privacy-and-online-law
Cara Memastikan Kepatuhan dengan Hukum Privasi Data Selama Akuisisi
Table of Contents
Andika yang Berkembangnya Landscape yang Regulatori dan Dampaknya pada Struktur Kesepakatan
Hukum privasi Ocebah tidak seragam; mereka bervariasi dengan yurisdiksi dan sering tumpang tindih. Pengertian hukum mana yang berlaku pada perusahaan target ⁇ dan bagi para pengakreditasi ⁇ adalah langkah pertama dalam strategi kepatuhan apa pun. Kerangka kerja yang paling berpengaruh meliputi Regulasi Perlindungan Data Umum (GDPR) di Kawasan Ekonomi Eropa, Undang-Undang Keprivasian Konsumen Konsumen (CCPA)] sebagaimana ditamatkan oleh [[FLT4]] di Kawasan Privasiasial Hak Asasi Manusia (RAFLT:2]], sektor khusus seperti [[FLT] dan UU PENDIKAN:BAN PENJELURAN PENDIKANAN PENJELAS]] (PERBAN) [T], Amerika Serikat]], Amerika Serikat telah memberikan perlindungan dan juga memiliki perlindungan yang lebih besar di dalam [[FL]].[TFL]], Amerika Serikat]], dan juga memiliki perlindungan dan juga memiliki hak privasi di dalam [[FL]].[TFL]]
Patrol regulasi ini secara langsung mempengaruhi struktur kesepakatan. Acquirers harus mempertimbangkan apakah praktik data target selaras dengan kerangka kepatuhan yang ada oleh pihak yang memperoleh. Significant disparities ⁇ seperti kecacatan pada persetujuan yang tidak mudah transfer ⁇ mungkin memerlukan negosiasi ulang harga pembelian, pembuatan ensiklik indemnity, atau bahkan mengkonstruksi akuisisi sebagai pembelian aset bukan pembelian saham untuk mengisolasi aset data tertentu. Regulasi seperti Kantor Komisaris Informasi (COI)[TFLT:1]] dan [[FLT2:CtrFell]] memiliki panduan yang diterbitkan oleh para pembeli dan pihak penjual untuk melakukan transfer hak asuh untuk kedua pihak.
Prinsip Kunci di Seberang Hukum Besar
Meskipun ada perbedaan dalam lingkup dan penegakan, kebanyakan rezim privasi data berbagi prinsip dasar yang perlu dialamatkan oleh para pengambil data:
- [[FAILT:0]]Luarfulness, fairness, and transparency]] ⁇ Data pribadi harus diproses atas dasar hukum yang sah, dan individu harus diberitahu tentang bagaimana data mereka digunakan. Pasca-akuisisi, pengatur baru harus menilai kembali apakah basis hukum yang ada tetap valid atau jika persetujuan segar diperlukan.
- [[UGNOFLT:0]]Purpose limitation[]] ⁇ Data seharusnya hanya dikumpulkan untuk tujuan yang dispesifikasikan, eksplisit, dan sah. Memutakhirkan data setelah akuisisi ⁇ misalnya, menggunakan data pelanggan dari program loyalitas dalam lini produk yang sama sekali baru ⁇ mengurangi penilaian yang cermat di bawah tujuan pemrosesan asli.
- [[ZOZOFLT:0]]Language minimization[]] ⁇ Hanya data minimum yang diperlukan untuk tujuan yang dimaksudkan dapat dikumpulkan dan dipertahankan. Integrasi sering kali menciptakan pool data berlebih yang harus dibersihkan atau anonim.
- [[ZOZOFLT:0]]Akkulasi dan pembatasan penyimpanan[]] ⁇ Data harus dijaga akurat dan dipertahankan tidak lebih lama dari yang diperlukan.Akuisisi adalah saat yang ideal untuk mengaudit dan membersihkan data set.
- [[CULIT:0]]Integrity and confidentiality]] ⁇ Tindakan keamanan harus melindungi data terhadap akses yang tidak sah, kerugian yang tidak disengaja, atau kehancuran. Migrasi antar sistem adalah periode berisiko tinggi.
- [[ZOZOFLT:0]]Accountability[]] ⁇ Pengontrol data harus mendemonstrasikan kepatuhan melalui dokumentasi, pelatihan, dan pengawasan. Suatu entitas gabungan membutuhkan kerangka akuntabilitas terpadu.
