安全合规/GDPR--22--研究:GDPR合规体系设立与执行
企业实施GDPR合规业务,除进行整体合规风险的评估以及组织架构的搭建之外,更为关键的是如何在企业的具体事项上落实GDPR的具体要求。
一、GDPR合规制度的设立与健全
保障个人数据主体的权利
GDPR规定了数据主体所拥有的广泛权利,还规定了数据控制者和处理者采取技术性措施或组织性措施保护数据主体权利的义务,并针对未履行相关义务的行为规定了相应处罚。具体而言,企业应当为数据主体实现以下权利提供保障:
1、获取自身数据的权利
企业应保障数据主体可随时要求企业提供其个人数据,获得自己的数据副本。数据主体向企业请求获得与数据处理相关的个人数据的,企业应当以透明、清晰且易于获取的方式、且应当自收到请求后不超过1个月(复杂情况下至多不超过2个月)向数据主体提供所请求的个人数据。如果未根据请求采取行动,企业应当自收到请求之日起不超过1个月通知数据主体未提供其个人数据的原因,以及向监管机构申诉和寻求司法救济的可能性。
2、数据收集前的知情权
企业从数据主体处收集个人数据,应当向数据主体提供以下信息:
(a) 控制者的身份和联系方式;
(b) DPO的联系方式;
(c) 控制者或第三方所追求的合法利益;
(d) 数据接收方或接收方类型;
(e) 个人数据的存储期限;
(f) 数据主体所享有的数据获取、修改、删除、限制处理、反对处理、可携带等权利;
(g) 数据主体所享有的撤回同意的权利;
(h) 数据主体所享有的向监管机构申诉的权利;
(i) 自动决策机制,包括数据画像以及有关的逻辑程序和有意义的信息,以及此类处理对数据主体的意义和预期影响。
3、数据访问权
企业应当采取措施保障数据主体有权从控制者处确认自己的个人数据是否正在被处理,并可以访问个人数据; 企业应保障用户有权查询自己的个人数据、处理目的、个人数据的类别、接收者、存储期限、自动决策机制、传输到第三国的有关保障等信息。
4、更正权
企业应当保障用户可随时要求企业更改自己错误、不准确、不完整的数据。
5、删除权
企业应当采取措施保障数据主体可随时要求企业删除自己的个人数据。除为言论自由、公共利益等必要,在下列情形下企业应当满足数据主体要求删除相应数据的主张:
(a) 就收集和处理数据的目的而言,该数据已非必要;
(b) 数据主体撤回同意,且控制者不存在其他个人数据处理的合法依据;
(c) 数据主体反对处理,且控制者不存在其他个人数据处理的合法依据;
(d) 个人数据被非法处理的。
6、限制数据处理权
在下列情形下,企业应当采取措施保障数据主体可以限制企业对其个人数据进行处理的权利:
(a) 数据主体质疑数据准确性,且允许企业在一定期限内核实;
(b) 该处理是非法的,但数据主体反对删除数据;
(c) 企业不再需要数据但是数据主体为法定请求权的确立需要该数据的;
(d) 数据主体反对数据处理,但需要核实企业的法律依据是否优先于数据主体的。
7、数据可携带权
企业应当在技术可行的前提下,采取措施保障数据主体能够以结构化、通用的机器可读方式,将其个人数据从企业转移到其他数据控制者且不受阻挠的权利,除非为公共利益的目的或者对其他主体的权利和自由产生不利影响。
8、反对数据处理的权利
企业应当采取措施保障数据主体有权反对对其个人数据进行处理,包括以直接营销为目的的数据处理、数据画像等,数据主体有权对这些处理提出反对并要求不受这些处理行为的限制。
保障个人数据生命周期的安全
企业在涉及到数据收集、使用、处理、保存和跨境传输的整个数据生命周期,均应当保障数据主体的个人数据安全。
建立和实施个人数据保护影响评估机制
个人数据保护影响评估(DPIA)
