【前言】2016年,威斯汀研究中心(the Westin Research Center)发表了一系列文章,分析了对欧盟通用数据保护条例的十大运营影响的分析。现在,随着2018年5月25日,GDPR实施的最后期限即将到来,IAPP将发布一个系列,以展示我们的成员在预期的GDPR实现中所做的常见的实际组织反应。
以下是专家认为的最有效的十项应对GDPR的行动方案:
1)
2)
3)
4)
5)
6)
7)
8)
9) 一个完善的供应商管理(处理者)协议
10) 建立与数据保护部门沟通的系统和渠道
本文是这个系列的第九部分。主要介绍在GDPR下,个人数据转移给处理者的必要的操作程序和法律术语。
一个完善的供应商管理(处理者)协议
( Vetting and contractingwith processors)
GDPR条款适应了现代商业需求,涵盖了外包数据存储和分析、营销通信和其他功能,它要求数据控制者谨慎选择处理者并且用包括GDPR标准风险的合同条款约束数据处理者。以下是具体的完善建议:
一、供应商管理
GDPR并没有规定供应商管理职责。长期以来,组织的采购计划会从各个方面仔细审查供应商,从财务偿付能力到服务水平。例如在美国的健康隐私法律中,要求通过商业伙伴协议将健康信息发送给第三方。保障隐私信息安全人员来说,恶劣的数据泄露事件凸显了向第三方访问数据权限的风险,但也提高了最高管理层的风险防备意识。
然而,GDPR将供应商的选择和协议提升到了一个新的高度。为此,各组织应:
(1) 确保隐私专业人士得到通知并能够尽早参与 涉及与第三方共享个人数据项目的讨论中;
(2) 确定组织在交易中的身份,控制者、联合控制者还是处理者;
(3) 有符合GDPR第27、28条和46条的供应商管理协议。
以下逐一讲解:
二、在交易完成前参与其中
尽可能早地让隐私专业人士参与到选择供应商的行动中。由于在签署购买订单和许可协议并支付款项后,买方几乎没有筹码来寻求供应商技术或法律帮助。所以,在决定采购之前,就要考虑新系统隐私保护是否合理、责任分配是否有利。
因此,隐私领导者必须坚持要求供应商在签合同前向隐私领导者咨询。在很多情况下,处理者的销售人员无法回答有隐私和安全问题。因此,隐私领导者必须坚持与供应商对等级别的员工沟通。如果供应商未能提供隐私专业人员(或仅推荐安全团队),那它就缺乏维护个人数据安全的意识,和保障遵守GDPR的措施条件。
控制者与处理者合作可能需要进行风险评估,甚至数据保护影响评估,这取决于合作的性质和涉及的个人数据。这些必须被记录并添加到第30条规定的文件以及相应的合同中,如下所述。
保护数据隐私的关键之一是安全性,所以安全团队也将参与对供应商的审查。在大多数情况下,通过访问数据处理者的设备来进行数据安全审查是不现实的。因此控制者的安全专家将需要与处理者的相关人员沟通。控制者和处理者通过安全审计和安全认证进行技术和组织保障。
根据IAPP2017年的一项研究,来自供应商的顶级安全证书是ISO 27001认证,其次是SOC 2隐私认证,以及遵守PCI。尽管这些工具还没有完全开发,但GDPR第5部分(特别是第40条和第42条)中所定义的行为准则和资格认证,也许未来能帮助控制者选择的处理者。
三、今天的角色:控制者还是处理者?
