GDPR 規定的處理器和控制器義務:備忘單

已發表: 2021-08-18

在繼續我們關於即將出台的通用數據保護條例 (GDPR)博客系列中,我們將花幾分鐘時間描述 GDPR 對數據控制者數據處理者施加的不同義務,然後給您留下一個速查表行動要點,以幫助您確定您可能需要執行哪些任務以確保合規性。

但首先,一些定義。

GDPR在第 4(6) 條中將數據控制者定義為:

單獨或與他人共同確定個人數據處理目的和方式的自然人或法人、公共當局、機構或其他機構”

數據處理者(第 4(7) 條)是:

“代表控制者處理個人數據的自然人或法人、公共當局、機構或其他機構”

舉一個更具​​體的例子:如果您是小部件的在線零售商,並且 Jane Doe 註冊了您的郵件列表,希望了解有關您的小部件的更多信息(或者潛伏在附近直到您有銷售),您可能會在她註冊時收集她的電子郵件地址——也許還有其他聯繫信息。 恭喜! 您剛剛成為 Jane Doe 個人數據的控制者。 她同意接收您的營銷信息,而您作為數據控制者可以決定何時以及如何發送這些電子郵件。

現在假設您實際上並沒有發送自己的營銷電子郵件,也許您聘請了電子郵件服務提供商 (ESP) 來幫助您製作內容、安排電子郵件以及跟踪和報告交付情況。 ESP 無權對 Jane 的數據做任何他們想做的事情,他們只能根據您的要求幫助您起草活動、發送電子郵件等。 在這種情況下,ESP 是數據處理器。

接下來,您決定與您的親密合作夥伴 A 進行聯合品牌營銷工作(在這種情況下是可以的,因為當 Jane 註冊時,您已同意她為此目的與合作夥伴 A共享她的數據)。 在協商過程中,您已決定使用合作夥伴 A 的 ESP 而不是您的 ESP 來發送活動。 因此,您將訂閱者列表(包括 Jane 的數據)發送給您的合作夥伴,合作夥伴將其上傳到他們的 ESP。 電子郵件被發送。

通過與合作夥伴 A 共享 Jane 的數據進行聯合營銷活動,您已將合作夥伴 A 設為 Jane 數據的聯合控制者。 合作夥伴 A 將繼續在您與 Jane 的關係範圍之外使用 Jane 的數據。 合作夥伴 A 的 ESP 仍然是數據處理者,必須同時遵守您和合作夥伴 A 的要求,但您還剛剛為您與 Jane 的關係引入了一些複雜性,GDPR 將要求您跟踪這些複雜性。

根據 GDPR,作為其數據的所有者,數據主體被授予權利,例如:(請注意,這不是完整列表。)

  • 第 15 條(訪問權):Jane 可以寫信給您,索要您從她那裡收集的個人數據的副本。 作為數據控制者,您需要在收到她的請求後 30 天內遵守此請求;
  • 第 16 條(更正權):如果 Jane 發現您擁有的關於她的數據不准確或不完整,她可以要求您更新數據(例如更改她的電子郵件地址,或更改您數據庫中她姓名的拼寫);
  • 第 17 條(刪除權):Jane 可以要求您完全刪除她的數據。 也許她撤回了接收你未來信息的同意,或者她認為你針對她的活動朝著錯誤的方向發展,她想從頭開始;
  • 第 18 條(限制處理權):也許您已經開始跟踪 Jane 的打開和點擊(基於行為的跟踪),但 Jane 認為她並未同意您這樣做(根據 GDPR,基於行為的跟踪)將需要同意。您不能只是假設您可以做到)。 Jane 可以要求你停止跟踪她的打開和點擊,直到你們兩個弄清楚她實際上同意了什麼;
  • 第 20 條(數據可移植性的權利):在某些情況下,Jane 有權要求您壓縮她的數據並將其傳輸給您的競爭對手之一。 (是的!真的。這是為了幫助 Jane 將她的數據——例如——從一個移動電話提供商轉移到另一個,或者將她的社交媒體形象輕鬆地從一個應用程序轉移到另一個應用程序。如果你通過“性能”處理她的數據合同”或“基於同意”,本條款可能適用於您。

如果 Jane 決定行使她的權利並要求您刪除她的數據,那麼在單控制器-處理器範例中,這是相當簡單的。 你從你的系統中刪除她的數據,並要求你的處理器(你的 ESP)也從他們的系統中刪除它。

但是,在聯合控制器模型中,根據第 17(2) 條,您不僅需要將其從您和您的處理器的基礎設施中刪除,而且您還需要:

“採取合理的步驟,包括技術措施,通知正在處理個人數據的控制者數據主體已要求刪除”

換句話說,您需要非常仔細地記錄您將 Jane 的數據發送到何處,並代表 Jane 向可能擁有她的數據的任何其他聯合控制者發起數據刪除請求。 然後,這些聯合控制器還需要聯繫他們使用的任何處理器,並從這些系統中刪除 Jane 的數據。

