Обязательства процессора и контроллера в соответствии с GDPR: шпаргалка

Опубликовано: 2021-08-18

Продолжая нашу серию блог о регулировании предстоящих Общих данные защит (GDPR), мы собираемся провести несколько минут , описывающими различные обязательствам по GDPR путы на контроллерах данных и данные процессорах, а затем оставить вас с плутовкой-листом с некоторыми быстрыми точки действий, которые помогут вам определить, какие именно задачи вам могут потребоваться для обеспечения соответствия требованиям.

Но сначала несколько определений.

GDPR определяет контролера данных в статье 4 (6) как:

« Физическое или юридическое лицо, государственный орган, агентство или другой орган, который самостоятельно или совместно с другими определяет цели и средства обработки персональных данных»

Принимая во внимание, что обработчик данных (статья 4 (7)):

«Физическое или юридическое лицо, государственный орган, агентство или другой орган, который обрабатывает персональные данные от имени контролера»

Приведу более конкретный пример: если вы являетесь онлайн-продавцом виджетов, и Джейн Доу подписалась на ваш список рассылки в надежде узнать больше о ваших виджетах (или, может быть, скрываться до тех пор, пока у вас не будет распродажи), вы, скорее всего, соберите ее адрес электронной почты и, возможно, другую контактную информацию, когда она зарегистрируется. Поздравляю! Вы только что стали контролером личных данных Джейн Доу. Она согласилась получать от вас маркетинговые сообщения, и вы, как оператор данных, можете определять, когда и как отправлять эти электронные письма.

Теперь предположим, что вы на самом деле не отправляете свои собственные маркетинговые электронные письма, возможно, вы нанимаете поставщика услуг электронной почты (ESP), чтобы помочь вам создать свой контент, запланировать электронные письма, а также отслеживать и сообщать о доставке. ESP не будет иметь права делать с данными Джейн все, что они хотят, они будут иметь право только помогать вам составлять кампании, отправлять электронные письма и т. Д. По вашему запросу. ESP в данном случае является процессором данных.

В дальнейшем вы решаете провести совместный маркетинг с вашим близким партнером А (что в данном случае нормально, потому что, когда Джейн зарегистрировалась, вы получили ее согласие поделиться своими данными с партнером А для этой цели). В процессе переговоров вы решили использовать ESP партнера A, а не ваше, для отправки кампании. Итак, вы отправляете свой список подписчиков (включая данные Джейн) своему партнеру, который загружает его в свой ESP. Письма будут отправлены.

Благодаря обмену данными Джейн с Партнером А для совместной маркетинговой деятельности вы сделали Партнера А совместным контролером данных Джейн. Партнер А продолжит использовать данные Джейн вне рамок ваших отношений с Джейн. ESP партнера A по-прежнему является процессором данных и должен будет соответствовать требованиям как ваших, так и партнера A, но вы также только что внесли некоторые сложности в свои отношения с Джейн, которые GDPR потребует от вас отслеживать.

Согласно GDPR, как владельцы своих данных, субъекты данных имеют такие права, как: (Обратите внимание, что это не полный список.)

  • Статья 15 (право на доступ): Джейн может написать вам и попросить копию личных данных, которые вы у нее получили. Вы, как оператор данных, должны будете выполнить этот запрос в течение 30 дней с момента получения ее запроса;
  • Статья 16 (право на исправление): если Джейн сочтет имеющиеся у вас данные о ней неточными или неполными, она может попросить вас обновить их (например, изменить ее адрес электронной почты или изменить написание ее имени в вашей базе данных);
  • Статья 17 (право на удаление): Джейн может попросить вас полностью удалить ее данные. Может быть, она отзывает свое согласие на получение сообщений от вас в будущем, или, может быть, она думает, что кампании, которые вы нацелены на нее, идут в неправильном направлении, и она хочет начать с нуля;
  • Статья 18 (право на ограничение обработки): возможно, вы начали отслеживать открытия и щелчки Джейн (отслеживание на основе поведения), но Джейн не думает, что она дала согласие на это (согласно GDPR, отслеживание на основе поведения потребуется согласие. Вы не можете просто предполагать, что сможете это сделать). Джейн может попросить вас перестать отслеживать ее открытия и щелчки, пока вы двое не разберетесь с тем, на что она на самом деле согласилась;
  • Статья 20 (право на переносимость данных): В некоторых случаях Джейн имеет право попросить вас заархивировать ее данные и передать их одному из ваших конкурентов. (Да! Действительно. Это предназначено, чтобы помочь Джейн перенести свои данные, например, от одного поставщика мобильных телефонов к другому, или легко перенести свое присутствие в социальных сетях из одного приложения в другое. Если вы обрабатываете ее данные с помощью «производительности» контракта »или« на основании согласия », это положение может применяться к вам.