GDPR中明确区分了控制者和处理者。
控制者承担着遵守法规的主要责任,包括数据处理合法化、对个人投诉作出回应,但这些责任处理者更容易承担 。组织定期与第三方进行基于云的数据存储和处理解决方案,以协助有效的数据转移和计费,加强市场营销工作等。
GDPR第4条将"处理者"定义为"代表控制者处理个人数据的自然人或法人、公共权威"。例如,亚马逊网络服务就是一个典型的处理者。所以公关公司Salesforce、人力资本管理公司Workday、以及其他的软件服务公司会在全球范围内支持组织。
如果组织"单独或与他人共同决定了处理个人数据的目的和手段",那它就是一个"控制者"。"GDPR规定了许多控制者责任和义务。几乎所有的公司包括典型的处理者,都会成为控制者,至少对员工的数据的处理是这样的。但有时控制者也可以充当处理者。
举个例子,比如一所大学开设了一个领导力在线课程。当向大学学生提供课程时,它是一个数据控制者。但是,如果大学允许企业在内部提供给高管这门课程,而学院继续在自己的服务器上开设这门课程,那么它会成为系统收集个人数据的处理者。但如果大学向公司高管授予某种形式的认证或其他认可,那么它可能是一个"联合控制者"。
这些区别很重要,因为它们决定了可能需要的协议类型,以及这些协议中需要的条款。GDPR第29条明确禁止处理者处理个人数据,除非有控制者的指令。第28条提供了书面协议的细节。
事实上,第28条已经成为了一项重大的合规责任,如果没有被打印出来并被贴在隐私专家的墙上, 那么要强迫自己进行日常的商业交易。
(1)关于处理的主题、持续时间、性质和目的;
(2)控制者对处理的文档说明;
(3)处理的个人数据类型与数据主体的类别;
(4)控制者的权利和义务,以及处理者协助遵守的承诺(特别是关于信息安全和违反响应,以及尊重和响应数据主体的权利);
(5)处理的义务,包括采取技术和组织安全措施、为员工和承包商保密,删除或归还所有个人数据、提交审核、必要时提供信息证明遵守第28条、保证所有的下属处理者遵守GDPR。
控制者和处理者会商榷包含上述条款的协议,一些一开始就能顺利的达成,但也有很多在之后才达成。这些数据保护协议或附录包含了一些共同之处,但也反映了各方的议价能力。例如,Salesforce已经在其网站上发布了一份预先签署的数据保护附录,供用户下载、签署和存储在他们的记录保存系统中。对于大多数Salesforce企业客户来说,这些协议是不容讨价还价的。
规模较小的SaaS供应商——如果在销售周期中,而不是在交易完成之后赶上了GDPR处理者义务——可能会对数据保护协议的条款进行谈判,并允许控制者获得更优惠的待遇。例如,控制者有权限制使用子处理者。根据第28(2)条,控制者可以对每个子处理者进行预先指定的书面授权。然而,具有影响力的处理者可能要求控制者预先同意书面授权,只通过在网站上添加名称来更新它们,并允许控制者自动更新电子邮件。
第28条第(7)和(8)款规定,欧洲委员会和监管当局可采用标准合同条款,约束处理者和控制者、处理者和子处理者的协议。
五、向欧盟外转移数据
GDPR第28条要求还必须解决向欧盟以外转移个人数据的问题。尽管GDPR并没有阻碍企业寻求最有效的解决方案以满足其信息管理的需要,但无论地理位置如何,它确实需要采取谨慎措施以保护国际个人数据。
一般来说,只有控制者和处理者同时满足一定条件,个人数据才能被转移到第三国。这些条件包括,第三国在第45条的规定下已经达到"适当"的要求,或者是由控制者或处理者自己承担第46条规定的"适当的保障"。
适当的保障措施包括有约束力的公司规则(第47条进一步说明)、经批准的行为守则或认证机制,或由委员会或由监督机构(经委员会批准)采用的"标准数据保护条款"。在第46条(3)款下,控制者和处理者之间的合同条款也足以满足主管监督机构的要求。其中一个例子是AWS数据保护附录,它通过了第29条工作小组的审核。
在等待GDPR标准数据保护条款的同时,控制者和处理者继续使用欧盟委员会根据数据保护指令发布的模型条款,即使该机制在欧洲法院已经受到挑战。因此,在许多数据保护协议或附录中附加的合同条款,通常被命名为"标准合同条款",其中包括描述数据出口商和进口商的附件,涉及的特定数据处理活动以及用于数据保护的安全措施。
六、总结
GDPR十大应对之策相辅相成。数据映射和清点以及记录保存,需要了解哪些个人数据正在被处理以及这些数据会被转移给谁。控制者必须敏锐地意识到数据的存在和第三方的存在,并且作为其透明度义务的一部分,必须将这些信息披露给数据主体数据处理者有义务在数据泄露后采取适当的安全措施,并及时通知控制者。而作为管理系统的一部分,隐私领导者会培训员工在在选择供应商、最终签署协议之前接触对方的隐私团队。许多情况下都要求进行风险评估,要么是数据保护影响评估,要么是供应商评估。这会帮助控制者选择与有GDPR意识的供应商,供应商会与控制者合作完成共同的义务。
作者∣Rita Heimes,国际隐私专业协会(International Association of Privacy Professionals)的研究主管,并担任内部数据保护官员。Rita 同时也是一名律师和学者,在隐私、信息安全和知识产权法方面有着多年的经验。作为IAPP的研究总监,Rita通过在全球范围内对隐私功能的经验和定性研究来促进隐私领域的发展,并通过向学术机构拓展新一代的隐私和安全专业人员。
翻译∣陈德志律师、孙清律师助理
閱讀更多 百律 的文章
