导读：于2018年5月25日生效的GDPR对企业的数据保护义务提出了全新的监管要求，将对中国企业在欧盟市场的投资、销售和运营产生显著影响，并成为中国企业必须直面的重大法律障碍。本所将定期推送11篇系列原创文章，以协助中国企业从实务角度理解和遵从GDPR，并为中国正在制定的《网络安全法》实施细则和指南提供立法参考。
　　在之前发布的《通用数据保护条例》（General Data Protection Regulation, the “GDPR”）实务指引中，我们讨论了与GDPR有关的多个重要问题。随着GDPR的实施，现有《数据保护指令》95/46/EC（Data Protective Directive, “《指令》”）及其在欧盟各成员国国内法律中的实施也将被同时废止。GDPR引入了多个新概念，如主动隐私保护、默认隐私保护和数据可携性。GDPR将在个人数据处理方面带来实质性的重大变化。
　　我们注意到，组织机构愈加重视个人数据保护的问题，并且已经采取一些初步措施来贯彻执行GDPR。我们的GDPR实务指引旨在解释GDPR带来的相关变化，为读者提供一些关于其组织机构内部如何贯彻执行GDPR的实用建议。
　　本期我们将讨论数据处理者的角色和作用。在GDPR下，数据处理者被明确赋予了一定的责任，这意味着遵守隐私法规不再只是数据控制者的责任。从2018年5月25日起，数据处理者也可能因未遵守GDPR要求和与此相关的其他法规而被追究责任。
　　如果数据处理者在GDPR的地域适用范围内（数据处理者将面临欧洲隐私法规地域适用范围的扩大），则数据处理者可能面临以下义务：
　　如果数据处理者虽非设在欧盟境内，但其处理涉及（i）向欧盟境内的数据主体提供商品和/或服务；（ii）监控欧盟境内的数据主体，则负有在欧盟境内指定一名代表的义务；
　　遵守GDPR第28条中对数据处理协议内容的强制性要求;
　　负有保存数据处理活动书面记录的义务。请注意，这一义务并不适用于员工少于250人的组织机构，除非（i）数据处理活动可能对数据主体的权利和自由构成风险，（ii）数据处理活动并非偶然性的，（iii）数据处理活动涉及特殊类别的数据。如果数据控制者借助数据处理活动提供服务是一种常规实践的话，那么数据处理者不大可能属于例外范围；因此，其有义务保存数据处理活动的书面记录（例如SaaS、托管和其他云服务提供商）;
　　在以下情况下有义务设立数据保护官：（i）数据处理者系公共机构或机关；（ii）其核心活动包括大量处理特殊类别个人数据或与违法犯罪相关的数据；（iii）其核心活动涉及经常性、系统性地大规模监控数据主体；
　　有义务在知悉所处理的个人数据发生泄漏后通知数据控制者（无故不得拖延）并协助数据控制者确保遵守其后续对主管监管机构以及（必要时）数据主体承担的义务。
　　根据GDPR规定，如有违反，数据处理者还要承担行政责任，而不是仅仅根据与数据控制者之间的处理协议承担合同责任。行政罚款最多可达2000万欧元或相关组织机构全球年营业总额的4％（以较高者为准）。除了行政责任和对数据控制者承担的合同责任之外，数据处理者可能也须对因数据处理者违反GDPR规定而遭受损害的数据主体承担责任。
　　建议各组织机构仔细审视其在各类处理活动中的角色和作用，并对相关的责任和义务作出明确的评估。同时应该对组织机构内部参与各类个人数据处理活动的各方当事人及其角色（数据控制者/共同或联合数据控制者/数据处理者/次级处理者等）进行仔细识别。这一点尤为重要，因为角色的划分直接影响到特定方在个人数据处理活动中的职责以及相应的责任。