August 9, 2025
2 min read
مقررات عمومی حفاظت از دادهها (GDPR) به صراحت پردازشگر داده را به عنوان «یک شخص، سازمان، مرجع عمومی یا هر نهاد دیگری که دادههای شخصی را از طرف کنترلکننده داده پردازش میکند» تعریف میکند (مقررات (EU) 2016/679، ماده ۴(۸)). این تعریف بر نقش پردازشگر به عنوان نهادی تأکید دارد که دادهها را مالکیت یا کنترل نمیکند، بلکه صرفاً تحت دستورات کنترلکننده داده عمل میکند.
محور اصلی چارچوب GDPR، تمایز بین کنترلکنندگان داده و پردازشگران داده است. در حالی که کنترلکنندگان اهداف و ابزارهای پردازش دادههای شخصی را تعیین میکنند، پردازشگران صرفاً وظایف پردازش را اجرا میکنند. این تمایز بسیار مهم است زیرا دامنه مسئولیتهای قانونی و تعهدات نظارتی را شکل میدهد. پردازشگران داده، اگرچه به همان شیوهای که کنترلکنندگان مسئول هستند، پاسخگوی انطباق کلی نیستند، اما طبق ماده ۲۸ موظف به موارد زیر هستند:
نمونههای رایجی که برای پردازشگران داده ذکر میشود شامل خدمات شخص ثالث مانند موارد زیر است:
این پردازشگران دادههای شخصی را طبق توافقات قراردادی مدیریت میکنند اما در مورد هدف یا ابزارهای پردازش تصمیمگیری نمیکنند، که این امر آنها را از کنترلکنندگان متمایز میکند (Voigt & Von dem Bussche, 2017).
چارچوب قانونی مسئولیت حفظ استانداردهای بالای حفاظت از داده را بر عهده پردازشگران قرار میدهد، اما به آنها استقلال تصمیمگیری در مورد استفاده از دادهها را نمیدهد. این امر مسئولیت پردازشگران را عمدتاً به پایبندی به دستورات کنترلکننده و انطباق با GDPR در فعالیتهای پردازشی آنها محدود میکند. عدم رعایت این موارد ممکن است منجر به جریمه شود، که نقش حیاتی آنها را در اکوسیستم حفاظت از دادهها برجسته میکند (Kuner, 2018).
به طور خلاصه، GDPR پردازشگران داده را به عنوان نهادهایی معرفی میکند که وظایف پردازش را تحت دستور کنترلکنندگان انجام میدهند و آنها را به پایبندی دقیق به اقدامات امنیتی و دستورالعملهای قانونی، بدون داشتن مالکیت یا اختیار تصمیمگیری بر دادههای شخصی که مدیریت میکنند، ملزم میسازد.
