privacy-and-online-law
چگونه برای اطمینان از انطباق با قوانین حریم خصوصی داده در طول خرید
Table of Contents
چشم انداز تنظیم کننده و تاثیر آن بر ساختار های معامله
قوانین حریم خصوصی داده ها یکسان نیستند؛ آنها با صلاحیت و اغلب همپوشانی دارند. [۳] درک که قوانین به طور فزاینده ای برای شرکت هدف اعمال می شود و به دست آوردن، اولین گام در هر استراتژی انطباق است. [۳] با نفوذترین چارچوب ها شامل [FLT: ۰.۳] قانون حفاظت از داده های عمومی (GDPR) [F] در منطقه اقتصادی اروپا [۳] [۳] مقررات خاص (Faliforalimentr]
این کار بسته بندی به طور مستقیم بر ساختار معامله تأثیر می گذارد.به دست آوردن کنندگان باید در نظر بگیرند که آیا شیوه های داده هدف با چارچوب انطباق موجود خریدار هماهنگ است یا تفاوت های قابل توجهی - مانند وابستگی به رضایت که به راحتی انتقال نمی یابد - ممکن است نیاز به مذاکره مجدد از قیمت خرید، ایجاد آکروناتاتات یا حتی ساختار خرید به عنوان یک دارایی خاص (FIL) دارند.
اصول کلیدی در سراسر قوانین بزرگ
علی رغم تفاوت های دامنه و اجرای، اکثر رژیم های حفظ حریم خصوصی داده ها اصول بنیادی را به اشتراک می گذارند که به دست گیرندگان نیاز دارند تا به آن ها رسیدگی کنند:
- [قانونی، عدالت و شفافیت] [FLT 1] - داده های شخصی باید بر اساس قانونی معتبر پردازش شوند و افراد باید در مورد چگونگی استفاده از داده های خود مطلع شوند.
- محدودیت - داده ها فقط باید برای اهداف مشخص، صریح و مشروع جمع آوری شوند.
- به حداقل رساندن داده - تنها حداقل داده های لازم برای هدف مورد نظر ممکن است جمع آوری و نگهداری شود.
- محدودیت های ایمنی و ذخیره سازی [FLT 1] - داده ها باید دقیق نگه داشته شوند و دیگر از زمان لازم نگهداری شوند.
- عدم همبستگی و محرمانه بودن [FLT 1] - اقدامات امنیتی باید از داده ها در برابر دسترسی غیر مجاز، از دست دادن تصادفی یا تخریب مهاجرت بین سیستم ها یک دوره پرخطر است.
- - کنترل کننده داده ها باید انطباق را از طریق اسناد، آموزش و نظارت نشان دهد.یک نهاد ترکیبی نیاز به یک چارچوب پاسخگویی یکپارچه دارد.
نقشه برداری از این اصول به سیاست ها و شیوه های موجود شرکت هدف، مبنای حسابرسی انطباق کامل را شکل می دهد. شورای حفاظت از داده های اروپایی (EDPB) دستورالعمل های خاصی را در مورد تعامل بین حفاظت از داده ها و M& صادر کرده است؛ A، و نه اینکه تلاش های لازم برای رسیدگی به فعالیت های پردازش بالا جدید.
پیش داوری با توجه به دین: یک Dive Deep
با توجه به دقت، پایه انطباق است.یک بررسی سطحی از سیاست های حریم خصوصی کافی نیست؛ گیرندگان باید تأیید کنند که فعالیت های پردازش داده های شرکت هدف با الزامات قانونی هماهنگ هستند و هیچ گونه بدهی پنهان در اکوسیستم داده های آن وجود ندارد. فرآیند منظم ساختار یافته معمولا پنج دامنه را پوشش می دهد: مدیریت داده، رضایت و حقوق، امنیت، روابط شخص ثالث و اقدامات قبلی.
مدیریت داده ها و مستندات
با درخواست شرکت هدف (FLT:0) بازسازی فعالیت های پردازش (ROPA) ، سیاست های حفظ حریم خصوصی، روش های مدیریت داده های داخلی و هر گونه ارزیابی تاثیر داده های خاص (DPIAs) انجام شده است، این اسناد نشان می دهد دامنه پردازش، پایگاه های قانونی متکی بر، و نظرات داده ها در داخل سازمان است، به عنوان اینکه آیا نیاز به پردازش دقیق داده ها و یا تاریخ دقیق است.
