GDPR 規定下 AWS 的角色

在 GDPR 規定下，AWS 既是資料處理者，也是資料控制者。

根據第 32 條的規定，控制者與處理者必須「…實作適當的技術與組織措施」。這些措施須考量到「最先進的技術與實作成本，以及處理的本質、範圍、內容與用途，還有自然人權利與自由之各種可能性與嚴重性的風險」。GDPR 為需要的安全措施類型，提供了下列具體建議：

• 將個人資料假名化與加密。

• 能夠確保處理系統與服務的持續機密性、完整性、可用性與恢復力。

• 能夠在發生實體或技術事件時，及時恢復個人資料的使用與存取。

• 定期測試、評定及評估技術與組織措施之有效性的程序，可確保處理安全。

AWS 做為資料處理者

當客戶與 AWS 合作夥伴網路 (APN) 的合作夥伴使用 AWS 服務處理其內容中的個人資料時，AWS 即為資料處理者。客戶與 APN 合作夥伴可使用 AWS 服務中提供的控制 (包括安全組態控制) 處理個人資料。在這些情況下，客戶或 APN 合作夥伴可能為資料控制者或資料處理者，而 AWS 則是資料處理者或轉包處理者。符合 AWS GDPR 的資料處理增補合約 (DPA) 包含了 AWS 身為資料處理者的承諾。

AWS 作為資料控制者

當 AWS 收集個人資料，並決定處理該個人資料的目的與方法時，即為資料控制者。例如，當 AWS 處理帳戶註冊、管理與服務存取的帳戶資訊，或 AWS 帳戶的連絡人資訊，以透過客戶支援活動提供協助時，即為資料控制者。