【前言】2016年,威斯汀研究中心(the Westin Research Center)發表了一系列文章,分析了對歐盟通用數據保護條例的十大運營影響的分析。現在,隨著2018年5月25日,GDPR實施的最後期限即將到來,IAPP將發佈一個系列,以展示我們的成員在預期的GDPR實現中所做的常見的實際組織反應。以下是專家認為的最有效的十項應對GDPR的行動方案:
1) 進行數據清點和映射
2)為數據處理和跨境轉移建立合法的基礎
3)建立和維護一個數據治理系統,包括設立負責人
4) 進行數據保護影響評估,以及設計和默認數據保護
5) 準備、進行數據保存,記錄保存的政策和系統
6) 滿足信息透明度要求和履行通信義務
7) 配置系統,並進行適當的處理以滿足數據主體的權利
8) 時刻為數據洩漏通知做準備
9) 一個完善的供應商管理(處理者)協議
10) 建立與數據保護部門溝通的系統和渠道
本文是這個系列的第五部分,介紹了GDPR第30條規定的數據處理活動的記錄義務和數據處理完成後的銷燬義務。
數據保存及其政策和系統
(Preparing and implementing data-retention andrecord-keeping policies and systems)
一、數據保留和銷燬
對於數據保留政策和程序,我們喜憂參半。
好消息是,GDPR對數據保留的要求並不複雜,也不是難以理解。事實上長期以來,歐盟數據保護指令和其他國家的隱私法如加拿大PIPEDA都要求數據保留與處理不應超過最小限度。GDPR的數據保留要求僅僅運用了傳統信息實踐中的限制使用原則:為實現收集、處理信息的最初目的才可以保留個人數據。
壞消息是,組織最難完成的困難任務之一就是嚴格執行數據保留要求並刪除個人數據,並且更不幸的是許多組織已經違反了現行的隱私法。畢竟人類天生會去保留那些以後可能有用的東西。對組織來說,個人信息尤其是那些可能成為未來客戶的前客戶的個人信息,本質上是有價值的。此外,違反後被抓住的幾率有多大?很少有針對組織的數據保留而採取的執法行動;除非在違反安全規定的情況下,組織被發現不適當的保留了個人數據。GDPR要求組織必須克服保留數據的天性。
第五條規定了數據處理的一般原則和要求,在第5條第(1)款(e)項下,被以某種形式保存的個人資料,不超過數據處理目的所需要的資料範圍。從邏輯上講,允許長時間的存儲匿名數據。違反第5條規定,可能導致高達20,000,000歐元或企業全球年營業額4%的行政罰款。
那些未能定期刪除數據主體個人信息的組織,將會在5月25日GDPR生效前努力達到第5條的要求。如果數據保存在非結構化的格式中,或者結構化數據很難刪除,那麼大規模的數據銷燬工作可能會損害系統。許多商業客戶關係管理(通常稱為CRM)系統不贊成完全銷燬記錄,要求匿名化主體數據,而不需要刪除數據。對許多組織來說,在截止日期前完成數據刪除是非常耗時的,而且需要額外的人手——或者至少需要員工加班。實際上,像Salesforce這樣的商業CRMs,在未來可能會更改格式【a classicopportunity for privacy by design】,以幫助控制者符合GDPR下的數據銷燬需求。
在此之前,組織將採用分流模式。這需要確定哪些個人數據如果超過了必要保留期限將對數據主體產生最大的風險。如果發現組織非法保留個人數據,將造成最大的風險。組織的數據映射和清點工作此時得到了回報,因為在此過程中,數據已經被風險評估了。
考慮數據處理的法律依據十分重要,因為這有助於確定處理的法律依據是否沒變,或者法律依據是否已過期。雖然第5條第(1)款(e)項的數據保留提到了"處理個人數據的目的"的期限,而第6條則討論了處理的合法性,將處理的"目的"與它的"法律依據"聯繫起來是合乎邏輯的,因為在第6條中這些術語經常被交叉引用(例如,"處理目的應在該法律基礎上確定"或"處理對保護控制者的合法利益是必要的")。
企業的隱私領導者必須設立數據保留政策(或修改已有的政策)和數據銷燬政策,以便於指導何時和怎麼刪除或銷燬數據(例如數據處理的法律依據過期時)。這些政策可以合併,但至少應在第30條處理活動的記錄中涉及,如下所述。然而,除非獲得最高層次的管理人員的支持,否則這些政策將毫無意義。
隱私領導者或團隊可以起草這樣的政策,但是組織內的許多人很可能需要遵守它們,從信息技術團隊到客戶關係人員。目前很難找到可靠的工具來緩解這一問題,例如個人數據搜索和發現十分困難,許多組織將不得不進行冗長的、手工的追蹤記錄,這些記錄已經被銷燬或匿名化。
在下列情況下,GDPR允許進行二次數據處理和更長的數據保留:
(a)用於公共利益的存檔目的;
(b)用於科學或歷史研究目的或統計目的。
如果出於以上目的進行數據保留,還必須存在"適當的技術和組織措施"來保護數據主體的權利和自由。數據匿名化就是這樣一種保障。
二、第30條記錄要求
GDPR的第30條要求控制者、處理者和它們的代表(如適用)保存數據處理活動的記錄。
