Obligațiile procesorului și controlorului conform GDPR: o foaie de înșelăciune

Publicat: 2021-08-18

În continuarea seriei noastre de bloguri despre viitorul Regulament general privind protecția datelor (GDPR), vom petrece câteva minute descriind diferitele obligații pe care GDPR le pune asupra operatorilor de date și procesatorilor de date , apoi vă vom lăsa cu o foaie de trăsături cu câteva informații rapide. puncte de acțiune pentru a vă ajuta să identificați ce sarcini trebuie să aveți, în mod specific, pentru a vă asigura că aveți la dispoziție pentru conformitate.

Dar mai întâi, câteva definiții.

GDPR definește un operator de date la articolul 4 alineatul (6) ca:

Persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu alte persoane, determină scopurile și mijloacele prelucrării datelor cu caracter personal”

Întrucât un procesator de date (articolul 4 alineatul (7)) este:

„Persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele operatorului”

Pentru a da un exemplu mai concret: dacă sunteți un comerciant cu amănuntul online de widgeturi, iar Jane Doe se înscrie pe lista dvs. de e-mail în speranța de a afla mai multe despre widget-urile dvs. (sau poate să vă ascundeți până când veți avea o vânzare), probabil colectează-i adresa de e-mail - și poate alte informații de contact - atunci când se înscrie. Felicitări! Tocmai ați devenit un controlor al datelor personale ale lui Jane Doe. A fost de acord să primească mesaje de marketing de la dvs., iar dvs., în calitate de operator de date, puteți stabili când și cum să trimiteți aceste e-mailuri.

Acum spuneți că nu trimiteți propriile e-mailuri de marketing, poate că angajați un furnizor de servicii de e-mail (ESP) pentru a vă ajuta să vă creați conținutul, să programați e-mailurile și să urmăriți și să raportați despre livrare. ESP nu ar avea drepturi de a face tot ce doresc cu datele lui Jane, ci ar fi îndreptățiți doar să vă ajute să vă redactați campaniile, să trimiteți e-mailuri etc. la cererea dvs. ESP, în acest caz, este procesorul de date.

Pe drum, decideți să faceți un efort de marketing în comun cu partenerul A apropiat al dvs. (ceea ce în acest caz este în regulă, deoarece atunci când Jane s-a înscris, ați primit consimțământul pentru a partaja datele sale cu partenerul A în acest scop). Prin procesul de negociere, ați decis să utilizați ESP-ul partenerului A mai degrabă decât al dvs. pentru a trimite campania. Deci, vă trimiteți lista de abonați (inclusiv datele lui Jane) partenerului dvs., care o încarcă în ESP-ul lor. E-mailurile sunt trimise.

Datorită partajării datelor Jane cu partenerul A pentru activități de marketing comune, ați făcut partenerul A un controlor comun al datelor Jane. Partenerul A va continua să utilizeze datele Jane în afara sferei relației dvs. cu Jane. ESP-ul partenerului A este în continuare un procesor de date și va trebui să respecte atât cerințele dvs., cât și cele ale partenerului A, dar tocmai ați introdus unele complexități în relația dvs. cu Jane de care GDPR vă va cere să țineți evidența.

Conform GDPR, ca proprietari ai datelor lor, persoanelor vizate li se acordă drepturi, cum ar fi: (Rețineți că aceasta nu este o listă completă.)

  • Articolul 15 (dreptul de acces): Jane ar putea să vă scrie și să vă ceară o copie a datelor personale pe care le-ați colectat de la ea. Dumneavoastră, în calitate de operator de date, vi se va cere să respectați această cerere în termen de 30 de zile de la primirea cererii ei;
  • Articolul 16 (dreptul la rectificare): dacă Jane consideră că datele pe care le aveți despre ea sunt inexacte sau incomplete, ar putea să vă ceară să o actualizați (cum ar fi schimbarea adresei de e-mail sau modificarea ortografiei numelui ei în baza de date);
  • Articolul 17 (dreptul la ștergere): Jane vă poate cere să ștergeți cu totul datele sale. Poate își retrage consimțământul pentru a primi mesaje viitoare de la dvs. sau poate crede că campaniile pe care le vizați se îndreaptă în direcția greșită și vrea să înceapă de la zero;
  • Articolul 18 (dreptul la restricționarea procesării): Poate că ați început să urmăriți deschiderile și clicurile lui Jane (urmărirea bazată pe comportament), dar Jane nu crede că a consimțit să vă permită să faceți acest lucru (conform GDPR, urmărirea bazată pe comportament va necesita consimțământ. Nu puteți presupune doar că o puteți face). Jane vă poate cere să nu mai urmăriți deschiderile și clicurile până când veți rezolva ceea ce a consimțit de fapt;
  • Articolul 20 (dreptul la portabilitatea datelor): În unele cazuri, Jane are dreptul să vă ceară să vă arhivați datele și să le transferați unuia dintre concurenții dvs. (Da! Într-adevăr. Acest lucru este destinat să o ajute pe Jane să-și mute datele - de exemplu - de la un furnizor de telefonie mobilă la altul sau să-și mute cu ușurință prezența pe rețelele sociale de la o aplicație la alta. Dacă îi prelucrați datele prin „performanța a unui contract ”sau„ în baza consimțământului ”, această prevedere s-ar putea aplica dvs.