Если Джейн решит воспользоваться своими правами и попросит вас удалить ее данные, в парадигме «один контроллер-процессор», это будет довольно просто. Вы удаляете ее данные из своей системы и просите свой процессор (ваш ESP) также удалить их из своей.

Однако в модели совместного контроллера, согласно статье 17 (2), вам необходимо не только удалить его из вашей инфраструктуры и инфраструктуры вашего процессора, но вам также необходимо:

«Предпринять разумные шаги, включая технические меры, для информирования контроллеров, обрабатывающих персональные данные, о том, что субъект данных запросил удаление»

Другими словами, вам необходимо вести очень тщательный учет того, куда вы отправляли данные Джейн, и инициировать запросы на удаление данных от имени Джейн любым другим совместным контроллерам, у которых могут быть ее данные. Затем этим совместным контроллерам также потребуется связаться с любыми процессорами, которые они используют, и удалить данные Джейн из этих систем.

И это только начало ваших обязанностей как обработчиков данных и контролеров информации Джейн. Ниже приведен краткий список того, что потребуется в соответствии с GDPR, а также где вы можете найти более подробную информацию в GDPR.

Безопасность данных
 Обязанности контролера:Примите соответствующие технические и организационные меры для защиты данных.

  • Шифрование, псевдонимизация данных при необходимости
  • Возможность гарантировать конфиденциальность, целостность и отказоустойчивость данных
  • Процесс регулярного тестирования, оценки и оценки безопасности
  • Документируйте свои усилия.

Обязанности обработчика:Примите соответствующие технические и организационные меры для защиты данных.

  • Шифрование, псевдонимизация данных при необходимости
  • Возможность гарантировать конфиденциальность, целостность и отказоустойчивость данных
  • Процесс регулярного тестирования, оценки и оценки безопасности
  • Документируйте свои усилия.

Статья GDPR:Изобразительное искусство. 32 Безопасность обработки

Уведомление о нарушении
 Обязанности контролера:

  • Сообщите надзорному органу в течение 72 часов с момента нарушения, если для субъектов данных высок риск
  • Уведомление субъекта данных, если необходимо

Обязанности обработчика:

  • Незамедлительно проинформировать контролера о нарушении

Статьи GDPR:Изобразительное искусство. 33 Уведомление об утечке данных
Изобразительное искусство. 34 Сообщение о нарушении данных субъекту данных

Принципы обработки данных
 Обязанности контролера:

  • Убедитесь, что данные обрабатываются законно и прозрачно для субъекта данных.
  • Убедитесь, что данные, собранные и обработанные для определенных целей, не противоречат первоначальным целям.
  • Убедитесь, что собранные данные точны и актуальны
  • Убедитесь, что вы можете продемонстрировать соответствие

Статьи GDPR:Изобразительное искусство. 5 Принципы обработки персональных данных
Изобразительное искусство. 6 Законность обработки

Уведомление о конфиденциальности
 Обязанности контролера:

  • Должен быть доступен субъекту данных.
  • Опишите, какие данные будут собираться и для каких целей.
  • Подробно опишите всех получателей, которые получат данные, в том числе, будут ли они переданы за пределы ЕЭЗ, и как данные будут защищены при дальнейшей передаче.
  • Если существуют какие-либо законные интересы в сборе и / или обработке данных.
  • Опишите срок хранения и / или хранения данных или критерии, используемые для определения сроков хранения.
  • Опишите права субъекта данных и то, как субъект данных может реализовать свои права.
  • Подробная информация о любом использовании автоматизированного принятия решений.

