GDPR 规定的处理器和控制器义务:备忘单

已发表: 2021-08-18

在继续我们关于即将出台的通用数据保护条例 (GDPR)博客系列中,我们将花几分钟时间描述 GDPR 对数据控制者数据处理者施加的不同义务,然后给您留下一个速查表行动要点,以帮助您确定您可能需要执行哪些任务以确保合规性。

但首先,一些定义。

GDPR在第 4(6) 条中将数据控制者定义为:

单独或与他人共同确定个人数据处理目的和方式的自然人或法人、公共当局、机构或其他机构”

数据处理者(第 4(7) 条)是:

“代表控制者处理个人数据的自然人或法人、公共当局、机构或其他机构”

举一个更具体的例子:如果您是小部件的在线零售商,并且 Jane Doe 注册了您的邮件列表,希望了解有关您的小部件的更多信息(或者潜伏在附近直到您有销售),您可能会在她注册时收集她的电子邮件地址——也许还有其他联系信息。 恭喜! 您刚刚成为 Jane Doe 个人数据的控制者。 她同意接收您的营销信息,而您作为数据控制者可以决定何时以及如何发送这些电子邮件。

现在假设您实际上并没有发送自己的营销电子邮件,也许您聘请了电子邮件服务提供商 (ESP) 来帮助您制作内容、安排电子邮件以及跟踪和报告交付情况。 ESP 无权对 Jane 的数据做任何他们想做的事情,他们只能根据您的要求帮助您起草活动、发送电子邮件等。 在这种情况下,ESP 是数据处理器。

接下来,您决定与您的亲密合作伙伴 A 进行联合品牌营销工作(在这种情况下是可以的,因为当 Jane 注册时,您已同意她为此目的与合作伙伴 A共享她的数据)。 在协商过程中,您已决定使用合作伙伴 A 的 ESP 而不是您的 ESP 来发送活动。 因此,您将订阅者列表(包括 Jane 的数据)发送给您的合作伙伴,合作伙伴将其上传到他们的 ESP。 电子邮件被发送。

通过与合作伙伴 A 共享 Jane 的数据进行联合营销活动,您已将合作伙伴 A 设为 Jane 数据的联合控制者。 合作伙伴 A 将继续在您与 Jane 的关系范围之外使用 Jane 的数据。 合作伙伴 A 的 ESP 仍然是数据处理者,必须同时遵守您和合作伙伴 A 的要求,但您还刚刚为您与 Jane 的关系引入了一些复杂性,GDPR 将要求您跟踪这些复杂性。

根据 GDPR,作为其数据的所有者,数据主体被授予权利,例如:(请注意,这不是完整列表。)

  • 第 15 条(访问权):Jane 可以写信给您,索要您从她那里收集的个人数据的副本。 作为数据控制者,您需要在收到她的请求后 30 天内遵守此请求;
  • 第 16 条(更正权):如果 Jane 发现您拥有的关于她的数据不准确或不完整,她可以要求您更新数据(例如更改她的电子邮件地址,或更改数据库中她姓名的拼写);
  • 第 17 条(删除权):Jane 可以要求您完全删除她的数据。 也许她撤回了接收你未来信息的同意,或者她认为你针对她的活动朝着错误的方向发展,她想从头开始;
  • 第 18 条(限制处理权):也许您已经开始跟踪 Jane 的打开和点击(基于行为的跟踪),但 Jane 认为她并未同意您这样做(根据 GDPR,基于行为的跟踪)将需要同意。您不能只是假设您可以做到)。 Jane 可以要求你停止跟踪她的打开和点击,直到你们两个弄清楚她实际上同意了什么;
  • 第 20 条(数据可移植性的权利):在某些情况下,Jane 有权要求您压缩她的数据并将其传输给您的竞争对手之一。 (是的!真的。这是为了帮助 Jane 将她的数据——例如——从一个移动电话提供商转移到另一个,或者将她的社交媒体形象轻松地从一个应用程序转移到另一个应用程序。如果你通过“性能”处理她的数据合同”或“基于同意”,本条款可能适用于您。

如果 Jane 决定行使她的权利并要求您删除她的数据,那么在单控制器-处理器范例中,这是相当简单的。 你从你的系统中删除她的数据,并要求你的处理器(你的 ESP)也从他们的系统中删除它。

但是,在联合控制器模型中,根据第 17(2) 条,您不仅需要将其从您和您的处理器的基础设施中删除,而且您还需要:

“采取合理的步骤,包括技术措施,通知正在处理个人数据的控制者数据主体已要求删除”

换句话说,您需要非常仔细地记录您将 Jane 的数据发送到何处,并代表 Jane 向可能拥有她的数据的任何其他联合控制者发起数据删除请求。 然后,这些联合控制器还需要联系他们使用的任何处理器,并从这些系统中删除 Jane 的数据。

