GDPR:SaaS公司应如何为法规做准备?

  • 2018年2月21日

“数据是一件宝贵的事情,并且会比系统本身持续更长的时间。” 

万维网的发明者蒂姆·伯纳斯·李

数据就是金。随着世界对以多种方式(道德的和不道德的)利用数据进行的争夺,进入GDPR进行救援。 

 欧盟新法规–通用数据保护法规(GDPR)对企业的影响已被证明是当今最关键的全球法规之一,因为它与数据治理和数据隐私相关。许多人不确定GDPR是什么,它会如何影响其业务,或者甚至是否应该为此担心。

GDPR的含义

GDPR或通用数据保护条例于2018年5月25日生效。在过去的二十年中,欧盟(EU)一直处于数据隐私和保护法规发展的领先地位。违反GDPR可能会被处以全球年度营业额最高4%的罚款或2000万欧元的罚款,以较高者为准。 GDPR旨在保护欧盟公民的数据隐私权,但它几乎适用于包括SaaS在内的几乎每家具有全球影响力的公司。

在本文中,我们将讨论SaaS的GDPR合规性及其含义。

GDPR需要什么?

GDPR形成的原因有两个。首先,欧盟希望对其居民的个人数据有更多的控制权,并控制其使用方式。通过此,它希望增强对数字经济的信任。

其次,欧盟正在为经营业务提供一个简单透明的环境,使其在整个欧盟几乎统一。

即使您不在欧盟,GDPR也会对您有影响吗?

是的,如果您–

  • 向欧盟公民出售商品或服务或监视其行为。
  • 代表其他企业处理欧盟个人的个人数据。
  • 运营一个网站,该网站使用Cookie之类的技术来监视欧盟的人员
  • 雇用欧盟的任何居民
  • 收集任何可能包含有关欧盟公民信息的数据

简而言之,GDPR适用于拥有欧洲客户或消费者的SaaS提供商,而与组织的地理位置无关。

用于SaaS的GDPR:数据控制器的作用

您是数据控制器吗? 

数据控制者是控制个人信息并对其负责的个人或组织。作为数据控制者要承担严重的法律责任,应保留个人数据和处理活动的记录。

  • 如果您的组织控制并对其所持有的个人数据负责,那么您的组织就是数据控制者。另一方面,您拥有个人数据,但是其他组织决定并负责数据的处理,则后者是数据控制者,而您的组织是数据处理者。
  • 数据控制者可以是个人或公司,政府部门和志愿组织。个人,例如全科医生,药剂师,政客和个体商人,他们在其中保存有关患者,客户,选民等的个人信息。
  • 数据控制者有责任确保与处理者的合同符合GDPR。

SaaS组织的GDPR:数据处理器的作用

您是数据处理器吗? 

处理器负责代表控制器处理个人数据。数据处理程序的示例包括薪资公司,会计师和市场研究公司,所有这些公司都代表他人持有或处理个人信息。云提供商通常也是数据处理器。

要求数据处理器维护个人数据和处理活动的记录。如果他们对违反行为负责,他们将承担法律责任。

一个公司或个人既可以是数据控制器又可以是用于不同个人数据集的数据处理器。例如,薪资公司将是有关其自己员工的数据的数据控制者,但也将是其为其客户公司正在处理的员工薪资数据的数据处理器。

在了解SaaS公司如何开始为GDPR进行准备之前,让我们首先了解GDPR所适用的数据类型。

SaaS组织的GDPR-申请了哪些数据?

  • 个人资料

可以直接或间接识别的与可识别人员有关的任何信息,特别是可以通过引用诸如技术变更导致的名称,识别号,位置数据或在线标识符之类的标识符来识别。它适用于自动个人数据和手动归档系统。假名化的个人数据,例如,姓名由唯一数字代替,这取决于将假名表征给个人的难度。

  • 敏感的个人资料

GDPR伞下的敏感个人数据被视为特殊类别的个人数据,是关于个人的更敏感信息,因此需要更多的保护,例如种族,族裔,政治观点,宗教,工会会员身份,遗传数据(例如DNA序列,生物特征识别)用于识别等目的的指纹或视网膜扫描

SaaS公司的GDPR合规性:如何准备?