Dacă Jane decide să-și exercite drepturile și îți cere să-ți ștergi datele, în paradigma controlor-procesor unic, este destul de simplu. Ștergeți datele ei din sistem și solicitați procesorului (ESP-ului) să le șteargă și din ale lor.

Cu toate acestea, în modelul de controlor comun, conform articolului 17 alineatul (2), va trebui nu numai să îl ștergeți din infrastructura dvs. și a procesorului dvs., ci va trebui și să:

„Să ia măsuri rezonabile, inclusiv măsuri tehnice, pentru a informa operatorii care prelucrează datele cu caracter personal că persoana vizată a solicitat ștergerea”

Cu alte cuvinte, va trebui să țineți evidențe foarte atente despre locul în care ați trimis datele lui Jane și să inițiați cereri de ștergere a datelor în numele Jane oricărui alt controlor comun care ar putea avea datele sale. Acești controlori comuni vor trebui, de asemenea, să contacteze orice procesoare pe care le utilizează și să șteargă și datele lui Jane din aceste sisteme.

Și acesta este doar începutul obligațiilor dvs. ca procesatori de date și controlori ai informațiilor lui Jane. Vedeți mai jos o listă rapidă a ceea ce va fi necesar în conformitate cu GDPR, împreună cu unde puteți găsi mai multe detalii în GDPR.

Securitatea datelor
 Obligațiile controlorului:Implementați măsuri tehnice și organizaționale adecvate pentru a proteja securitatea datelor.

  • Criptare, pseudonimizare a datelor, dacă este cazul
  • Capacitatea de a asigura confidențialitatea, integritatea și reziliența datelor
  • Proces pentru testarea, evaluarea și evaluarea securității în mod regulat
  • Documentați-vă eforturile.

Obligațiile procesatorului:Implementați măsuri tehnice și organizaționale adecvate pentru a proteja securitatea datelor.

  • Criptare, pseudonimizare a datelor, dacă este cazul
  • Capacitatea de a asigura confidențialitatea, integritatea și reziliența datelor
  • Proces pentru testarea, evaluarea și evaluarea securității în mod regulat
  • Documentați-vă eforturile.

Articolul GDPR:Artă. 32 Securitatea procesării

Notificare de încălcare
 Obligațiile controlorului:

  • Informați autoritatea de supraveghere în termen de 72 de ore de la încălcare dacă există un risc ridicat pentru persoanele vizate
  • Notificare a persoanei vizate, dacă este cazul

Obligațiile procesatorului:

  • Informați operatorul fără întârzieri nejustificate la aflarea unei încălcări

Articole GDPR:Artă. 33 Notificarea unei încălcări a datelor
Artă. 34 Comunicarea unei încălcări a datelor către persoana vizată

Principiile prelucrării datelor
 Obligațiile controlorului:

  • Asigurați-vă că datele sunt prelucrate în mod legal și transparent față de persoana vizată
  • Asigurați-vă că datele colectate și prelucrate în scopuri specifice și nu într-un mod incompatibil cu scopurile originale.
  • Asigurați-vă că datele colectate sunt exacte și actualizate
  • Asigurați-vă că puteți demonstra conformitatea

Articole GDPR:Artă. 5 Principii referitoare la prelucrarea datelor cu caracter personal
Artă. 6 Legalitatea prelucrării

Notificare de confidențialitate
 Obligațiile controlorului:

  • Trebuie să fie disponibil persoanei vizate.
  • Descrieți ce date vor fi colectate și în ce scopuri.
  • Detalii despre destinatarii care vor primi datele, inclusiv dacă vor fi transferate în afara SEE și modul în care datele vor fi protejate prin transfer ulterior.
  • Dacă există interese legitime în colectarea și / sau prelucrarea datelor.
  • Descrieți perioadele de păstrare și / sau stocare a datelor sau criteriile utilizate pentru a determina perioadele de păstrare.
  • Descrieți drepturile persoanei vizate și modul în care o persoană vizată își poate exercita drepturile.
  • Detalii despre orice utilizare a procesului decizional automatizat.

