在欧盟GDPR（又称《通用数据保护条例》）中，为有效保护个人数据，维护数据主体的合法权益，数据控制者及数据处理者均被施加了明确的义务。同时，通过对欧盟GDPR的阅读不难发现，数据处理者及数据控制者往往属于“利益共同体”，二者在数据处理过程中扮演的角色以及所承担的责任等拥有诸多相似之处。但同时，数据控制者与数据处理者又并不完全相同，二者之间在数据处理中具体的角色承担因其职能的不能也存在些许差别。

因此，对于数据控制者与数据处理者之间关系的把控，对于更好地了解欧盟GDPR的规定，数据主体更好地维护自身利益均大有裨益。

首先，数据控制者与数据处理者在数据处理活动中均能够合法合理地掌握数据主体提供的个人数据。为获取数据主体的个人数据，数据控制者往往会与数据主体进行沟通，就数据处理过程中的相关事项与数据主体进行商议，在获得数据主体认可的前提下合法掌握其个人数据。在该洽谈过程中，数据处理者往往并不出现，在与数据主体签订个人数据使用授权书的情形下，数据处理者也并非该合同的一方当事人。在数据控制者获得数据主体的有效授权后，数据控制者需要就其与数据主体达成的对于该个人数据使用的规则，向数据处理者进行反馈，也即在数据控制者与数据处理者之间形成二次洽谈。该二者之间的洽谈必须以数据控制者与数据主体之间达成的授权协议书的内容为限，既不得就数据的使用范围、期限等超出授权书的范围，也不得就处理方式等内容进行未经数据主体授权的更改。

其次，在数据控制者与数据处理者达成协议的基础上，数据处理者方可对数据主体提供的个人数据进行约定方式的处理。换言之，也即欧盟GDPR中所说的，数据处理者代表数据控制者对该个人数据进行处理。同时根据欧盟GDPR的规定，数据控制者必须对其选择的数据处理者负责，其职能选择有充分保证的、能够采取恰当的技术与组织措施的数据处理者对其合法获取的个人数据进行处理。此外，数据控制者还必须保证该数据处理者的处理行为是符合欧盟GDPR的规定以及能够满足保护数据主体的合法权益需要的。

再者，数据处理者也必须对数据控制者负责，其处理行为必须基于与数据控制者就该次个人数据处理行为达成的协议进行，同时还需要受到该数据控制者所在国家的相应法律的规制。同时，未经数据控制者同意，数据处理者不得将该次数据处理行为授权或者转移给另一个数据处理者，即使该另一个数据处理者的处理行为完全符合数据控制者与前一个数据处理者就该次数据处理行为达成的协议或者符合法律规定。若存在特殊情形，数据处理者必须就其变更行为向数据控制者进行告知，在获得数据控制者同意的基础上方可进行。

最后，数据处理者只有在获得数据控制者的书面授权后，方可进行数据处理活动。对于向第三国或者其他国际组织进行个人数据转移的行为，数据处理者也必须获得数据控制者的书面同意方可。换言之，在对个人数据的处理过程中，数据处理者没有自由裁量的空间，必须完全以数据控制者的要求为准。但其同时并不需要与数据主体进行直接对接，而只需要对数据控制者负责即可，由数据控制者对数据主体负责。

当然，实践中也存在着数据控制者与数据处理者合二为一的情形，在此种情形下，各方关系得到简化， 只需要数据主体与数据控制者进行各个问题的对接即可。数据主体在维护权益的过程中也可以直接与数据控制者或者数据处理者进行沟通，要求其停止任何可能侵犯数据主体合法权益的行为。

严正声明：本文章内容为佑碧艾商务咨询（上海）有限公司（以下简称LEB）原创作品，LEB对该作品享有全部著作权。欢迎转发，如需以任何形式转载请注明作品出处及标注作者（LEB）署名，违者将承担相应法律责任。特此声明。