一年半以前，欧盟通用数据保护条例（GDPR）开始实施。对世界来说——至少对商业来说——生活并没有在18年5月25日结束，在那之后也没有看到大量罚款被处以中小型企业。

我们仍然更多或更少地处于法规实施的阶段，正在学习以新的方式看待个人数据处理。作为网站管理员或网站管理员，我们也可能获得了新的角色，即使我们没有要求：数据处理员的角色。

本文是GDPR概述：系列解密法规的一部分。

数据处理包括哪些内容？

只要有包含个人数据的登记册，就总有一个控制器，并且通常还有一个或多个数据处理员。如果某个人，无论是个人还是组织，代表控制器处理数据，那么这个人就是处理员。此时，最好看看GDPR关于数据处理的意义。GDPR第四条第二款中的定义涵盖了一系列广泛的操作，“这些操作是在个人数据或个人数据集中进行的，无论是否通过自动化手段，例如收集、记录、组织、结构化、存储、调整或更改、检索、查阅、使用、通过传输、传播或以其他方式提供、对齐或组合、限制、删除或销毁”。

我是数据处理员吗？

一般来说，如果我们向客户提供服务，而不仅仅是提供包含快速入门包的网站，我们很可能发现自己处于数据处理者的角色。当然，这仅当网站涉及个人数据时才有效。当我们查看GDPR第4条第2款（以及上一段）中规定的操作列表时，我们可以轻松理解，实际上很难避免数据处理者的角色，特别是如果您有权访问网站的後端。实际上，在许多情况下，我们可能代表网站所有者处理许多这些行为，只是为了避免混乱和混淆。尽管如此，我们成为数据处理者（如果我们是的话）的方式是理解该角色所涉及的义务和责任的一个关键因素。实际上，在许多情况下，我们可能对GDPR的义务比控制者有更好的认识，而控制者可能是作为企业家，他们公司中唯一了解这一点的人。

数据处理者的重要要求和义务

数据处理者的责任在GDPR第28条中得到了广泛描述。首先，处理器必须提供适当的技术和组织措施（TOMs）以满足法规要求，并确保保护个人数据所涉及的个人（数据主体）的权利。此外，个人数据应仅根据控制者的书面指示进行处理。数据处理者还需要采取第32条中描述的所有安全措施，包括有关安全和保密事项的责任，但它还提到了备份策略的需要，或如法规所述：“在发生物理或技术事件时，能够及时恢复个人数据的可用性和访问能力”。

但是，即使我们作为我们客户的处理器已经实施了所有TOMs，我们是否有任何方式来记录我们的合规努力呢？GDPR也是关于信任的，数据加工附加协议/协议的签署是建立双方（数据控制者和数据处理者）之间信任的最小行动。

针对网站管理员的实用建议

如果所有我们的客户都能充分了解GDPR的要求，并相应地迅速采取必要措施，那么实施GDPR对我们所有人来说将变得轻而易举。但往往情况正好相反，我们在向客户传播隐私问题意识方面发挥着重要作用。以下是一些关于如何开始的实用建议

• 首先：检查您管理的网站中是否涉及个人数据。如果没有，您就可以放心了，但：您可以建议客户将公司的隐私政策文件添加到网站上。这是一项最佳实践，而不仅仅是GDPR的要求。
• 如果网站中涉及个人数据，首先尝试了解情况概览和可能的风险。您的客户可能是控制者，负责采取适当的措施，但在最坏的情况下，他/她可能没有意识到这一点。因此，如果您发现自己（也许是不情愿地）处于数据处理者的角色，请与您的客户讨论此事，并告诉他/她控制者的法律责任。
• 良好的文档至关重要。记录与客户的讨论并保存电子邮件。坚持书面指示进行数据处理以及其他协议（DPA）。
• 从您的观点出发，概述网站和数据处理实践，并在发现缺陷时通知您的客户。
• 始终牢记，您的作用在许多方面对于实现客户公司的GDPR合规至关重要，特别是在小型和微型公司中。
• 学习Joomla隐私工具套件（J! 3.9->）的流畅使用，并将其用于您的客户项目中。

法律免责声明：本文提供有关法律事务的一般信息。信息不构成建议，不应被视为建议。您不应将本文中的信息作为替代律师或其他专业法律服务机构提供的法律建议。如果您对任何具体法律问题有任何疑问，应咨询您的律师或其他专业法律服务机构。您决不应延迟寻求法律建议，忽视法律建议，或因本网站上的信息而开始或停止任何法律行动。

本文已由Philip Walton校对。同时，也特别感谢Achilleas Papageorgiou对本文的无价贡献。