而這只是您作為 Jane 信息的數據處理者和控制者的義務的開始。 請參閱下文,了解 GDPR 要求的快速列表,以及您可以在 GDPR 中找到更多詳細信息的位置。

數據安全
控制者義務:實施適當的技術和組織措施以保護數據安全。

  • 加密、數據假名(如果適用)
  • 能夠確保數據的機密性、完整性和彈性
  • 定期測試、評估和評估安全性的過程
  • 記錄你的努力。

處理器義務:實施適當的技術和組織措施以保護數據安全。

  • 加密、數據假名(如果適用)
  • 能夠確保數據的機密性、完整性和彈性
  • 定期測試、評估和評估安全性的過程
  • 記錄你的努力。

GDPR 文章:藝術。 32 處理安全

違規通知
控制者義務:

  • 如果數據主體可能面臨高風險,則在違規後 72 小時內通知監管機構
  • 數據主體通知(如適用)

處理器義務:

  • 在獲悉違規行為後立即通知控制者,不得無故拖延

GDPR 文章:藝術。 33 數據洩露通知
藝術。 34 向數據主體傳達數據洩露

數據處理原理
控制者義務:

  • 確保以對數據主體透明的方式合法處理數據
  • 確保為特定目的收集和處理數據,而不是以與原始目的不符的方式。
  • 確保收集的數據是準確和最新的
  • 確保您能夠證明合規性

GDPR 文章:藝術。 5 與處理個人數據有關的原則
藝術。 6 處理的合法性

隱私聲明
控制者義務:

  • 必須可供數據主體使用。
  • 描述將收集哪些數據以及出於何種目的。
  • 詳細說明將接收數據的任何接收者,包括是否將傳輸到 EEA 之外,以及如何通過繼續傳輸來保護數據。
  • 如果在收集和/或處理數據方面存在任何合法利益。
  • 描述數據保留和/或存儲期限,或用於確定保留期限的標準。
  • 描述數據主體的權利,以及數據主體如何行使他/她的權利。
  • 有關自動決策的任何用途的詳細信息。

GDPR 文章:藝術。 12 透明的信息、通信和行使數據主體權利的方式
藝術。 13 從數據主體收集個人數據時應提供的信息
藝術。 14 未從數據主體獲得個人數據時應提供的信息

與處理器的合同要求
控制者義務:

  • 只僱用能夠滿足 GDPR 規定的處理者。
  • 僅使用能夠適當保護數據主體數據的處理器。
  • 描述處理活動的主題、持續時間和性質。
  • 描述處理的性質和目的。
  • 描述正在處理的個人數據的類型。
  • 描述正在處理的數據主體的類別。

處理器義務:

  • 僅處理來自控制器的記錄說明中的數據
  • 確保所有有權處理數據的個人都承諾遵守保密協議
  • 協助控制者處理數據主體訪問權限請求
  • 協助控制者履行有關安全和監管機構要求的義務。
  • 有空並能夠協助控制者履行合規義務
  • 根據控制器請求或要求刪除或返回所有數據
  • 概述 EEA 以外的任何數據傳輸,並描述將保護數據的保障措施
  • 參與由控制者或其他所需權力機構進行的審計
  • 確保子處理者的任何參與都滿足控制者要求的相同義務。
  • 僅在控制者批准後才與子處理者合作。

GDPR 文章:藝術。 24 控制者的職責
藝術。 28 處理器
藝術。 29 在控制者或處理者的授權下進行處理

採用數據保護實踐
控制者義務:

  • 能夠展示數據最小化原則,並在適當情況下使用設計和/或默認數據保護
  • 對可能對數據主體構成風險的任何處理活動進行隱私影響評估

GDPR 文章:藝術。 5 與處理個人數據有關的原則
藝術。 25 設計和默認數據保護
藝術。 35 數據保護影響評估

保留加工活動記錄
控制者義務:

  • 數據控制者和 DPO 或歐盟代表的姓名/聯繫信息
  • 記錄數據主體的類別、個人數據的類別和數據的接收者
  • 記錄在 EEA 以外傳輸任何數據的合法依據,並描述保護數據的保障措施
  • 數據保留時間範圍
  • 記錄數據處理活動的合法依據

處理器義務:

  • 數據控制者和 DPO 的姓名/聯繫信息
  • 為控制器執行的處理類別

GDPR 文章:藝術。 30條加工活動記錄

這需要很多東西,而且看起來似乎需要做很多工作。 但從長遠來看,它將使您和您的合作夥伴遵守歐洲法律,並保護您的數據主體的權利。 尋找更多 GDPR 見解? 您可以在我們博客上的 GDPR 類別和我們的點播網絡研討會中找到更多信息:GDPR 之路。