而这只是您作为 Jane 信息的数据处理者和控制者的义务的开始。 请参阅下文,了解 GDPR 要求的快速列表,以及您可以在 GDPR 中找到更多详细信息的位置。

数据安全
控制者义务:实施适当的技术和组织措施以保护数据安全。

  • 加密、数据假名(如果适用)
  • 能够确保数据的机密性、完整性和弹性
  • 定期测试、评估和评估安全性的过程
  • 记录你的努力。

处理器义务:实施适当的技术和组织措施以保护数据安全。

  • 加密、数据假名(如果适用)
  • 能够确保数据的机密性、完整性和弹性
  • 定期测试、评估和评估安全性的过程
  • 记录你的努力。

GDPR 文章:艺术。 32 处理安全

违规通知
控制者义务:

  • 如果数据主体可能面临高风险,则在违规后 72 小时内通知监管机构
  • 数据主体通知(如适用)

处理器义务:

  • 在获悉违规行为后立即通知控制者,不得无故拖延

GDPR 文章:艺术。 33 数据泄露通知
艺术。 34 向数据主体传达数据泄露

数据处理原理
控制者义务:

  • 确保以对数据主体透明的方式合法处理数据
  • 确保为特定目的收集和处理数据,而不是以与原始目的不符的方式。
  • 确保收集的数据是准确和最新的
  • 确保您能够证明合规性

GDPR 文章:艺术。 5 与处理个人数据有关的原则
艺术。 6 处理的合法性

隐私声明
控制者义务:

  • 必须可供数据主体使用。
  • 描述将收集哪些数据以及出于何种目的。
  • 详细说明将接收数据的任何接收者,包括是否将传输到 EEA 之外,以及如何通过继续传输来保护数据。
  • 如果在收集和/或处理数据方面存在任何合法利益。
  • 描述数据保留和/或存储期限,或用于确定保留期限的标准。
  • 描述数据主体的权利,以及数据主体如何行使他/她的权利。
  • 有关自动决策的任何用途的详细信息。

GDPR 文章:艺术。 12 透明的信息、通信和行使数据主体权利的方式
艺术。 13 从数据主体收集个人数据时应提供的信息
艺术。 14 未从数据主体获得个人数据时应提供的信息

与处理器的合同要求
控制者义务:

  • 只雇用能够满足 GDPR 规定的处理者。
  • 仅使用能够适当保护数据主体数据的处理器。
  • 描述处理活动的主题、持续时间和性质。
  • 描述处理的性质和目的。
  • 描述正在处理的个人数据的类型。
  • 描述正在处理的数据主体的类别。

处理器义务:

  • 仅处理来自控制器的记录说明中的数据
  • 确保所有有权处理数据的个人都承诺遵守保密协议
  • 协助控制者处理数据主体访问权限请求
  • 协助控制者履行有关安全和监管机构要求的义务。
  • 有空并能够协助控制者履行合规义务
  • 根据控制器请求或要求删除或返回所有数据
  • 概述 EEA 以外的任何数据传输,并描述将保护数据的保障措施
  • 参与由控制者或其他所需权力机构进行的审计
  • 确保子处理者的任何参与都满足控制者要求的相同义务。
  • 仅在控制者批准后才与子处理者合作。

GDPR 文章:艺术。 24 控制者的职责
艺术。 28 处理器
艺术。 29 在控制者或处理者的授权下进行处理

采用数据保护实践
控制者义务:

  • 能够展示数据最小化原则,并在适当情况下使用设计和/或默认数据保护
  • 对可能对数据主体构成风险的任何处理活动进行隐私影响评估

GDPR 文章:艺术。 5 与处理个人数据有关的原则
艺术。 25 设计和默认数据保护
艺术。 35 数据保护影响评估

保留加工活动记录
控制者义务:

  • 数据控制者和 DPO 或欧盟代表的姓名/联系信息
  • 记录数据主体的类别、个人数据的类别和数据的接收者
  • 记录在 EEA 以外传输任何数据的合法依据,并描述保护数据的保障措施
  • 数据保留时间范围
  • 记录数据处理活动的合法依据

处理器义务:

  • 数据控制者和 DPO 的姓名/联系信息
  • 为控制器执行的处理类别

GDPR 文章:艺术。 30条加工活动记录

这需要很多东西,而且看起来似乎需要做很多工作。 但从长远来看,它将使您和您的合作伙伴遵守欧洲法律,并保护您的数据主体的权利。 寻找更多 GDPR 见解? 您可以在我们博客上的 GDPR 类别和我们的点播网络研讨会中找到更多信息:GDPR 之路。