對於首次面臨數據保護法的組織來說,第30條的要求是新的,並且看起來令人生畏。然而,在其成員國執行歐盟數據保護指令的組織,發現第30條的要求是熟悉的領域,因為它們模仿了許多指令的通知和歸檔責任。例如英國數據保護法案規定,處理個人數據的組織必須在信息專員辦公室註冊—或者"通知"。比利時數據保護機構也有類似的規定,列出了類似於第30條要求的通知信息。事實上,比利時的DPA最近發佈了關於第30條法規遵循的指導方針,認為遵守第30條的數據保存義務離不開遵守通知。【Indeed, Belgium's DPA recently published guidelines forArticle 30 compliance suggesting notificationcompliance should be leveraged for Article 30 record-keeping compliance.】
GDPR取消了該指令的通知義務,但要求控制者在監管當局提出要求時提供根據第30條保存的數據處理記錄。
在數據映射和清點過程中,應收集第30條要求的大量信息,儘管第30條的記錄並不一定涵蓋數據映射和清點所有的需求。例如,第30條要求控制者在以下情況下保留處理活動的記錄:
(1) 控制者以及適用的聯合控制者、控制者代理人和數據保護專員的姓 名和聯繫信息
(2) 處理的目的
(3) 數據主體類別和個人數據類別的描述
(4) 個人數據已經或將要被公開的收件人的類別,包括位於第三國家或 國際組織的收件人
(5) 有關轉移給第三國或國際組織的信息,以及關於轉移的適當保障的文件。對數據類別的保留或刪除的時間限制。
(6) 對第 32 條第 1 款提及的技術和組織安全措施進行一般性描 述。
缺少上述記錄信息是處理個人數據和其他GDPR要求的法律基礎的任務。因此,完全依賴第30條記錄保存要求可能會使一個組織沒有關於GDPR遵從性的文檔。
ICO建議,只要組織正在根據第30條創建文件,就可以考慮在記錄中添加字段。不僅包括處理的法律依據,而且還包括同意的記錄、與處理者簽訂合同、數據保護影響評估報告、個人數據的位置,甚至涉及安全事故或數據漏洞的記錄。ICO已經為數據控制者和處理者開發了模板,這些模板包含額外的可選字段,是第30條報告的兩倍。IAPP 2017隱私技術供應商報告也描述了可用的商業工具,以幫助公司遵守第30條的規定。
由於第30條的報告受監管機構的審查,因此一直在一個地方保留過多的信息是不可取的。這也可能取決於誰控制了第30條記錄。一份文檔是如此的大眾共享,以至於組織中許多人都可以更新,雖然這有利於快速有效地捕獲新的數據處理活動,但是它也可能導致記錄失誤或信息錯誤。ICO提醒,"數據洩露"可能會產生法律後果,因此要小心謹慎。因此,數據清點和映射工具,甚至是數據處理活動法律基礎任務、安全事故追蹤的全面記錄最好由經驗豐富的隱私領導或團隊實施,並且以上記錄可能與第30條報告不一樣。每個組織必須自行決定。
三、第30條中小型企業的義務免除
GDPR第30條規定的義務不適用於僱員少於 250 人的企業或組織,即中小型企業。在大多數情況下,中小型企業必須像大型組織一樣遵守GDPR。
第30條提供了一個明確的例外。在第5款下,"僱員少於250人"的控制者或管理者沒有義務保存記錄,除非他們的處理:
(1)可能為數據主體的權利和自由帶來風險的;
(2)該處理是非偶然的;
(3)該處理包括特殊數據類別的,即第 9 條第 1 款所指數據, 或第 10條所指刑事定罪和犯罪相關個人數據。
對於那些希望簡單地忽略第30條的中小企業來說,需要注意:主動遵守GDPR的中小型企業會比"偶爾"遵守的企業處理更多數據。此外,數據保護協會如比利時隱私協會建議,即使沒有第30條的約束,也要保留數據處理記錄。
四、結論
眾所周知,GDPR採用基於風險的數據保護方法。嚴格的數據保留政策和實踐不僅是GDPR的要求,也是重要的風險緩解工具。因為已經被刪除、銷燬或匿名化的數據已不值得洩露,因此不能認為處理它的組織會侵犯數據主體的權利和自由。定期銷燬數據的習慣也可以帶來良好的數據處理法律基礎,因為它鼓勵每個處理活動都有一個獨立的法律基礎,每次數據主體停止成為或重新成為組織的客戶時,都必須重新確定法律基礎。
全面瞭解哪些數據會因什麼目的被處理、在哪裡以及與誰共享以及在第30條下需要記錄的其他關鍵信息,將有助於組織跟蹤它的數據處理,包括保存數據處理記錄。第30條記錄是否是組織的數據處理、風險評估、供應商承包和違反響應活動的全面映射,當然取決於組織及其DPO。
作者∣Rita Heimes,國際隱私專業協會(International Association of Privacy Professionals)的研究主管,並擔任內部數據保護官員。Rita 同時也是一名律師和學者,在隱私、信息安全和知識產權法方面有著多年的經驗。作為IAPP的研究總監,Rita通過在全球範圍內對隱私功能的經驗和定性研究來促進隱私領域的發展,並通過向學術機構拓展新一代的隱私和安全專業人員。
翻譯∣陳德志律師、孫清律師助理
閱讀更多 百律 的文章