حقوق موضوعات و داده ها
بررسی کنید که چگونه شرکت هدف رضایت و اسناد را به ویژه برای بازاریابی، پروفایل یا به اشتراک گذاری با اشخاص ثالث تحت GDPR، رضایت باید آزادانه داده شود، خاص، مطلع و بدون ابهام سن هر گونه موافقت را بررسی کند - موافقت نامه های قدیمی تر ممکن است دیگر مطابق با استاندارد "غیر محیطی" یا "آزاد" تحت تفاسیر فعلی باشد.
امنیت پست و تاریخ بی توسعه
نقض داده ها هزینه ای برای اصلاح و بازداشت یک کسب و کار است. [۱] سیاست های امنیتی هدف، طرح پاسخ حادثه و هر اعلان نقض ثبت شده در سه تا پنج سال گذشته است.ارائه یک ارزیابی امنیتی مستقل برای انجام آزمایش نفوذ و ارزیابی آسیب پذیری اگر فرآیندهای هدف حساس هستند، بررسی بلوغ شیوه های رمزگذاری آنها، کنترل دسترسی، و مدیریت داده های چرخه عمر شناخته شده است. [۱۰]
ریسک های شخص ثالث و فروشنده
اکثر شرکت ها به فروشندگان شخص ثالث برای ذخیره سازی ابری، تجزیه و تحلیل، حقوق و دستمزد و یا مدیریت ارتباط مشتری متکی هستند، هر فروشنده نشان دهنده جریان داده بالقوه است که باید به طور قانونی صدا باشد.درخواست لیستی از تمام پردازنده های داده و پردازنده های فرعی را همراه با محدودیت های اعتباری موجود (FLT:0 داده های پردازش (DPAs) [F:1] تأیید کرد که DPas شامل مقررات مربوط به فروشنده است، و یا محدودیت های انتقال داده های نقض داده ها نیز می شود.
اجرای پیش از اجرای عملیات و اخراج
پرونده های عمومی جستجو و پایگاه های نظارتی برای هر گونه اقدامات قبلی اجرای، جریمه ها یا دستورات رضایت شامل هدف، حتی اگر پرونده بدون پذیرش مسئولیت حل شود، شیوه های اساسی ممکن است ادامه داشته باشد. مصاحبه تیم های قانونی داخلی و انطباق در مورد هر گونه تحقیقات مداوم و یا شکایات مربوط به پرونده داده ها به طور فزاینده ای رایج در ایالات متحده است و هزینه آنها حتی اگر در نهایت رد شود.
مذاکره با امنیت های قراردادی
با توجه به تلاش، خطرات را آشکار می کند؛ حفاظت های قراردادی آنها را اختصاص می دهد.توافق خرید باید شامل نمایندگی های خاص و ضمانت نامه های مربوط به حریم خصوصی داده ها، و همچنین پیمان هایی باشد که نیاز به هدف برای حفظ انطباق در دوره موقت بین امضای و بستن مقررات مشترک دارند:
- نمایندگی و نمایندگی های جنگی - بیانیه هایی که هدف با تمام قوانین حریم خصوصی قابل اجرا مطابقت مطابقت دارد، هیچ گونه نقض آشکار نشده را تجربه نکرده است، تمام موافقت های لازم را به دست آورده است و ROPA دقیق را در نظر می گیرد که نیاز به یک برنامه خاص از استثنائات به جای اظهارات پتو دارد.
- Indemnification کلاوسes [FLT 1] - مقرراتی که سود آور را برای نقض حریم خصوصی پیش از افشای، از جمله جریمه، مجازات، هزینه های جبران و ادعاهای شخص ثالث نگه می دارد.
- پیمان پس از شکست [FLT 1] - الزامات برای هدف برای همکاری در ادغام داده ها، به روز رسانی اطلاعات حریم خصوصی، و برای حذف یا ناشناس کردن داده هایی که دیگر لازم نیست، همچنین شامل یک پیمان برای حفظ داده ها برای تنظیم مقررات اگر یک تحقیق در انتظار است.
