privacy-and-online-law
Як забезпечити дотримання законодавства про конфіденційність даних під час проведення процедури
Table of Contents
Залучення регуляторного ландшафту та його вплив на декларацію
Закони про конфіденційність даних в країнах СНД та США (далі – Юридична фірма) мають право на використання даних, які належать до цільової компанії, що належать до цільової компанії, а також до орендодавця — є першим кроком у будь-якій стратегії відповідності. Найбільш впливові принципи включають в себе , як змінено положення про захист даних (GDPR)]California конфіденційності (CPRA), а також галузеві правила, такі як [F] ]]
Цей нормативний патчерк безпосередньо впливає на структуру угоди. Припустимо, що практика даних цілей вирівнюється з існуючою рамою відповідності на придбання. Значні недоліки — так як відмова від згоди, яка не легко передається — вимагають переговорної ціни на купівлю, створення незрівнянних ескродів, або навіть структурування придбання активів, а не придбання запасів для ізоляції певних активів даних. Регулятори, такі як
Основні принципи Across
Незважаючи на відмінності в області та виконання, більшість режимів конфіденційності даних, які поділяють принципи, які набувають необхідно звернутися:
- ]Lawfulness, справедливість та прозорість – Особисті дані повинні бути оброблені на чинному правовому підставі, а особи повинні бути повідомлені про те, як їх використовується. Після узгодження, новий контролер повинен переоцінювати, чи залишаються чинні правові основи, якщо потрібна свіжа згода.
- Purpose limit] – Дані повинні бути зібрані тільки для зазначених, чітких і законних цілей. Відновити дані після придбання – наприклад, використовуючи дані клієнтів від програми лояльності в абсолютно новому продуктовому рядку—визначають обережні оцінки під оригінальною метою обробки.
- Data minimization – Тільки мінімальні дані, необхідні для цільового призначення, можуть збиратися і зберігатися. Інтеграція часто створює басейни надлишок даних, які повинні бути очищені або анонімізовані.
- Accuracy and Storage limit] – Дані повинні зберігатися в точності і зберігатися не довше, ніж необхідно. Придбання є ідеальним моментом перевірки та очищення наборів даних.
- – Заходи безпеки повинні захистити дані від несанкціонованого доступу, випадкових втрат або знищення. Міграційна система є високим періодом.
- – Контролер даних повинен продемонструвати відповідність документації, навчання та переосмислення. Об’єднана особа потребує єдиної базисності.
Надання цих принципів на існуючі політики та практики цільової компанії формує основу проведення ретельного аудиту комплаєнсу. Європейська Рада захисту даних (EDPB) видала конкретні вказівки щодо взаємодії між захистом даних та M&A, зазначивши, що Due diligence має бути адресований потенціал для нової виробничої діяльності з високою чіткістю.
Попереднє придбання Due Diligence: Глибокий дайвінг
Due diligence – це кутовий камінь відповідності. Недостатній огляд політики конфіденційності, які повинні перевірити, що цільова діяльність компанії, що переробляють дані, вирівнюються з правовими вимогами та не заховані зобов’язання, що падають у екосистемі даних. У структурованій процесі Due diligence зазвичай охоплює п’ять доменів: управління даними, згода та права, безпека, сторонні відносини та перед виконанням дій.
