【前言】2016年,威斯汀研究中心(the Westin Research Center)發表了一系列文章,分析了對歐盟通用數據保護條例的十大運營影響的分析。現在,隨著2018年5月25日,GDPR實施的最後期限即將到來,IAPP將發佈一個系列,以展示我們的成員在預期的GDPR實現中所做的常見的實際組織反應。
以下是專家認為的最有效的十項應對GDPR的行動方案:
1)進行數據清點和映射
2)為數據處理和跨境轉移建立合法的基礎
3)建立和維護一個數據治理系統,包括設立負責人
4) 進行數據保護影響評估,以及設計和默認數據保護
5) 準備、進行數據保存,記錄保存的政策和系統
7) 配置系統,並進行適當的處理以滿足數據主體的權利
8) 時刻為數據洩漏通知做準備
9) 一個完善的供應商管理(處理者)協議
10) 建立與數據保護部門溝通的系統和渠道
本文是這個系列的第七部分,主要介紹數據主體的權利的如何實現。
如何滿足數據主體的權利實現
( Accommodating data subjects' rights)
一、設立和改進流程,以響應數據主體請求
保障數據主體的權利是GDPR實踐中中最微妙、最具挑戰性的任務之一。事實上,正如IAPP-EY在2017年發佈的年度隱私治理報告所顯示的那樣,數據可移植性權利、刪除權以及徵求明確同意是隱私專業人士面臨的最困難的問題。解決這些問題的方法是,不要把它們看作是單獨的工作流程,而是把它們看作一個問題的不同方面。
一般來說,數據主體可以請求查閱其個人數據的副本以及其他各種信息,例如處理的目的、處理的數據類別、關於共享人信息(特別是第三國的接收者)和數據保留期。此外,控制者需要在短時間內對這些請求作出回應。數據主體有權要求糾正不準確的個人數據、完成不完整的個人信息。同樣,被遺忘權賦予數據主體在某些情況下(如個人資料不再為收集目的,或同意被撤回,或處理是非法,或不再有必要時)刪除他們的個人數據的權利。
除了要配備用於刪除的系統,機構還需要有停止的處理能力,因為個人能要求限制特定情況下的處理。包括當數據的準確性受到異議,不再需要處理時,或者數據主體反對進行處理時。組織也需要建立溝通渠道,以便於通知數據接收者刪除或糾正數據。個人可以請求轉移數據到另一個控制者,並在特定情況下對數據進行處理。
GDPR詳細規定了數據主體的權利及其應用和限制。為了真正重視數據主體權利,愛爾蘭數據保護專員(DPC)建議在組織的GDPR準備清單中提出以下問題:
(1)是否有一個記錄在案的政策或程序來處理數據主體訪問請求(現在通常稱為DSARs)?
(2)您的組織是否能夠在一個月內對DSARs作出響應?
(3)是否有程序可以以結構化、常用和機器可讀的格式向數據主體提供個人數據?
(4)在適用的情況下,是否存在允許刪除或糾正個人數據的機制?
(5)當數據主體試圖限制處理時,是否存在停止處理個人數據的機制?
(6)個人是否被告知他們有權反對某些類型的處理?
(7)當數據主體反對數據處理時是否有相應的機制來阻止對個人數據的處理呢?
二、建立系統,並實現自動化
建立數據主體響應系統的第一步是找出已經存在的問題。組織是否有程序在客戶遇到問題時將客戶引導至能夠確認客戶身份並對請求做出有效響應的人員?是否有一種模式能讓數據保護官員參與到通信鏈中?當前的請求和響應記錄是如何保存的,包括記錄需要多長時間來響應?