- ترتیبات سر و صدا یا هولپشت - بخشی از قیمت خرید ممکن است به عقب نگه داشته شود تا خسارت های مربوط به حریم خصوصی بالقوه کشف شده پس از بستن، با توجه به اینکه نقض حریم خصوصی ممکن است ماه ها یا سال های بعد، دوره های بقای طولانی برای تکرار حریم خصوصی توصیه می شود.
- مکانیزم انتقال داده - اگر انتقال های مرزی درگیر هستند، به طور قراردادی نیاز به هدف برای حفظ مکانیزم انتقال معتبر (شماره های قرارداد استاندارد یا قوانین شرکت های Binding) و همکاری در انتقال ارزیابی های اثرات پس از بسته.
علاوه بر این، اگر خریدار قصد دارد داده ها را در سیستم ها ادغام یا ترکیب کند، قرارداد باید نیاز به یک ارزیابی تاثیر (FLT:0) را برای ارزیابی تاثیر حفاظت از داده ها (DPIA) (FLT:1) برای هر گونه فعالیت پردازش جدید که احتمالا در مدیریت داده های بالا به افراد منجر می شود، مورد توجه قرار دهد.
برنامه ریزی یکپارچه سازی و امن کردن مهاجرت داده ها
هنگامی که معامله بسته می شود، کار واقعی شروع به ادغام دو محیط داده جداگانه در حالی که حفظ انطباق نیاز به ارکستر دقیق دارد، مشکلات مشترک شامل ادغام پایگاه های داده بدون مصالحه پایگاه های حقوقی، عدم اطلاع رسانی حریم خصوصی، و به طور ناخواسته در معرض داده های مربوط به احزاب غیر مجاز در طول مهاجرت.
داده های Mapping و Minimization
قبل از هر ادغام فنی، یک تمرین نقشه برداری دقیق داده را انجام دهید که هر مجموعه داده را از هر دو نهاد، سطح حساسیت آن، زمان حفظ آن و اساس قانونی پردازش، استفاده از این نقشه برای ایجاد یک برنامه (FLT:0 داده به حداقل رساندن مقررات و داده های دیگر را مشخص می کند که داده ها باید حفظ شوند، که می تواند یک نام مستعار یا نام مستعار باشد، که به طور خودکار باید با هدف حذف شوند و یا به دست آوردن داده های دیگر، بدون دستیابی به طور خودکار، نمی تواند به طور خودکار به منظور دستیابی به اهداف محدود کردن داده ها برای دستیابی به هدف، داده ها برای دستیابی به هدف، جمع آوری شده باشد.
کنترل های امنیتی فنی
نقض داده ها اغلب در طول ادغام رخ می دهد، زیرا کنترل های امنیتی به طور موقت تضعیف می شوند.اطمینان حاصل کنید که تمام انتقال داده ها بین دو محیط رمزگذاری شده است (در استراحت و در حمل و نقل) کنترل دسترسی قوی با مجوز های مبتنی بر نقش را اجرا می کند و انتقال کامل تمام دسترسی به داده ها را قبل از انتقال به روز رسانی سیستم های پیشگیری از داده (DLP) برای نظارت بر صادرات غیر مجاز می کند.اگر هدف از سیستم های شناسایی شده استفاده می کند که نمی توانند سیستم های امنیتی را برآورده کنند، سیستم های ذخیره سازی سیستم های امنیتی را انجام دهند یا سیستم های ذخیره سازی داده های ذخیره سازی داده را انجام دهند تا زمانی که شامل شوند.
ریسک انتقال متقابل-Border
اگر خریدار در یک کشور یا منطقه مختلف کار می کند، محدودیت انتقال داده ها بحرانی می شود (برای مثال، یک هدف اتحادیه اروپا انتقال داده ها به یک خریدار مبتنی بر ایالات متحده باید به یک مکانیزم انتقال تایید شده متکی باشد – در حال حاضر با بی اعتبار بودن سیستم عامل رمزگذاری حریم خصوصی و نظارت مداوم از استاندارد نوئل پس از Schrem II [F1] تنها نیاز به اقدامات مدیریت مستقیم دارد.
