他人共同确定处理个人数据的目的和方式的自然人或法人、公共机构、机构或其他团体” （GDPR 第 4 条第 7 项）。

尽管 LGPD 没有预见到这种可能性，但 A
根据 GDPR 第 26 条，当两个或多个控制者共同确定处理的目的和方式时，就会出现联合控制权。在这种情况下，双方将共同负责治疗。

共同控制权必须通过合同定义，控制者必须就责任达成一致，特别是在行使数据主体权利方面。

根据 ANPD 指南，治疗的目的可能基于共同或趋同的决定而发生：

在共同决策中，两个或多个实体对处理的目的和手段有共同的意图并共同做出决策。另一方面，在收敛决策中，会做出不同的决策，但它们相互补充，如果没有两个控制器的参与，治疗就不可能实现。

最后，需要明确的是，如果治疗目标不同，就不存在联合控制。

歡迎光臨花和尚北美情趣社区 (http://monk8.ibbs.tw/)