數據主體需要一種方法來行使他們的權利——要麼通過自動化系統,要麼直接與組織聯繫。確保數據主體能簡單方便的實現其權利,不僅需要維護良好客戶關係和滿足組織透明度義務的,而且要確保數據主體能夠直接向組織提出投訴,而不是隻能先向監管機構提出投訴。
有些組織將客戶信息保存在客戶賬戶中,客戶可以通過用戶名和密碼進行訪問。這可以使數據主體保證個人數據的準確性,甚至可以訪問組織處理的部分個人數據。實際上,
立法法案說明第63條鼓勵控制者在可能的情況下提供"遠程訪問安全系統",允許數據主體直接訪問個人數據。訪問過程必須建立在數據庫管理和編程人員的基礎上,而且不影響安全性。然而,立法法案說明第 63條所提出的簡單性,掩蓋了一個兩難問題。
事實上,數據控制者面臨的主要問題是個人數據的定義非常寬泛。數據映射和清點以及處理的法律基礎,涉及許多種類的個人信息識別,直接的或間接的。但即使是間接的個人信息也在數據主體訪問的範圍內。第29工作組在對數據可移植性的指導中指出,除了"數據主體主動和有意提供的數據"之外,數據主體通過使用服務或設備(例如,搜索歷史、位置數據和可穿戴技術跟蹤的"原始數據")所提供的數據,也能獲得訪問和可移植性的權利。
立法法案說明第63條規定,當控制者處理大量的數據主體的個人信息時,控制者可以請求數據主體"解釋所涉及的信息或處理活動"。"大多數數據主體只會尋找最基本的、直接識別的信息,這些信息可能更容易實現自動化。"而立法法案說明第64條明確建議,不要僅僅為了響應潛在的訪問請求而對數據進行常規銷燬。儘管如此,對於許多控制者來說,需要作出響應的"個人數據"的潛在範圍將非常廣泛,而最小化"個人數據"的範圍是難以實現的。
三、人員、流程和技術保障
第37條第(4)款規定,數據主體應能夠聯繫到組織的DPO,以處理"所有與數據處理有關的問題並行使其權利。"因此,數據主體的理想聯繫人是DPO,它應該在隱私通知和通信中明確說明。
由於DPO的工作不包括輸入、更正或刪除數據,因此DPO將需要開發一個系統,以便與他人合作來評估和響應數據主體的問題。該系統必須記錄響應時間、單位或響應請求的人,以及對響應的解釋。雖然目前通過電子表格進行手工處理——這取決於數據主體請求的範圍和頻率——也可以使用技術工具或更復雜的解決方案。目前,大多數組織都手動管理涉及數據主體權利的處理,但是在市場上也有一些工具來完成這些任務。目前,這些技術還沒有在商業實踐中得到顯著的體現,但這可能會隨著市場和組織需求的成熟而變化。
沒有什麼比接到數據主體請求更能讓組織集中精力解決問題的了。對於企業來說準備一個標準模板,其中包括大多數人可能會問的問題是有效的應對之策。——比如數據類型、收集方法和保留策略。公開的隱私通知應該已經提供了這些信息,但是確保客服隨時能提供這些信息也是關鍵。
重要的是,就像構建新的系統和響應請求需要時間和金錢一樣,對數據主體訪問請求的響應原則上是免費的、毫不遲延地,但如果請求是過度的可以收取"合理的費用"。如果組織不接受數據訪問請求,他們需要提供理由,並告知數據主體有權向本地數據保護部門投訴。
如果數據庫是準確的、可搜索的,那麼成本和響應時間就可以最小化。嚴格遵守數據銷燬政策也可以減輕對DSARs和其他請求(包括刪除權限)的響應負擔。GDPR很清楚,數據主體請求不能成為保留數據的理由。某些時候由於數據分佈在多個系統或數據沒有被正確記錄,無法很好地建立系統。各組織應定期審查其系統,以確保數據收集和保留程序是明確和執行的。
四、數據應具可移植性
當數據被"自動化"處理時,數據主體有權要求控制者"以結構化的、常用的和機器可讀的格式"提供它們的個人數據。 "此外,當技術上可行時,他們可以