重要的是,SaaS客户和SaaS供应商必须做好准备并投入运营以符合GDPR。如果您尚未完成此操作,请按以下步骤操作:   

  • 有意识

组织的决策者和关键人员应该对GDPR有所了解,并分析会对GDPR产生什么影响,并确定所涉及的风险并将其纳入风险管理流程。

  • 正确的文件

为了承担责任,您应该记录您拥有的个人数据,来自何处以及与谁共享。您甚至可能需要定期对其进行审核。这很重要,不仅因为它是法律要求,而且因为它可以支持良好的数据治理并帮助您证明对GDPR其他方面的遵守。

  • 交流隐私信息

在收集任何个人数据之前,当前的法律要求您通知您的客户您的身份,收集数据的原因,数据的用途,公开的对象以及是否将被转移欧盟以外。根据GDPR,必须在处理之前将其他信息传达给个人。

  • 个人权利

组织将需要以常用的结构或电子格式免费提供个人数据。并且,还需要检查其程序,以确保它们涵盖了个人的所有权利。例如,如果有人要求删除其个人数据,您将如何反应?您的系统是否可以帮助您查找和删除数据?谁来做这个决定?

  • 同意

保留记录以表明同意–谁同意,何时,如何以及告诉他们什么。使人们可以随时轻松撤回同意。将常规同意书审核纳入您的业务流程中,因为GDPR明确指出,控制者必须能够清楚地表明已给予同意。因此,请检查您具有记录同意书的系统,以确保您拥有有效的审核跟踪。

GDPR和SaaS:主题访问请求(SAR)将会如何变化?

根据GDPR,组织将不得不更快地处理主题访问请求(SAR),并提供其他信息。个人已经有权通过SAR访问其个人数据。但是,通常可以自由地发出这些请求,并且个人将有权以电子格式接收信息。

如果组织处理大量SAR,则更改的影响可能会很大。因此,采取步骤来组织对SAR的方法将有助于组织遵守GDPR。

  • 数据泄露

您应确保已采取正确的程序来检测,报告并没有不当的拖延。如果有可能,在发现并调查个人数据泄露的72小时内。

  • 任命数据保护官

组织需要指定某人负责数据保护合规性,您可以从外部任命,也可以从组织本身任命。您可能需要对组织结构进行一些更改。

  • 数据监管和未来项目

(数据隐私影响决策)DPIA是系统地考虑项目或计划可能对个人隐私产生的潜在影响的过程。它使组织能够在潜在的隐私问题出现之前就对其进行识别,并提出减轻这些隐患的方法。 DPIA可以涉及与相关方/利益相关方的讨论。最终,这种评估对于确定未来项目和计划的可行性可能是无价的。 GDPR已为参与高风险处理的组织授权DPIA;例如,在正在部署新技术的地方,可能对个人造成重大影响的个人资料配置活动或对公共可访问区域进行大规模监视的地方。

GDPR似乎是SaaS公司需要努力的另一个领域,但是从长远来看,考虑到正在生成的数据量,承认数据隐私的担忧是很有意义的。

参考文献:
i) http://www.wired.co.uk/article/what-is-gdpr-uk-eu-legislation-compliance-summary-fines-2018
ii) //spanning.com/blog/the-global-impact-of-gdpr/
iii) //www.process.st/gdpr-compliance/
iv) //www.bodlelaw.com/saas/saas-agreements-data-protection-new-eu-data-protection-regulation
v) //www.eugdpr.org/glossary-of-terms.html
vi) //ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/
vii) //media.squirepattonboggs.com/pdf/misc/GDPR-Implications.pdf
viii)http://www.itpro.co.uk/it-legislation/27814/what-is-gdpr-everything-you-need-to-know
ix) //www.forbes.com/sites/ciocentral/2017/08/31/if-you-use-saas-products-you-need-to-prepare-for-gdpr-heres-how/#1f13189a29f8

Renuka Shahane是Scalefusion的高级内容作家。她是一名工程专业毕业生,一名苹果迷和狂热的读者,在技术和基于Web的初创公司的内容创建,内容策略和PR方面拥有5年以上的经验。

分享

跟着我们

令人兴奋的产品。
尖端技术。
强大的见解。
直接发送到您的收件箱!

没有垃圾邮件,没有BS,随时可以退订。