Управління даними та документація
Починається запитом цільової компанії Рекорди діяльності з переробки (ROPA), політики конфіденційності, внутрішні процедури обробки даних та будь-які оцінки впливу захисту даних (DPIAs) (DPIAs) (ДП). Ці документи показують обсяг обробки, правові основи, що спираються на, а дані, що відбуваються в організації. Сприяє, чи є ROPA, і до дати, - загиблими прапорами, які можуть вказувати нерозкриту обробку або бідну культуру управління даними. Особливу увагу приділяють будь-якій обробці спеціальних даних категорії (health, біометричні, політичні думки) або дані, що стосуються кримінального конвенція, що притягують ці правові значення, як ці правові умови, як правило, так і невизнаються як правило, так і невизнаються, так і невизнаються, як правило, що невизнаються, так і невизначають, як правило, як правило, що невизначають, як правило, так і невизначають, так і невизначають, як правило, як правило, що невизна
Консент і права суб'єкта даних
Огляд, як цільова компанія отримує та документи згодою, особливо для маркетингу, профілювання або спільного з третіми особами. Під ГПЗ, згода повинна бути вільно надана, конкретна, проінформована і неоднозначна. Перевірити вік будь-яких згод, - згода, що не може бути більшим, ніж відповідати стандарту "неоднозначної" або "безкоштовно" під постійними тлумаченнями. Якщо придбання передбачає зміну контролю або власності, існуючі згоди можуть не автоматично передаватися. Особини повинні бути повідомлені про новий контролер і надати можливість знімати згоду. Аналогічно, перевірте, як ціль ручки підлягають запити доступу (SAR), право на усунення непоправності та попереднє з'єктивності.
Історія безпеки та Breach
Порушення даних є економічно обґрунтованими для відновлення та може зберігати придбання. Огляд політики безпеки цілей, плану реагування на інциденти та будь-які порушення повідомлень, що подані в останні три-п’ять років. Залучення незалежного оцінювання безпеки для виконання тестування проникнення та оцінки вразливостей, якщо ці процеси чутливі дані. Оцінити зрілість їх практики шифрування, контроль доступу та управління життєвим циклом даних. Історія нерозчинених вразливостей або повторних порушень часто сигнали більш глибоких організаційних питань, які не можуть бути виправлені швидко. Також експерти, чи ціль підтримує програму розкриття вразливостей та як активно вони патчували відомі недоліки[FIST:]
Третя частина і ризики
Більшість компаній, які спираються на сторонні постачальники для хмарного зберігання, аналітики, коляски або управління відносинами з клієнтами. Кожен постачальник представляє потенційний потік даних, який повинен бути правово звуком. Запитайте список всіх процесорів даних та субпроцесорів разом з існуючими Data Processing Contracts (DPAs). Підтвердіть, що DPAs включає в себе необхідні пункти, такі як обов'язки з безпекою даних, порушення протоколів сповіщення та обмеження на транскордонних передач. Також виявляти будь-які постачальники, які більше не в бізнесі або підрядних даних, що залишилися неактивними постачальниками, є загальними, які [Fgo-контролюючі посилання]
Пріоритетні дії та судові рішення
Пошук публічних записів та нормативних баз для будь-яких передових дій, штрафів, або згодних постанов, пов’язаних з метою. Навіть якщо справа була врегульована без отримання відповідальності, основні практики можуть продовжитися. Інтерв’ю внутрішніх правових та комплаєнсових команд щодо будь-яких поточних розслідувань або скарг суб’єкта даних. Виняткові позови, пов’язані з порушенням даних, все частіше зустрічаються в США, а їх вартість може бути суттєвою навіть якщо остаточно звільнена.
Неготування договірних охоронців
У зв’язку з технологічними роботами, договірними захистами виділяють їх. У угоді про придбання необхідно включити конкретні представництва та гарантії щодо конфіденційності даних, а також ковенанти, які вимагають цілей для підтримки дотримання умов міжчасового періоду між підписанням та закриттям. Загальні положення включають:
- Privacy Представництво та гарантії – Заяви, що ціль відповідає всім чинним законодавством про конфіденційність, не відчув ніяких нерозголошеннях порушень, отримав всі необхідні згоди, і зберігає точну ROPA. Розглянемо, що вимагають певного графіку вин, а не пледаних виписок.
- Постанови, які несуть шкоду для закривання порушень конфіденційності, включаючи штрафи, штрафи, витрати на усунення непорушень та третіх сторін. Неготуйте конкретні кепки та кошики, зберігаючи на увазі, що штрафи у розмірі 4% від світового щорічного обороту — потенційно злиття інших нездатностей.
