随着欧盟GDPR（又称《通用数据保护条例》）的正式生效，在数据保护问题上的完善程度得到了进一步加强。在数据保护所涉及的诸多主体中，数据处理者的责任同样至关重要。

通常情形下，数据控制者与数据处理者往往相同，特定个人或者团体在控制该数据的基础上对数据进行进一步的处理，但也存在数据控制者在控制数据后交由他人进行处理的情形，也即数据控制者与数据处理者相分离。欧盟GDPR对在第二十八条数据处理者部分，主要规制的是与数据控制者相分离的数据处理者其行为。

一、数据处理者的确定

在数据控制者为数据处理者不为同一人或同一组织的情形下，根据欧盟GDPR规定，数据处理者代表数据控制者对收集到的数据进行处理。根据条例规定，数据处理者的选取由数据控制者进行，数据控制者必须选取能够充分保证满足条例要求的技术、组织措施，来对需要处理的数据采取相关措施。数据处理者的数量为满足特定目的而进行数据处理所必需，一旦选定，数据处理者便不可随意更改。此外，根据欧盟GDPR规定，在数据控制者未进行特别授权或者一般书面授权的情形下，数据处理者不得擅自更改或者聘用其他的处理者。即使获得相应授权，数据处理者也必须将其的更改或者变动及时告知数据控制者，以确保待处理数据的安全。

二、数据处理者的处理行为

与数据控制者不同，数据处理者处理的数据范围并非控制者所控制的全部数据，而是其中为满足该目的所必须的部分数据。因此，在数据控制者未明确授权处理全部数据的前提下，数据处理者不得就任何逾越研究目的的其他数据进行任何处理。此外，根据欧盟GDPR规定，数据处理者的处理行为应同步受到该条例及欧盟其他成员国的法律、其他欧盟法或者某类合同的约束。

其中，前述合同或者法律必须对特定情形作出明确规定。按照欧盟GDPR，该类情形具体如下。

首先，即使该数据处理者已经被指定为有权处理数据的主体，但在其收到数据控制者的书面指示前，不得就所授权数据进行任何处理行为。这一限制同时包括对个人数据采取的向他国或者某国际组织进行转移的情形。但欧盟GDPR也在其中给出了例外解释，当欧盟法或者成员国内部法律对此种处理作出了明确的要求时，该处理可以进行，但必须在进行之前告知数据控制者，除非此类告知会对公共利益造成不利影响。

第二，由于个人数据的隐私性及受保护的必要性要强于其他数据，因此对于获得处理个人数据授权的处理者而言，必须依照合约或者法律履行相应的保密义务。

第三，在处理者进行数据处理的过程中，对于欧盟GDPR其他章节所规定的相应措施也应予以注意，其他章节中对数据处理者提出的义务等，处理者也必须予以注意。

第四，对于个人数据这一特殊种类，数据处理者仅享有依照授权进行处理的权利，而无任何控制该数据的权利，因此在结束处理行为后，必须及时将个人数据返还给数据控制者，并对其在处理过程中进行的保存或者备份等进行删除，以确保其在处理行为结束后不再有任何持有该个人数据的可能性。

最后，为确保数据处理者确按照欧盟GDPR及其他相关法律、合约履行其应尽义务，处理者应向数据控制者提供一切能证明其遵循条例规定的信息，满足包括控制者在内的审计员对数据处理者的行为进行审计核查。

数据处理者作为维护数据安全中的重要主体，欧盟GDPR中也对其进行了详细的责任规定，值得各方注意。

严正声明：本文章内容为佑碧艾商务咨询（上海）有限公司（以下简称LEB）原创作品，LEB对该作品享有全部著作权。欢迎转发，如需以任何形式转载请注明作品出处及标注作者（LEB）署名，违者将承担相应法律责任。特此声明。