GDPR解读(2):两种组织角色

U2      2020-01-25 15:51      418     

GDPR定义的组织主要包括两类角色:数据控制者(Controller)和数据处理者(Processor)。

  • 数据控制者决定处理数据的目的和方式,有义务确保它跟数据处理者之间的合同遵从GDPR要求。
  • 数据处理者代表控制者处理个人数据,只能根据数据控制者的指令(数据处理协议)处理个人数据,有维护数据处理记录的义务。

比如:某医院A采购某人工智能公司B提供的AI服务用于辅助诊断,那么诊疗数据的数据主体是患者,数据控制者是医院A,而人工智能公司B是数据处理者。

又如,使用云服务的企业,对自己的用户来说是数据控制者,云服务提供商是数据处理者。

如果数据处理者超出数据处理协议的范围,自行决定了处理数据的目的和方式,则其角色就演变为“共同控制者”,需承担数据控制者的相关义务。

 

本文地址: https://www.janusec.com/articles/privacy/1579938686.html (转载请注明出处)


评论区(共0条评论)
Copyright ©2020 金汤智库(JANUSEC) All rights reserved.