- Post-Closing Covenants – Вимоги до цілей для взаємодії в інтеграції даних, оновлення повідомлень про конфіденційність, а також видалення або анонімізування даних, які більше не потрібні. Також включають в себе співвідношенні для збереження даних для нормативних актів, якщо розслідування є припиненням.
- Escrow або Holdback Arrangements – Частина вартості покупки може бути проведена назад, щоб покрив потенційні втрати конфіденційності, виявлені після закриття. З огляду на, що порушення конфіденційності можуть бути поповнені місяці або роки пізніше, розширені періоди виживання для репутації конфіденційності.
- Data Transfer Механізми] – Якщо залучені транскордонні перекази, договірно вимагають цілі для підтримки механізмів передачі (Standard Contractual Клавіатури або Binding Corporate Law) і для співпраці в пост-закриттях з метою передачі ударних оцінок.
Додатково, якщо набувача має намір інтегрувати або об'єднати дані по всій системі, контракт повинен звернутися до необхідності Оцінка впливу на захист даних (DPIA)] для будь-яких нових операцій з обробкою, які, ймовірно, призведуть до високого ризику для фізичних осіб. GDPR текст і керівництво від Європейська Рада захисту даних стрес, що DPIAs обов'язкові в багатьох M& сценарії, зокрема, при чутливих даних або масштабних профайлах.
Планування інтеграції та збереження даних
Після того, як угода закривається, починається справжня робота. Інтеграція двох окремих середовищ даних при підтримці дотримання вимог необхідного дотримання. Загальні підводні камені включають в себе згортання баз даних без конденсованих правових підстав, не вдається оновлювати повідомлення про конфіденційність, і неперевершено розширюючи дані для несанкціонованих сторін при міграції.
Mapping та мінімізація даних
Перед будь-якою технічної інтеграції, виконувати докладні дані, які визначаються кожен з даних з обох осіб, рівень чутливості, його графік зберігання та правовий основи для обробки. Використовуйте цю карту для встановлення План мінімізації даних ] - визначимо, що дані повинні бути збережені, які можуть бути анонімізовані або псевдонімізовані, і які повинні бути видалені. Відповідно до принципів обмеження, дані, зібрані метою з однієї причини, не можуть бути автоматично використані опонентом для необґрунтованих цілей без отримання нової згоди або пошуку іншої законної бази. Зробіть всі рішення в розкладі збереження даних, що вирівнюються з обох вимог законодавства та вимог.
Технічні контрольи безпеки
Порушення даних часто виникають при інтеграції, оскільки контроль безпеки тимчасово ослаблені. Переконайтеся, що всі передачі даних між двома середовищами зашифровані (при решті і в транзиті). Впроваджувати надійні системи доступу з дозволу на роль, а також проводити ретельний відлог всіх доступу даних під час переходу. Використовуйте засоби захисту даних (DLP) для моніторингу несанкціонованого експорту. Якщо ціль використовує системи для схуднення, які не можуть відповідати стандартам безпеки на Окупець, планують фазовану міграцію або карантину даних до систем, поки системи можуть бути оновлені. Розглянемо залучення сторонніх експертів безпеки для проведення спільного проникнення архітектури інтеграції перед виробництвом go-live.
Перерахування ризиків трансмісії
Якщо накупець працює в іншій країні або області, обмеження передачі даних стають критичними. Наприклад, дані про передачу даних ЄС на основі на основі на основі наданої набути, повинні спиратися на затверджений механізм передачі - в даний час ускладнений визнанням конфіденційності Shield і постійними scrutiny стандартних контрактних клацань після Schrems II]. Робота з юридичним радником з впровадження практики контролю впливу на передачу (TIAs) і додаткових заходів, таких як шифрування (з ключовим управлінням, що забезпечується окупцем, не може доступу до звичайної інформації), псевдонімізація або договірні зобов'язання контролювати дані тільки під чіткими вказівками [FLT [F3 [F2]
Відновлення даних та розпорядження даних в період післявизначення
Один часто заблокований аспект інтеграції є накопиченням дублікатів, застарілих або надмірних даних. Обидва оренди та цілі можуть зберігати перекриття записів клієнтів, списки маркетингу, які включають контакти більше зайнятих, або резервні копії спадкових даних, які повинні були видалені роки тому. Програма систематичного видалення даних є важливим для перебування в принципи обмеження зберігання. Створіть спільну задачу, щоб переглянути всі періоди збереження, виявити дані, які перевищують свою уповноважену життєву пошту, і безпечно видалити її за допомогою методів, що відповідають галузевим стандартам (наприклад, NIST SP 800-88 для медіасанітарної деніфікації). Дотримання логіки, що записує, але при цьому не нижче, а також знижуть витрати.
