【前言】2016年,威斯汀研究中心(the Westin Research Center)發表了一系列文章,分析了對歐盟通用數據保護條例的十大運營影響的分析。現在,隨著2018年5月25日,GDPR實施的最後期限即將到來,IAPP將發佈一個系列,以展示我們的成員在預期的GDPR實現中所做的常見的實際組織反應。
以下是專家認為的最有效的十項應對GDPR的行動方案:
1)
2)
3)
4)
5)
6)
7)
8)
9) 一個完善的供應商管理(處理者)協議
10) 建立與數據保護部門溝通的系統和渠道
本文是這個系列的第九部分。主要介紹在GDPR下,個人數據轉移給處理者的必要的操作程序和法律術語。
一個完善的供應商管理(處理者)協議
( Vetting and contractingwith processors)
GDPR條款適應了現代商業需求,涵蓋了外包數據存儲和分析、營銷通信和其他功能,它要求數據控制者謹慎選擇處理者並且用包括GDPR標準風險的合同條款約束數據處理者。以下是具體的完善建議:
一、供應商管理
GDPR並沒有規定供應商管理職責。長期以來,組織的採購計劃會從各個方面仔細審查供應商,從財務償付能力到服務水平。例如在美國的健康隱私法律中,要求通過商業夥伴協議將健康信息發送給第三方。保障隱私信息安全人員來說,惡劣的數據洩露事件凸顯了向第三方訪問數據權限的風險,但也提高了最高管理層的風險防備意識。
然而,GDPR將供應商的選擇和協議提升到了一個新的高度。為此,各組織應:
(1) 確保隱私專業人士得到通知並能夠儘早參與 涉及與第三方共享個人數據項目的討論中;
(2) 確定組織在交易中的身份,控制者、聯合控制者還是處理者;
(3) 有符合GDPR第27、28條和46條的供應商管理協議。
以下逐一講解:
二、在交易完成前參與其中
儘可能早地讓隱私專業人士參與到選擇供應商的行動中。由於在簽署購買訂單和許可協議並支付款項後,買方几乎沒有籌碼來尋求供應商技術或法律幫助。所以,在決定採購之前,就要考慮新系統隱私保護是否合理、責任分配是否有利。
因此,隱私領導者必須堅持要求供應商在籤合同前向隱私領導者諮詢。在很多情況下,處理者的銷售人員無法回答有隱私和安全問題。因此,隱私領導者必須堅持與供應商對等級別的員工溝通。如果供應商未能提供隱私專業人員(或僅推薦安全團隊),那它就缺乏維護個人數據安全的意識,和保障遵守GDPR的措施條件。
控制者與處理者合作可能需要進行風險評估,甚至數據保護影響評估,這取決於合作的性質和涉及的個人數據。這些必須被記錄並添加到第30條規定的文件以及相應的合同中,如下所述。
保護數據隱私的關鍵之一是安全性,所以安全團隊也將參與對供應商的審查。在大多數情況下,通過訪問數據處理者的設備來進行數據安全審查是不現實的。因此控制者的安全專家將需要與處理者的相關人員溝通。控制者和處理者通過安全審計和安全認證進行技術和組織保障。
根據IAPP2017年的一項研究,來自供應商的頂級安全證書是ISO 27001認證,其次是SOC 2隱私認證,以及遵守PCI。儘管這些工具還沒有完全開發,但GDPR第5部分(特別是第40條和第42條)中所定義的行為準則和資格認證,也許未來能幫助控制者選擇的處理者。
三、今天的角色:控制者還是處理者?