داده ها Retention و Disposal در دوره پس از درخواست
یک جنبه اغلب مشاهده شده از ادغام، تجمع داده های تکراری، منسوخ یا اضافی است.هر دو به دست آوردن و هدف ممکن است سوابق مشتری همپوشانی داشته باشد، لیست های بازاریابی که شامل تماس های دیگر درگیر نیستند، یا پشتیبان گیری میراث است که باید سال ها قبل حذف شده باشد، برنامه دفع داده های سیستماتیک برای ماندن در اصول محدودیت ذخیره سازی ضروری است.
مدیریت انطباق پس از جلسه
انطباق یک رویداد یک بار نیست؛ باید در عملیات مداوم سازمان مشترک تعبیه شود.یک چارچوب مدیریت فعال تضمین می کند که حریم خصوصی حتی به عنوان تغییر اولویت های کسب و کار همچنان اولویت دارد.
افزایش سیاست های حریم خصوصی و اطلاعیه ها
بلافاصله پس از خرید، به روز رسانی تمام سیاست های حفظ حریم خصوصی - هر دو در وب سایت ها و در مواد مشتری-محور، موضوعات داده های تغییر در کنترل کننده (در صورت لزوم) را تقویت کنید و اطلاعات روشنی در مورد چگونگی پردازش داده های آنها به جلو ارائه دهید، این نه تنها یک الزام قانونی تحت تعهدات شفافیت قابل توجه است، بلکه بسیاری از تنظیم کنندگان انتظار دارند که اطلاع رسانی ها به موقع تحویل داده شود؛ یک درخواست کلیدی در مورد اطلاعات جدید ارائه می دهد که ممکن است اطلاعات مربوط به اطلاعات مربوط به اطلاعات جدید را در دسترس نیست.
آموزش و فرهنگ
کارکنان از شرکت به دست آمده - و کارکنان موجود - نیاز به آموزش در سیاست های حریم خصوصی ترکیبی، روش های مدیریت داده ها، و پروتکل های پاسخ حادثه. آگاهی حریم خصوصی باید بخشی از کارمند جدید باشد که از طریق تازه کاران سالانه تقویت شده و تقویت می شود، در نظر گرفتن طراحی یک افسر حفاظت از داده (DPO) یا قهرمان حریم خصوصی در هر واحد کسب و کار برای خدمت به عنوان نقطه تماس برای سوالات روزمره در طول تمرینات تست شبیه سازی داده ها.
نظارت و حسابرسی
برنامه ریزی حسابرسی های منظم داخلی - به طور تقریبی برای سال اول، پس از آن سالانه - برای ارزیابی انطباق با سیاست های حریم خصوصی، تعهدات قراردادی و تغییرات نظارتی.استفاده از ابزارهای خودکار برای نظارت بر الگوهای دسترسی داده ها، تلاش های انتقال غیر مجاز و موافقت تاریخ انقضاء - حفظ یک ثبت مرکزی از همه فعالیت های پردازش، و به روز رسانی آن هر زمان که فرایندهای جدید معرفی شده یا قدیمی به طور فزاینده ای پیش بینی می شود که سازمان ها برای ایجاد یک سازمان های قانونی و حتی اگر یک درخواست نقض دقیق باشد، حتی یک قانون فعلی را داشته باشند.
نتیجه گیری
انطباق حریم خصوصی داده ها در طول یک خرید یک چالش چند لایه است که نیاز به هماهنگی قانونی، فنی و عملیاتی دارد.با نزدیک شدن به آن به طور سیستماتیک - شروع با تلاش قوی، مذاکره با حفاظت از پیمانکاران قوی، برنامه ریزی با مراقبت از حریم خصوصی، و ایجاد مدیریت مداوم - سازمان دهندگان می توانند از خود در برابر آسیب های مالی و شهرت قابل توجه محافظت کنند.هزینه گرفتن آن بسیار بالا است، اما مزایای دستیابی به امنیت شخصی است که به آن، به عنوان یک ریسک پایدار، به عنوان یک مشتری، به عنوان یک اعتماد است.