要求控制者將他們的個人數據傳輸給另一個控制者。""儘管GDPR不要求數據控制器"採用或維護""技術兼容"的系統,但它們"被鼓勵開發可互操作的格式,以支持數據的可移植性。""第29條工作組建議控制者要"特別注意傳輸數據的格式",以保證數據能被"數據主體"或"其他控制者"輕易地重新使用。因此,組織需要確保提供數據的程序和系統能夠方便地移植個人數據。第29條工作組建議數據控制者滿足數據可移植性要求的裝置,例如通過下載工具或應用程序編程接口。當涉及到大量複雜的數據時,大多數控制者可能更傾向於使用"允許提取相關數據的自動化工具",因為這可以最小化隱私風險。
然而,這些任務並不像組織想象的那樣簡單,特別是那些具有非結構化數據的組織。組織需要一個可部署和易於使用的工具,可以幫助他們挖掘未結構化數據。這似乎是一個組織最需要自動化解決方案的領域,因為現在他們主要依賴於人工操作。
五、被遺忘權
GDPR規定,在某些情況下,數據主體有權要求控制器刪除其個人數據 ,例如:
(1)個人數據不再用於數據收集或處理的原始目的。
(2)數據主體撤回了作為數據處理基礎的同意,以及"沒有其他法律依據來進行處理"。
(3)數據主體拒絕數據處理,並且"……不存在任何更重要的數據處理的合法理由"。
(3)"個人數據被非法處理。"
(4)為了遵守歐盟或成員國法律,擦除是必要的。
(5)個人資料是在已同意為條件提供的服務中收集的,例如,作為數據主體的孩子同意了數據處理,但卻沒有意識到風險。
此外,為了在網絡環境中加強這一權利,"需要刪除已公開數據的數據控制器,考慮到可行技術和實現成本,必須採取合理的步驟來通知其他正在處理這些個人數據以刪除鏈接或複製個人資料的其他控制者。然而,被遺忘權的範圍和實際應用以及刪除權一直被激烈討論,這些權利不是絕對的。
數據控制者刪除個人數據和告知第三方的義務不適用於"
以下必須進行數據處理的情形",包括:(1)行使言論自由和信息自由。
(2)遵守歐盟或成員國法律。
(3)為"公共利益……在公共衛生領域"執行任務或"為了存檔目的……科學或歷史研究目的"或"在控制者行使官方權力"的任務。
(4)確立、行使或捍衛法律主張。
而且組織有必要維護數據主體的聯繫信息,以防被要求與數據主體進行通信。
當GDPR的刪除要求與歐盟成員國的存檔需求相沖突時,組織應該為數據處理設置一份時間表,其中包括數據的存儲時間和處理的目的。
六、身份驗證
最後,大部分的隱私專家都在擔心請求是否合法、是否來源於數據主體。數據控制者可以採取幾個合理的步驟進行身份驗證,要求用戶提供"數據主體知道的信息(例如密碼或密碼),數據主體擁有的東西(例如一個安全令牌)和其他(例如生物特徵信息)。"
圍繞數據主體權限的決策並非是單人活動。更確切地說,這是一個團隊驅動的努力,包括瞭解業務的人、律師和隱私專業人員,處理各種信息的人力資源官員以及擁有數據系統、流程和傳輸知識的技術團隊。
八、總結
為了減輕配置系統所帶來的挑戰,我們必須瞭解系統和流程以及不斷地尋找解決問題的方法。最重要的是,要加強不同部門員工的溝通,努力理解數據主體的需求,同時關注最可能發生的情況。
作者∣Muge Fazlioglu,布盧明頓印第安納大學的Maurer法學院法律和社會科學博士,她是應用網絡安全研究中心的研究員,同時也是法律、倫理和應用研究中心的研究員,並擔任法律研究和寫作課程的助教。她的主要研究方向是隱私、數據保護、通信法律、風險管理和信息技術使用的社會文化方面。她對影響數據保護的個人層面因素進行跨學科和比較研究。她的博士論文研究了基於風險的隱私和數據保護方法以及在歐盟和美國風險管理中信息敏感性的作用。她的研究發表在國際數據隱私法和各種會議上,包括國際交流協會和阿姆斯特丹隱私會議。她還持有瑞典斯德哥爾摩大學的法學碩士學位,以及來自土耳其馬爾馬拉大學的法學碩士學位。
翻譯∣陳德志律師、孫清律師助理
閱讀更多 百律 的文章