Управління дотриманням вимог законодавства
Надання чинності умов для забезпечення конфіденційності, а також зміни бізнес-рішення.
Оновлення політики конфіденційності та повідомлень
Відразу після придбання, оновлення всіх політик конфіденційності — на сайтах та в матеріалах замовника. Повідомити суб'єкти даних зміни контролера (якщо це можливо) та надати чітку інформацію про те, як будуть оброблятися дані. Це не тільки правова вимога під обов'язки прозорості, але й довіробудівний захід. Багато регуляторів очікують, що повідомлення будуть доставлені вчасно, зрозумілий спосіб; масова пошта з посиланням на нову політику може не підозрювати, якщо зміни є значними. Розглянемо шаровані повідомлення, які забезпечують ключову інформацію, що передаються з деталями, доступні на запит.
Навчання та культура
Персонал з придбаної компанії — і існуючі працівники — навчання на політики конфіденційності об’єктів, процедур обробки даних та протоколів реагування на інциденти. Просування конфіденційності має бути частиною нового працівника, що бортає та посилюється через щорічні освіжувачі. Розглядаючи проектування офіцера захисту даних (DPO) або чемпіона з питань конфіденційності в кожному бізнес-блоці, щоб служити точку контакту для денних питань. Запуск настільних вправ, що обумовлюють порушення даних при інтеграції до ефективності реагування.
Моніторинг та проведення перевірок
Регулярні внутрішні перевірки — щоквартально за перший рік, потім щорічно — оцінити відповідність політики конфіденційності, договірних зобов’язань та нормативних змін. Використовуйте автоматизовані інструменти для моніторингу шаблонів доступу даних, несанкціонованих спроб передачі та узгодження термінів. Тримайте центральний реєстр всіх операцій з обробки, а оновлення його, коли нові процеси вводяться або старі. Регулятори все частіше очікують організацій, які здатні виробляти поточний ROPA на запит, а не підтримувати один може призвести до штрафів навіть якщо не виникло суттєве порушення. Також моніторити залучення регуляторного середовища — нові закони, такі як Закон про дані ЄС або запропонували Федеральне законодавство про конфіденційність США може накладати додаткові зобов’язання, які повинні бути інтегровані умови.
Висновок
Згода про конфіденційність даних під час придбання є багатошаровим завданням, який вимагає юридичної, технічної та оперативної координації. Підхід його систематично — починаючи з надійної перевірки, нетримання міцних контрактових захистів, планування інтеграції з обережністю та встановленням постійного управління —організації можуть захистити себе від суттєвої фінансової та репутаційної шкоди. Вартість отримання її неправильно занадто висока, але переваги отримання її права поширюється за межі ризику уникнення. Добре керовані сигнали щодо інтеграції конфіденційності для клієнтів, регуляторів, і ринку, який організація еквайринга є відповідальним кроком особистих даних — конкурентною перевагою в епоху, де довіра є валютою. Вбудувати успіх після того, як основний значення, не буде, що конфіденційності, не має значення, а також не має значення, а також не має значення, а також законний статус, а також не має значення, а також не має значення, а також не має значення, а також не має значення, а також законний статус, а також, а також не має значення, а також законний статус, а також не має значення, а також не має значення, а також не має значення, а також не має значення, а також не має значення,