Pemetaan prinsip-prinsip ini terhadap kebijakan dan praktik yang telah ada oleh perusahaan sasaran membentuk dasar audit kepatuhan menyeluruh. European Data Protection Board (EDPB)] telah mengeluarkan pedoman khusus tentang interplay antara perlindungan data dan M&A, nota bahwa karena diligence harus mengatasi potensi untuk kegiatan pengolahan berisiko tinggi baru.
Pra-Pengakuan Dilakukan Karena Kepentingan: Sebuah Dive yang Dalam
Kepatuhan yang dibebani oleh Kepatuhan adalah batu penjuru kepatuhan.Penelaahan kebijakan privasi yang bersifat dangkal tidak mencukupi; pengakuan harus memverifikasi bahwa kegiatan pengolahan data perusahaan sasaran selaras dengan persyaratan hukum dan bahwa tidak ada kewajiban tersembunyi yang mengintai dalam ekosistem datanya. Proses ligan yang terstruktur secara umum meliputi lima domain: pengaturan data, persetujuan dan hak, keamanan, hubungan pihak ketiga, dan tindakan penegakan sebelumnya.
Data Pimpinan dan Dokumentasi
Mulailah dengan meminta izin perusahaan sasaran yaitu Records of Processing Activities (ROPA), kebijakan privasi, prosedur penanganan data internal, dan penilaian dampak data apapun (DPIAs) yang dilakukan. Dokumen-dokumen ini mengungkapkan ruang lingkup pemrosesan, basis hukum yang diandalkan, dan data yang mengalir di dalam organisasi. Mengatasi apakah ROPA lengkap dan sampai saat ini ⁇ gaps adalah bendera merah yang mungkin menunjukkan pemrosesan yang tidak diungkapkan atau kultur manajemen data yang buruk. Memperhatikan secara khusus setiap kategori khusus (diubah, biometrik, opini politik) atau kritik terhadap data kriminal, sebagai agen regulator yang menarik para peneliti yang tinggi dan memiliki pengawasan yang jelas.
Hak Konsenen dan Subjek Data Obyek
Examine bagaimana perusahaan target memperoleh dan persetujuan dokumen, terutama untuk pemasaran, profiling, atau berbagi dengan pihak ketiga. Di bawah GDPR, persetujuan harus diberikan secara bebas, spesifik, informasi, dan tidak ambigu. Verifikasi usia persetujuan apapun ⁇ persetujuan yang lebih lama mungkin tidak lagi memenuhi standar ⁇ tidak ambigu ⁇ atau ⁇ diberi secara bebas ⁇ diberikan ⁇ di bawah interpretasi saat ini. Jika akuisisi melibatkan perubahan kendali atau kepemilikan, persetujuan yang ada mungkin tidak secara otomatis transfer. Individu harus diberitahu dari kontrolir baru dan diberi kesempatan untuk menarik persetujuan. Demikian pula, verifikasi bagaimana target menangani permintaan akses (SARS), dan permintaan portabilitas data yang tidak dapat diselesaikan secara langsung. Permintaan hak milik yang tidak dapat diajukan dan hak sitaan harus segera ditekan.
Pos Pos Pos Keselamatan dan Sejarah Pelanggaran
Pelanggaran data yang dilakukan oleh pihak berwenang untuk segera dan dapat menodai akuisisi. Meninjau kebijakan keamanan sasaran, rencana respon insiden, dan pemberitahuan pelanggaran apapun yang diajukan dalam tiga sampai lima tahun terakhir. Mengaktifkan penilaian keamanan independen untuk melakukan pengujian dan kerentanan penilaian jika target memproses data sensitif. Mengevaluasi kematangan praktik enkripsi mereka, kontrol akses, dan manajemen daur hidup data. Sejarah kerentanan yang tidak terselesaikan atau pelanggaran berulang sering kali mengisyaratkan isu organisasi yang lebih dalam yang tidak dapat diperbaiki dengan cepat. Juga memeriksa apakah target mempertahankan kejanggalan dan program yang mereka kenali secara aktif.[TFLT] Sebagai alat keamanan CyberFL[FL]] sebagai target yang relatif berdiri untuk mempertahankan standardisasi.