数据控制者应当在进行特定的数据处理之前进行个人数据保护影响评估,尤其是当数据处理的行为涉及自动化决策领域、大规模特殊种类的数据处理以及公共领域的大规模系统性监控等情形时。
企业应当在GDPR内部合规标准中设立实施个人数据保护影响评估的具体机制,并确保该机制能够符合下列要求:
a、系统性地描述数据处理的目的;
b、对处理操作的必要性和适当性进行评估;
c、对数据主体的权利和自由的可能影响或造成的风险进行评估;
d、对将采取的保障措施和安全机制是否符合GDPR要求进行评估;
e、明确规定特定情形下个人数据保护影响评估后如何与监管机构进行咨询的具体机制。
如何进行DPIA
DPIA是一种系统地全面分析企业的个人数据处理过程,帮助企业识别并最小化数据处理风险的方法。
如果计划进行下列事项,则必须进行DPIA:
a、使用系统性的、广泛的、具有重要影响的用户画像;
b、大规模地处理特殊类型或刑事犯罪数据;或
c、大规模、系统性地监视可公开进入的场所。
DPIA应当开始于项目生命周期的早期,在开始处理个人数据之前,并与规划和开发过程同步延续进行。
具体而言,DPIA应该包括这些步骤:
a、识别进行DPIA的需求
b、对个人数据处理进行描述
c、对咨询方面进行考虑
d、评估数据访问的“必要性”与“适当性”
e、识别并评估风险
f、识别降低风险的措施
g、确认并记录结果
h、将结果整合至行动中
i、持续审查
管控数据处理者的数据合规风险
GDPR对于数据控制者选择开展合作的数据处理者的行为赋予了一定的审慎义务,并规定数据控制者对于数据处理者的行为负责。因此,建议作为数据控制者的企业在GDPR的内部合规标准中建立一套具体的审查机制。该机制应当确保:
1、建议企业选用能够就数据安全提供充分保证的、可采取合适技术与组织措施的、处理方式符合GDPR要求且有能力保障数据主体权利的数据处理者;
2、建议企业在与数据处理者所签订的数据处理合同中对处理者进行约束,确保该合同规定:
a) 处理的内容和期限;
b) 处理的性质和目的;
c) 个人数据的类型和数据主体的类别;
d) 数据处理者的义务。
个人数据出境
根据GDPR的要求,企业对于正在处理或计划进行处理的个人数据,将其转移到第三国或国际组织、从第三国或国际组织转移到另一第三国或国际组织,必须确保该第三国或国际组织系经欧盟委员会认定可以提供充分保护的第三国或国际组织。如缺乏上述充分保护水平,企业仅能在提供了GDPR下所要求的适当保障并且已经提供数据主体权利和救济的情况下将数据主体的数据转移至向第三国或国际组织。前述适当保障包括GDPR第47条中所述有约束力的公司规则、经欧盟委员会批准的标准数据保护条款等。
个人数据泄露的处理机制
企业所制定的GDPR内部合规标准中应当包括个人数据发生泄露时的处理机制,从而确保数据泄露事件对个人数据安全影响的最小化。机制应当至少保证以下事项:
1、个人数据处理者在发生数据泄露后立即通知数据控制者,而无需对数据泄露事件可能的风险进行评估;
2、数据控制者应当在知晓数据泄露事件后72小时内向监管机构进行报告,未能在72小时内进行通知的,应当对迟延理由加以说明。
3、数据控制者向监管机构进行的报告应当明确泄露涉及的个人数据的种类、数量、DPO(如有)的姓名及联系方式、泄露可能导致的后果以及已经或可能采取的补救措施等,从而识别数据泄露可能引发的特定损害风险。
4、若数据的泄露可能给自然人的权利与自由带来高风险时,控制者应当及时(例如在72小时内)将泄露告知数据主体,例如,提供在线服务的数据控制者因网络攻击导致个人数据泄露、数据控制者遭受勒索软件攻击而导致所有数据被加密并且没有备份等。除非:
(a) 控制者已经对被泄露数据采取适当的技术性和组织性保障措施;
(b) 控制者已采取措施确保该类高风险情形不会再出现;
(c) 进行告知需要不成比例的工作量。
