GDPR 下的共同责任——BayLfD 的新指南

fabiha01

根据《通用数据保护条例》（GDPR）第 26 条的规定，当两个或两个以上的控制者共同决定处理个人数据的目的和方式时，就适用联合控制权。尽管每个数据保护官员可能都熟悉该法律规定，但可以假设，对该规定的处理远不如合同处理（GDPR 第 28 条）那么熟悉。

因此，巴伐利亚州数据保护专员（BayLfD）于 2024 年 6 月 17 日发布了关于“共同责任”的指南，旨在减少现有的“接触恐惧”并消除处理共同责任法律文书时的不确定性。 BayLfD 是巴伐利亚州的数据保护监督机构，负责公共管理。因此，指南中选取的例子和行动建议也针对公共部门的负责人。

以下文章旨在概述该指南的结构和内容。

共同责任条件
在评估责任时，各种因素都会发挥作用，这些因素在指南的第二部分中进行了介绍：

控制者类别：谁被视为控制者在艺术中定义。 GDPR 第 4 条第 7 款。
决策权：这可能源于法律规定、默示的管辖权或实际影响。
联合决定：双方共同决定数据处理的目的和方法至关重要。
我们过去也曾报道过个别要求以及它们与其他数据保护情况的区别。

到目前为止，一切都很好——但理论上听起来简单的事情在实践中可能会导致相当大的困难。尤其是，澳大利亚商业传真列表 如果决策权问题无法根据法定规定或默示权限明确，则必须根据实际情况评估有关当事人的影响力。而在实践中，何时可将一项决策归类为“联合决策”的问题并不总是容易回答。为了阐明这一点，我们详细描述了各个要求，并通过案例研究使其更加具体。

共同责任的例子
指南第三部分提供了与公共部门特别相关的共享责任结构的例子。例如：法定案件、电子政务、官方网络文件、大学和研究机构之间的合作、司法领域的合作、涉及多个公共机构的事件以及社交媒体和通信服务的使用。

与其他处理角色的区别
考虑到可能产生的后果和制裁，第四部分区分了共同责任和数据保护责任，其中包括个人责任、合同处理、向第三方传输数据，甚至根本没有责任。

在此背景下，应特别注意这种情况与人员过多之间的详细区别，其他当局提供的指导中尚未（详细）考虑到这一点。在此背景下，监管机构的立场很明确：员工“[…]将仅被允许为官方目的访问的数据用于纯粹的私人目的”（第 101 段）不会因为这种不当使用数据而成为数据保护控制者。 BayLfD 认为，支持这种观点的依据是缺乏关于数据处理目的和方式的决策权——即使“[…]员工将工作数据用于私人目的”，他也没有这样的权力（第 104 段）。据 BayLfD 称，这一评估得到了 Art 措辞的支持。 29 GDPR——与艺术相反。 28（10） GDPR，这并不规定在发生非法行为时责任的改变。

连带责任的法律后果
第五部分详细讨论了连带责任的法律后果，并考虑了当前的判例法。本节与其他指导文件相比基本没有创新，但要求清晰、准确。显然，责任人不仅通过明确的规定和协议提高了数据处理的透明度和安全性，而且还大大降低了他们的责任风险。实践表明，仔细记录和划分责任对于满足 GDPR 的要求至关重要。从受影响者的角度来看，共同责任本质上意味着其法律地位的改善，因为他们可以向每个责任方主张自己的权利。