Risiko Ketiga Pihak dan Vendor
Perusahaan-perusahaan yang paling banyak bergantung pada vendor pihak ketiga untuk penyimpanan awan, analitik, gaji, atau manajemen hubungan pelanggan. Setiap vendor mewakili aliran data potensial yang harus bersuara secara hukum. Meminta daftar semua prosesor data dan sub-prosesor bersama dengan Data Processing Agreements (DPAs)]. Memastikan bahwa DPAs termasuk klausa yang diperlukan seperti kewajiban keamanan data, protokol pemberitahuan pelanggaran, dan pembatasan pada transfer data lintas-border. Juga mengidentifikasi setiap vendor yang tidak lagi dalam bisnis atau di bawah kontrak vendor yang tidak aktif ⁇ data adalah klausura umum. As a vendor controducts controducts controduct controductions controductions controductions of klausancesures of the recontroduction: venue of the recontroduance on therecution:FLTFL2]][T3]][T3] Mengasing:FT3] Mengasing:[T3]
Tindakan dan Pencabulan Pelaksanaan yang Diperankan
Cari catatan publik dan database regulatory untuk setiap tindakan penegakan yang sebelumnya, denda, atau surat keputusan persetujuan yang melibatkan target.Meskipun jika sebuah kasus diselesaikan tanpa pengakuan kewajiban, praktik yang mendasarinya mungkin telah berlanjut.Mewawancara tim internal hukum dan kepatuhan tentang investigasi yang sedang berlangsung atau keluhan subjek data.Tuntutan hukum kelas-aksi yang berkaitan dengan pelanggaran data semakin umum di AS, dan biaya mereka dapat substansial meskipun akhirnya diberhentikan.
Bertunjangkan Pengawal Kontrak
Isu Diligence Due Due Due due diligence mengungkapkan risiko; proteksi kontraktual mengalokasikan mereka.Perjanjian akuisisi harus mencakup perwakilan dan surat perintah khusus mengenai privasi data, serta perjanjian yang mengharuskan target untuk mempertahankan kepatuhan selama periode interim antara penandatanganan dan penutupan.Persyaratan umum meliputi:
- ¡Eaquist Perwakilan dan Warranti[]] Persyaratan yang telah dikomentari target dengan segala hukum privasi yang dapat diterapkan, belum mengalami pelanggaran yang tidak diungkapkan, telah memperoleh semua persetujuan yang diperlukan, dan mempertahankan ROPA yang akurat. Pertimbangkan memerlukan jadwal pengecualian tertentu daripada pernyataan selimut.
- Kelayakan luar biasa [pranala nonaktif] Sinsula-klasula ⁇ Provisi yang memegang provisions provisions yang tidak berbahaya untuk pelanggaran privasi pra-penutupan, termasuk denda, denda, denda, biaya remediasi, dan klaim pihak ketiga. Negosiasi kap dan keranjang spesifik, tetap diingat bahwa denda GDPR dapat mencapai 4% dari pergantian tahunan global ⁇ potensial mengapit pelanggaran lainnya.
- Terapkan [[Closing Covenants[ Persyaratan bagi target untuk bekerja sama dalam integrasi data, untuk memperbarui pemberitahuan privasi, dan menghapus atau menganonymasi data yang tidak diperlukan lagi. Juga termasuk perjanjian untuk menjaga data untuk regulator yang dipegang jika penyelidikan sedang tertunda.
- Onceflething Escrow atau Holdback Arrangements ⁇ Sebagian harga pembelian mungkin ditahan kembali untuk menutupi kerugian terkait privasi potensial yang ditemukan setelah penutupan. Mengingat bahwa pelanggaran privasi mungkin permukaan bulan atau tahun kemudian, periode kelangsungan hidup yang diperpanjang untuk rep privasi adalah disarankan.
- Parameter [[CANFAILT:0]]Data Transfer Mekanisme ⁇ Jika transfer lintas-border terlibat, secara kontraktual mengharuskan target untuk mempertahankan mekanisme transfer yang valid (Stard Contractual Clauses atau Binding Corporate Rules) dan untuk bekerja sama dalam Transfer Impact Assessments pasca-dekat.
Secara tambahan, jika si memperoleh bermaksud untuk mengintegrasikan atau menggabungkan data di seluruh sistem, kontrak harus mengatasi kebutuhan untuk suatu data penilaian dampak perlindungan (DPIA)[ untuk setiap kegiatan pengolahan baru yang kemungkinan besar mengakibatkan risiko tinggi bagi individu. Teks The UE], teks dan panduan dari the directory [[FLT:]]4European Data Prot Board] menekankan bahwa DPIA wajib dalam banyak skenario M&A, khususnya ketika data sensitif atau profiling skala besar terlibat.