5、数据控制者应当完整记录泄露的情况,包括泄露事件的原因、受影响的数据主体、影响和后果、补救措施等。
数据处理操作记录
企业在内部的GDPR合规标准中也建立相应的记录机制,以确保:
1、作为数据控制者的企业应当就其进行的数据处理活动进行记录,记录内容至少包括:
(a) 控制者及控制者的代表、DPO等的姓名及联系方式;
(b) 数据处理的目的;
(c) 对数据主体类型及个人数据类型的描述;
(d) 对个人数据接受者类型的描述;
(e) 个人数据转移到第三国或国际组织的记录,及采取的保障措施的记录;
(f) 技术性与组织性安全措施的一般性描述等。
2、作为数据处理者的企业应当就其以控制者名义进行的数据处理活动保存一份记录,记录内容至少包括:
(a) 处理者或处理者们的名字和详细联系方式、处理者所代表的每个控制者或处理者的代表、DPO;
(b) 代表每个控制者进行处理的类型;
(c) 将个人数据转移到第三国或国际组织的记录,以及采取的保障措施的记录;
(d) 技术性与组织性安全措施的一般性描述等。
处理个人数据的内部工作人员的保密义务
建议企业应当根据自身的实际需要起草对处理个人数据的工作人员的保密制度规定,并与涉及到对个人数据进行处理的员工签订保密协议或订立保密条款,确保处理人员对于所处理数据及对应的处理活动保密。
二、GDPR下的外部文本的调整与完善
隐私声明与通知
建议企业建立以下操作机制:
1、确定网站、APP、售后服务电话中心、人力资源管理中心等不同部门需要进行的数据处理活动;
2、进一步确定需要通知数据主体的数据处理活动内容及其需要收集相关数据;
3、结合上述基础,起草网站、APP、售后服务电话中心、人力资源管理中心等不同部门的隐私政策声明;
4、确保上述隐私政策声明以合理可见的方式传达至相应的数据主体,例如,可以通过确认协议、具体场景下的文案确认动作等形式进行;
5、确保在隐私政策声明的设计下,同意仅在数据主体以明示、自愿、清晰的方式作出时方为有效,例如,将隐私政策声明植入在网站或应用页面的显著位置,或以弹窗的形式给予数据主体提示,并需要数据主体进行明确勾选动作。此外,当用户不同意企业的隐私政策声明时,企业对用户使用服务的限制应尽可能地在合理必要的范围之内。
与第三方之间的数据处理协议
GDPR中规定数据控制者在与数据处理者进行合作时,数据处理者必须受到符合GDPR要求的协议约束。协议的内容应当包括:
a) 数据处理的内容和期限;
b) 数据处理的性质和目的;
c) 个人数据的类型和数据主体的类别;
d) 数据处理者的义务等。
e) 数据控制者在与第三方签订的数据处理协议中,应当以保密条款的形式,清晰明确地约定第三方的保密义务。
数据跨境传输的合同保障
GDPR限制个人数据向欧洲经济区以外的国家或国际组织转移,除非第三国或国际组织被认为提供了充分的保护水平或者提供了适当的保障及权利保护和救济。由于我国并未通过欧盟委员会数据保护充分性认证,因此,除非作为数据控制者的企业可以提供GDPR所要求的适当的保障及权利保护和救济,否则不允许其将欧盟境内的个人数据转移到国内。这里的转移既包括实际转移(如发送Excel表格),也包括提供对欧盟经济区中的服务器的远程访问。这些限制也适用于同一集团企业内部各公司之间的转移(如从欧盟境内的公司到中国的公司)或向服务提供商转移。
GDPR项下的适当保障包括有约束力的公司规则、公共机构或实体之间订立的具有法律约束力并可执行性的文件,经欧委会批准的标准数据保护条款等。
三、GDPR合规的流程管控
建议企业就各具体行为机制单独制定各自的行为规则和流程,但在实际进行履行和合规流程管控时,仍然按照业务模块并以数据处理的生命周期作为逻辑主线,分块分段进行合规实践,并在每一个块和段上综合运用上述各个行为机制和标准。