GDPR中明確區分了控制者和處理者。
控制者承擔著遵守法規的主要責任,包括數據處理合法化、對個人投訴作出回應,但這些責任處理者更容易承擔 。組織定期與第三方進行基於雲的數據存儲和處理解決方案,以協助有效的數據轉移和計費,加強市場營銷工作等。
GDPR第4條將"處理者"定義為"代表控制者處理個人數據的自然人或法人、公共權威"。例如,亞馬遜網絡服務就是一個典型的處理者。所以公關公司Salesforce、人力資本管理公司Workday、以及其他的軟件服務公司會在全球範圍內支持組織。
如果組織"單獨或與他人共同決定了處理個人數據的目的和手段",那它就是一個"控制者"。"GDPR規定了許多控制者責任和義務。幾乎所有的公司包括典型的處理者,都會成為控制者,至少對員工的數據的處理是這樣的。但有時控制者也可以充當處理者。
舉個例子,比如一所大學開設了一個領導力在線課程。當向大學學生提供課程時,它是一個數據控制者。但是,如果大學允許企業在內部提供給高管這門課程,而學院繼續在自己的服務器上開設這門課程,那麼它會成為系統收集個人數據的處理者。但如果大學向公司高管授予某種形式的認證或其他認可,那麼它可能是一個"聯合控制者"。
這些區別很重要,因為它們決定了可能需要的協議類型,以及這些協議中需要的條款。GDPR第29條明確禁止處理者處理個人數據,除非有控制者的指令。第28條提供了書面協議的細節。
事實上,第28條已經成為了一項重大的合規責任,如果沒有被打印出來並被貼在隱私專家的牆上, 那麼要強迫自己進行日常的商業交易。
(1)關於處理的主題、持續時間、性質和目的;
(2)控制者對處理的文檔說明;
(3)處理的個人數據類型與數據主體的類別;
(4)控制者的權利和義務,以及處理者協助遵守的承諾(特別是關於信息安全和違反響應,以及尊重和響應數據主體的權利);
(5)處理的義務,包括採取技術和組織安全措施、為員工和承包商保密,刪除或歸還所有個人數據、提交審核、必要時提供信息證明遵守第28條、保證所有的下屬處理者遵守GDPR。
控制者和處理者會商榷包含上述條款的協議,一些一開始就能順利的達成,但也有很多在之後才達成。這些數據保護協議或附錄包含了一些共同之處,但也反映了各方的議價能力。例如,Salesforce已經在其網站上發佈了一份預先簽署的數據保護附錄,供用戶下載、簽署和存儲在他們的記錄保存系統中。對於大多數Salesforce企業客戶來說,這些協議是不容討價還價的。
規模較小的SaaS供應商——如果在銷售週期中,而不是在交易完成之後趕上了GDPR處理者義務——可能會對數據保護協議的條款進行談判,並允許控制者獲得更優惠的待遇。例如,控制者有權限制使用子處理者。根據第28(2)條,控制者可以對每個子處理者進行預先指定的書面授權。然而,具有影響力的處理者可能要求控制者預先同意書面授權,只通過在網站上添加名稱來更新它們,並允許控制者自動更新電子郵件。
第28條第(7)和(8)款規定,歐洲委員會和監管當局可採用標準合同條款,約束處理者和控制者、處理者和子處理者的協議。
五、向歐盟外轉移數據
GDPR第28條要求還必須解決向歐盟以外轉移個人數據的問題。儘管GDPR並沒有阻礙企業尋求最有效的解決方案以滿足其信息管理的需要,但無論地理位置如何,它確實需要採取謹慎措施以保護國際個人數據。
一般來說,只有控制者和處理者同時滿足一定條件,個人數據才能被轉移到第三國。這些條件包括,第三國在第45條的規定下已經達到"適當"的要求,或者是由控制者或處理者自己承擔第46條規定的"適當的保障"。
適當的保障措施包括有約束力的公司規則(第47條進一步說明)、經批准的行為守則或認證機制,或由委員會或由監督機構(經委員會批准)採用的"標準數據保護條款"。在第46條(3)款下,控制者和處理者之間的合同條款也足以滿足主管監督機構的要求。其中一個例子是AWS數據保護附錄,它通過了第29條工作小組的審核。
在等待GDPR標準數據保護條款的同時,控制者和處理者繼續使用歐盟委員會根據數據保護指令發佈的模型條款,即使該機制在歐洲法院已經受到挑戰。因此,在許多數據保護協議或附錄中附加的合同條款,通常被命名為"標準合同條款",其中包括描述數據出口商和進口商的附件,涉及的特定數據處理活動以及用於數據保護的安全措施。
六、總結
GDPR十大應對之策相輔相成。數據映射和清點以及記錄保存,需要了解哪些個人數據正在被處理以及這些數據會被轉移給誰。控制者必須敏銳地意識到數據的存在和第三方的存在,並且作為其透明度義務的一部分,必須將這些信息披露給數據主體數據處理者有義務在數據洩露後採取適當的安全措施,並及時通知控制者。而作為管理系統的一部分,隱私領導者會培訓員工在在選擇供應商、最終簽署協議之前接觸對方的隱私團隊。許多情況下都要求進行風險評估,要麼是數據保護影響評估,要麼是供應商評估。這會幫助控制者選擇與有GDPR意識的供應商,供應商會與控制者合作完成共同的義務。
作者∣Rita Heimes,國際隱私專業協會(International Association of Privacy Professionals)的研究主管,並擔任內部數據保護官員。Rita 同時也是一名律師和學者,在隱私、信息安全和知識產權法方面有著多年的經驗。作為IAPP的研究總監,Rita通過在全球範圍內對隱私功能的經驗和定性研究來促進隱私領域的發展,並通過向學術機構拓展新一代的隱私和安全專業人員。
翻譯∣陳德志律師、孫清律師助理
閱讀更多 百律 的文章