Penyepaduan Berencana dan Migrasi Data Aman
Setelah kesepakatan ditutup, pekerjaan yang sebenarnya dimulai. Mengintegrasikan dua lingkungan data yang terpisah sambil mempertahankan kepatuhan membutuhkan orkestrasi yang teliti.Permohonan umum termasuk penggabungan basis data tanpa menyusun kembali basis hukum, gagal memperbarui pemberitahuan privasi, dan secara tidak sengaja mengekspos data ke pihak yang tidak sah selama migrasi.
Pemetaan dan Minimisasi Data COMBN
Sebelum integrasi teknis apapun, lakukan latihan pemetaan data yang rinci yang mengidentifikasi setiap dataset dari kedua entitas, tingkat sensitivitasnya, jadwal retensinya, dan dasar hukum untuk pemrosesan. Gunakan peta ini untuk menetapkan rencana minimalisasi data[ ⁇ terminasi yang harus dipertahankan datanya, dan dasar hukum untuk pemrosesan. Gunakan peta ini untuk menetapkan sebuah data minimisasi rencana[] ⁇ terminasi yang mana data harus dipertahankan, yang dapat dianonimkan atau diseragamkan, dan yang harus dihapus. Di bawah prinsip pembatasan tujuan, data yang dikumpulkan oleh target untuk satu alasan tidak dapat digunakan secara otomatis oleh pengambil kembali oleh pengambil data tanpa persetujuan baru atau menemukan dasar yang sah. Dokumen semua keputusan dalam sebuah daftar data yang menyelaraskan dengan kebijakan baik yang diperoleh maupun yang dapat diterapkan.
Pengendalian Keamanan Teknis
Pelanggaran data sering terjadi selama integrasi karena kontrol keamanan lemah sementara. Pastikan bahwa semua transmisi data antara kedua lingkungan dienkripsi (diistirahatkan dan dalam transit). Implementasi kontrol akses yang kuat dengan izin berbasis peran, dan melakukan pencatatan menyeluruh dari semua akses data selama transisi. Gunakan alat pencegahan kehilangan data (DLP) untuk memantau untuk ekspor yang tidak sah. Jika target menggunakan sistem legasi yang tidak dapat memenuhi standar keamanan protektor, rencana untuk migrasi atau karantina fased data tersebut sampai sistem dapat ditingkatkan. Pertimbangkan melibatkan tim keamanan pihak ketiga untuk melakukan tes penetrasi bersama dari integrasi arsitektur sebelum pergi-hidup.
Risiko Transfer Cross-Border
Jika si Penerima harus beroperasi di negara atau wilayah yang berbeda, pembatasan transfer data menjadi kritis. Sebagai contoh, target berbasis UE mentransfer data ke sebuah akuisisi berbasis AS harus bergantung pada mekanisme transfer yang disetujui ⁇ sekarang rumit dengan invalidasi dari Privasi Shield dan pemeriksaan berkelanjutan dari Standar Kontraktual Clauses setelah Schrems II keputusan. Bekerja dengan nasihat hukum untuk menerapkan Transfer Impact Assessments (TIAs) dan tindakan tambahan seperti enkripsi (dengan manajemen kunci yang memastikan tidak dapat memperoleh teks biasa), kontraksi palsu, atau komitmen untuk menangani hanya data eksplisit.[2TFL]] dan tindakan-tindakan-peralatan umum seperti enkripsi (dengan manajemen kunci yang memastikan tidak dapat memperoleh data yang benar-benar dihubungi), begitu juga memerlukan perlindungan privasi publik, sehingga dibutuhkan perlindungan hukum-hukum yang tepat untuk menangani transaksi-dokumen publik dalam negeri.
Pemberhentian dan Pembuangan Data di Periode Pasca-Pengakuan
Salah satu aspek yang sering diabaikan dari integrasi adalah akumulasi data duplikat, usang, atau berlebihan. Kedua proceder dan target dapat memegang catatan pelanggan yang tumpang tindih, daftar pemasaran yang mencakup kontak tidak lagi terlibat, atau cadangan warisan yang seharusnya dihapus bertahun-tahun yang lalu. Program pembuangan data sistematis sangat penting untuk tetap berada dalam prinsip pembatasan penyimpanan. Membuat sebuah gugus tugas bersama untuk meninjau semua periode retensi, mengidentifikasi data yang melebihi umur yang telah disahkan, dan menghapusnya dengan aman menggunakan metode compliant dengan standar industri (misalnya, NIST SP-88 untuk mediaisasi). Pertahankan catatan pencatatan yang dihapus, dan di bawah otoritas. Ini juga mengurangi risiko dan biaya penyimpanan.