Статьи GDPR:Изобразительное искусство. 12 Прозрачная информация, коммуникация и способы осуществления прав субъекта данных
Изобразительное искусство. 13 Информация, которая должна быть предоставлена ​​при сборе персональных данных от субъекта данных
Изобразительное искусство. 14 Информация, которая должна быть предоставлена, если личные данные не были получены от субъекта данных

Договорные требования с обработчиком
 Обязанности контролера:

  • Нанимайте только тех процессоров, которые соответствуют требованиям GDPR.
  • Нанимайте только тех процессоров, которые могут надлежащим образом защитить данные субъектов данных.
  • Опишите предмет, продолжительность и характер обработки.
  • Опишите характер и цель обработки.
  • Опишите типы обрабатываемых персональных данных.
  • Опишите категории обрабатываемых субъектов данных.

Обязанности обработчика:

  • Обрабатывайте данные только по задокументированным инструкциям от контроллера.
  • Убедитесь, что все лица, уполномоченные обрабатывать данные, соблюдают соглашения о конфиденциальности.
  • Помогать контроллеру обрабатывать запросы прав доступа субъектов данных
  • Содействовать контроллеру в выполнении обязательств по обеспечению безопасности и запросах надзорных органов.
  • Быть доступным и способным помочь контролеру в выполнении обязательств
  • Удалить или вернуть все данные по запросу или требованию контроллера
  • Опишите любую передачу данных за пределы ЕЭЗ и опишите меры безопасности, которые будут защищать данные.
  • Участвовать в аудитах, проводимых контролером или другим уполномоченным органом.
  • Убедитесь, что при привлечении субпроцессоров выполняются те же обязательства, которые требует контролер.
  • Привлекайте субпроцессоров только с одобрения контролера.

Статьи GDPR:Изобразительное искусство. 24 Обязанности контролера
Изобразительное искусство. 28 Процессор
Изобразительное искусство. 29 Обработка под контролем контроллера или процессора

Принять методы защиты данных
 Обязанности контролера:

  • Уметь демонстрировать принципы минимизации данных, и при необходимости используются средства защиты данных, разработанные и / или по умолчанию.
  • Проводить оценку воздействия на конфиденциальность любых операций обработки, которые могут представлять риск для субъекта данных.

Статьи GDPR:Изобразительное искусство. 5 Принципы обработки персональных данных
Изобразительное искусство. 25 Защита данных по умолчанию и по умолчанию
Изобразительное искусство. 35 Оценка воздействия защиты данных

Сохранять записи о деятельности по обработке
 Обязанности контролера:

  • Имя / контактная информация контроллера данных и представителя DPO или ЕС
  • Документируйте категории субъектов данных, категории персональных данных и получателей данных.
  • Задокументируйте законную основу для любой передачи данных за пределы ЕЭЗ и опишите меры безопасности, которые будут защищать данные.
  • Сроки хранения данных
  • Документирование законных оснований для обработки данных

Обязанности обработчика:

  • Имя / контактная информация контроллера данных и DPO
  • Категории обработки, выполняемой для контроллера

Статья GDPR:Изобразительное искусство. 30 записей о процессинге

Это много, и может показаться, что нужно много работать. Но в долгосрочной перспективе это обеспечит соблюдение вами и вашими партнерами европейского законодательства и защитит права ваших субъектов данных . Хотите узнать больше о GDPR? Вы можете найти дополнительную информацию в категории GDPR в нашем блоге и в нашем вебинаре по запросу: The Path to GDPR.