Articole GDPR:Artă. 12 Informații transparente, comunicare și modalități pentru exercitarea drepturilor persoanei vizate
Artă. 13 Informații care trebuie furnizate în cazul în care datele personale sunt colectate de la persoana vizată
Artă. 14 Informații care trebuie furnizate în cazul în care datele cu caracter personal nu au fost obținute de la persoana vizată

Cerințe contractuale cu procesorul
 Obligațiile controlorului:

  • Angajați numai procesoare care pot respecta reglementările GDPR.
  • Angajați numai procesoare care pot proteja în mod adecvat datele despre persoanele vizate.
  • Descrieți obiectul, durata și natura activității de prelucrare.
  • Descrieți natura și scopul prelucrării.
  • Descrieți tipurile de date cu caracter personal procesate.
  • Descrieți categoriile de persoane vizate care sunt procesate.

Obligațiile procesatorului:

  • Prelucrați datele numai din instrucțiunile documentate de la operator
  • Asigurați-vă că toate persoanele autorizate să prelucreze datele s-au angajat la acorduri de confidențialitate
  • Asistați operatorul în gestionarea solicitărilor de drepturi de acces ale persoanelor vizate
  • Asistați controlorul cu obligațiile privind securitatea și solicitările autorităților de supraveghere.
  • Fii disponibil și capabil să asiste controlorul cu obligațiile de conformitate
  • Ștergeți sau returnați toate datele la cererea sau cerința operatorului
  • Descrieți orice transfer de date în afara SEE și descrieți garanțiile care vor proteja datele
  • Contribuiți la auditurile efectuate de operator sau de altă autoritate solicitată
  • Asigurați-vă că orice angajament al subprocesorilor îndeplinește aceleași obligații cerute de operator.
  • Angajați sub-procesoare numai după aprobarea operatorului.

Articole GDPR:Artă. 24 Responsabilitățile controlorului
Artă. 28 Procesor
Artă. 29 Prelucrarea sub autoritatea operatorului sau a procesorului

Adoptați practici de protecție a datelor
 Obligațiile controlorului:

  • Să fie capabil să demonstreze principiile minimizării datelor, iar protecția datelor prin proiectare și / sau implicit sunt utilizate, dacă este cazul
  • Efectuați evaluări ale impactului asupra confidențialității asupra oricăror activități de prelucrare care ar putea reprezenta un risc pentru persoana vizată

Articole GDPR:Artă. 5 Principii referitoare la prelucrarea datelor cu caracter personal
Artă. 25 Protecția datelor prin proiectare și implicit
Artă. 35 Evaluarea impactului asupra protecției datelor

Păstrați evidența activităților de prelucrare
 Obligațiile controlorului:

  • Numele / informațiile de contact ale operatorului de date și ale RPD sau ale reprezentantului UE
  • Documentați categoriile de persoane vizate, categoriile de date cu caracter personal și destinatarii datelor
  • Documentați baza legală pentru orice transfer de date în afara SEE și descrieți garanțiile care vor proteja datele
  • Perioade de păstrare a datelor
  • Documentați baza legală pentru activitățile de prelucrare a datelor

Obligațiile procesatorului:

  • Numele / informațiile de contact ale operatorului de date și ale RPD
  • Categorii de prelucrare efectuate pentru operator

Articolul GDPR:Artă. 30 Înregistrări ale activităților de prelucrare

Acest lucru este foarte mult de luat și poate părea o mulțime de muncă. Dar, pe termen lung, vă va păstra pe dvs. și pe partenerii dvs. în conformitate cu legislația europeană și vă va proteja drepturile persoanelor vizate . Căutați mai multe informații GDPR? Puteți găsi mai multe informații în categoria GDPR pe blogul nostru și în seminarul nostru web la cerere: Calea către GDPR.