Manajemen Kepatuhan Pasca-akuisisi
Kepatuhan bukanlah suatu peristiwa satu kali; harus tertanam dalam operasi yang sedang berlangsung dari organisasi gabungan.Sebuah kerangka pemerintahan proaktif memastikan bahwa privasi tetap menjadi prioritas bahkan sebagai pergeseran prioritas bisnis.
Mengemaskinikan Kebijakan dan Pemberitahuan Privasi
Setelah akuisisi, perbarui semua kebijakan privasi ⁇ baik di situs web maupun bahan-bahan yang dipaksakan pelanggan. Beritahu subjek data tentang perubahan kontrol (jika dapat diterapkan) dan memberikan informasi yang jelas tentang bagaimana data mereka akan ditangani ke depan. Ini bukan hanya persyaratan hukum di bawah kewajiban transparansi tetapi juga sebuah pengukuran membangun kepercayaan. Banyak regulator mengharapkan pemberitahuan tersebut disampaikan dengan cara yang tepat waktu, dapat dimengerti; email massal dengan link ke kebijakan baru mungkin tidak cukup jika perubahan tersebut signifikan. Pertimbangkan pemberitahuan berlapis yang menyediakan keyfront informasi dengan rincian yang tersedia pada permintaan.
Pelatihan dan Kebudayaan
Staf ensif dari perusahaan yang diperoleh ⁇ dan karyawan yang sudah ada ⁇ membutuhkan pelatihan mengenai kebijakan privasi entitas gabungan, prosedur penanganan data, dan protokol respons insiden. Kesadaran privasi harus menjadi bagian dari karyawan baru onboarding dan diperkuat melalui penyegar tahunan. Pertimbangkan merancang petugas perlindungan data (DPO) atau juara privasi di dalam setiap unit bisnis untuk berfungsi sebagai titik kontak untuk pertanyaan sehari-hari.Lari latihan tabletop simulasi pelanggaran data selama integrasi untuk menguji efektivitas respon.
Pemantauan dan Audit yang Bergoyang
Uji coba rutin audit internal terjadwal ⁇ seperempat untuk tahun pertama, kemudian secara tahunan ⁇ untuk menilai kepatuhan dengan kebijakan privasi, kewajiban kontraktual, dan perubahan regulasi. Gunakan alat otomatis untuk memantau pola akses data, upaya transmisi yang tidak sah, dan persetujuan yang ekspliasi. Pertahankan pendaftaran pusat dari semua kegiatan pemrosesan, dan perbarui setiap kali proses baru diperkenalkan atau yang lama dipensiunkan. Regulasi semakin mengharapkan organisasi dapat menghasilkan ROPA saat ini atas permintaan, dan kegagalan untuk mempertahankan satu dapat menyebabkan denda bahkan jika tidak ada pelanggaran substantif yang terjadi. Juga monitor eynew envigmentmentmentment ⁇ hukum seperti UU UE atau UU yang diusulkan UU US dapat memberlakukan privasi tambahan yang harus diintegrasikan ke dalam program.
Kekecualian Kesimpulan
Ketergantungan data yang dilakukan secara sistematis ⁇ mulai dengan kepatuhan yang kuat, menegosiasikan proteksi kontraktual yang multi-lapisan dengan tantangan yang menuntut penyelenggaraan yang legal, teknis, dan koordinasi operasional yang berkelanjutan. Dengan mendekatinya secara sistematis ⁇ mulai dengan kepatuhan yang kuat, menegosiasikan perlindungan kontrak yang kuat, perencanaan integrasi dengan perawatan, dan menetapkan pemerintahan yang berkelanjutan ⁇ organisasi dapat melindungi diri dari kerugian finansial dan reputasi yang signifikan. Biaya untuk mendapatkannya secara salah terlalu tinggi, tetapi keuntungan untuk mendapatkannya secara langsung melebihi risiko menghindari penghindaran. Sebuah sinyal integrasi privasi yang terurus kepada pelanggan, regulator, dan pasar bahwa organisasi yang akui adalah pengurus pribadi yang bertanggung jawab terhadap data pribadi ⁇ sebuah keuntungan kompetitif dalam sebuah mata uang yang kompetitif. Embed sebagai privasi, meskipun tidak akan berhasil, dan tidak berhasil untuk memperoleh keuntungan.