处理器遵守指令的义务延伸到什么程度？

fabiha01

在 GDPR 第 4 条第 8 款中，处理者被定义为“代表控制者处理个人数据的自然人或法人、公共当局、机构或其他机构”。必须确保数据控制者和处理者之间签订的数据处理协议（DPA）包含遵守指示的义务的规定：根据第 6 条第 1 款的规定。 28（3）S.2lit.根据 GDPR，DPA 必须规定，个人数据只能“根据控制者的书面指示”进行处理。

遵守指示的义务范围
但是处理器必须遵循哪些指令？控制器是否可以例如B. 还委托给处理器的内部流程或突然要求对委托的数据处理采取更高标准的安全措施（根据 GDPR 第 32 条的技术和组织措施，简称“TOM”）？

合同处理的核心要素是数据控制者对外包给处理者的处理操作的持续责任，这尤其由控制者的全面指令发布能力来保证。控制者可能发出的指令范围几乎没有受到《条例》措辞的限制。 28 GDPR – 除下文提到的例外情况外（！）。

因此，原则上建议对 AVV 中的指令类型做出规定。从处理器的角度来看，规定指令必须清晰、具体的协议是特别合适的。应该排除诸如“必须遵守所有适用法律”或“必须使用最高技术安全特性”之类的笼统而肤浅的指令，特别是因为实施很难证明，因此处理器无法在法律上免除自己的责任。建议控制者针对数据处理的类型和目的，为处理者提供具体的指示。

遵守指示义务的可能例外情况
遵守指示的义务的第一个法律例外可以直接在艺术中找到。 28（3）S.2lit. GDPR。因此，比利时商业传真列表 如果根据欧盟法律或其所受的欧盟成员国法律有义务这样做，处理者可以在没有控制者指示的情况下处理个人数据。但必须在处理前告知控制者法律要求，除非相关法律因重大公共利益而禁止通知。

GDPR 第 28（3）（2）条规定了遵守指示的义务的另一项例外情况。该法规定，如果处理者认为控制者的指令违反了 GDPR 或欧盟或成员国的其他数据保护规定，则处理者应立即通知控制者。法律的措辞并不假定该指令实际上是违法的，而是将对合法内容的意见首先放在了处理者的法律评估上。但这也意味着，即使事实证明该指令实际上是非法的，它最初仍然具有约束力。处理器仅仅断言该指令是非法的并不能消除该指令。然后通常由负责人员来检查指令。

实际上，处理器可能只会处理（在它们看来）明显非法的指令，因为没有义务检查给出的指令。但是，如果控制者（尽管如此）认为他的指令是合法的，而处理者却持不同观点，那么应该如何处理呢？如果双方都认为自己是对的，那么该如何解决这一矛盾呢？评论文献中的一项建议是联系监管机构，然后监管机构可以对案件进行评估。如果得出结论认为该指令是合法的，而监管机构的意见随后被证明是错误的，则代理处理者免于任何责任和罚款风险（Paal/Pauly/Martini，第 3 版，2021 年，GDPR 第 28 条）。然而，独立法院为何随后要受此“免费通行证”的约束，从而无法提供任何确凿的法律确定性，这一点并不明显。

因此，原则上，建议处理者也应对在这种情况发生之前通知控制者有关 DPA 中归类为非法的指令的后果进行规范。例如例如，这可以在一个条款的框架内完成，根据该条款，处理者不必遵守（合理地）归类为非法的指令，直到控制者对其进行相应更改。

现有文件要求
对于这两种例外情况（根据 GDPR 第 28 (3) 条第 2 句 a 项处理数据的义务，以及拒绝遵守 GDPR 第 28 (2) 条含义内的指示），处理者应根据GDPR 第 28 (2) 条记录其采取与责任有关行动的理由。 82 GDPR。根据 GDPR 第 82 条第 2 款第 2 句，如果数据处理者未遵守本条例（GDPR，作者注）明确规定给处理者规定的义务，或无视数据控制者合法发出的指示或违反该指示行事，则应对数据处理造成的损害负责。因此，在数据处理不受指示约束的情况下履行法律义务和/或在数据处理不合法的情况下不遵守指示应得到证实或验证。

结论
处理者应尽量在DPA中加入有关指示和遵守指示义务的例外情况的规定，以降低自身的责任风险。此外，个人根据负责人的指示采取的行动应始终（可验证地）记录在案。