contract-law
Luật riêng tư về việc kinh doanh của ông già Nô - en
Table of Contents
Luật riêng tư về việc kinh doanh của ông già Nô - en
Các quy định cá nhân về cơ bản đã thay đổi địa hình của hợp đồng kinh doanh. Các tổ chức bây giờ đối mặt với một mạng lưới các nhiệm vụ phức tạp khi xử lý dữ liệu cá nhân, và những nhiệm vụ này phải được dệt thành gần như mọi thỏa thuận thương mại liên quan đến tập hợp, xử lý, hoặc chia sẻ thông tin cá nhân. Việc không thể giải quyết các yêu cầu riêng tư trong hợp đồng có thể dẫn đến hình phạt nghiêm trọng, kiện tụng, và thiệt hại lâu dài. Theo các [FTTTT: 0] Báo cáo dữ liệu sai lệch [FL], mã hóa Dữ liệu [FL], điều khiển: hành động định giá trung bình của dữ liệu [FTTTTT] và xác định lại].
Luật pháp riêng lập ra
Trong thập kỷ vừa qua, sự lo ngại về việc bảo vệ dữ liệu đã thúc đẩy các quy định về việc thực hiện luật bảo vệ quyền riêng tư nghiêm ngặt trên toàn thế giới. Việc GDPR, hiệu quả vào ngày 20 - 5 - 2018, đặt dấu chấm điểm trên toàn cầu bằng cách đưa ra luật phạt cho 4% số lượt thay đổi toàn cầu, [FT: quyền hạn của người tiêu dùng và các trách nhiệm nghiêm ngặt áp đặt trên các quyền hạn mới. Trong các cơ quan chức của Hoa Kỳ, các tu chính phủ CC (FTTTTT) và các sửa sau đó như [FTTTTTTTT: 0] Luật [FTTTTTTTTTTT] cho phép bảo vệ quyền riêng [V] của người dân bản quyền (B] [V], Bản quyền bảo vệ quyền quốc gia: [FT] [FT] [FT]
Những luật này chia sẻ những mục tiêu chung: cho cá nhân quyền kiểm soát dữ liệu của họ, cần phải minh bạch và áp đặt trách nhiệm đối với việc quản lý dữ liệu. Đối với doanh nghiệp, kết quả là môi trường hợp đồng thay đổi rõ rệt. Mỗi thỏa thuận liên quan đến dữ liệu cá nhân, dù với nhà cung cấp, khách hàng, hoặc đối tác - phải bao gồm những điều khoản ủy nhiệm, xác định tiêu chuẩn bảo mật và các giao thức đáp ứng bị hỏng. Ủy ban thương mại [FL: 0] [FL: 0] cũng tăng cường khả năng thi hành đối với các công ty không thực hiện được hứa hẹn, làm cho các công ty khác có quyền tự do riêng tư, và hợp đồng hành hợp đồng ủy nhiệm.
Luật pháp riêng tư ảnh hưởng thế nào đến việc hợp tác với ông già Nô - en
Bên dưới, chúng tôi chi tiết các điều khoản đã bị ảnh hưởng nhất, cùng với những sự cân nhắc thực tế cho việc soạn thảo và thương lượng.
1.
Hợp đồng bao gồm một bên xử lý dữ liệu thay cho người khác - chẳng hạn, một nhà cung cấp dịch vụ che mây, một bộ vi xử lý lương, hoặc một công ty marketing - phải xác định rõ ràng phạm vi, mục đích, và thời gian xử lý. Dưới GDPR, một [FLT: 0] thỏa thuận xử lý dữ liệu (DPA) [FLT: 1] [DPA] [bắt buộc phải, và phải bao gồm tự nhiên và mục đích xử lý, loại dữ liệu liên quan đến chủ thể, và các nghĩa vụ của người điều khiển. Có những yêu cầu tương tự trong CPA, ủy nhiệm là các nhà cung cấp bị hạn chế, giữ lại, hoặc sử dụng thông tin cá nhân cho bất kỳ mục đích nào khác để thực hiện các dịch vụ này và các hoạt động cá nhân được xác định.
Các yếu tố then chốt để bao gồm trong một DPA:
- Description về các hoạt động xử lý – một tuyên bố rõ ràng về những gì dữ liệu sẽ được xử lý, mục đích nào và bởi ai. Điều này nên đủ cụ thể để chịu đựng việc kiểm duyệt lại.
- Hướng dẫn xử lý – bộ điều khiển dữ liệu phải cung cấp hướng dẫn có ghi chép mà bộ xử lý phải làm theo. Hướng dẫn đa năng tạo ra khoảng cách trách nhiệm.
- Bộ thu nhỏ ) – những điều khoản giới hạn bộ sưu tập vào những điều cần thiết cho mục đích đã thỏa thuận và cấm bộ vi xử lý dùng dữ liệu vì lợi ích riêng.
- Xử lý — những điều khoản cần thiết phải được chấp thuận hoặc thông báo trước khi tham gia vào subcontrators, cùng với các nghĩa vụ xuống dòng chảy để gắn các bộ xử lý phụ với cùng tiêu chuẩn.
- Thiết lập lại và xoá ) – thời gian biểu để trở lại hoặc xóa sạch dữ liệu cá nhân sau khi hợp đồng chấm dứt, với sự xác nhận xóa.
Mẹo thực tế: Nhiều tổ chức hiện nay kết hợp một DPA năng động tự động cập nhật khi các quy tắc thay đổi, ngăn cản sự trì trệ hợp đồng. Chẳng hạn, [FLT: 0] [FLT: 0] [FLT: 1] đòi hỏi người ta phải ghi và thực hiện trước khi bắt đầu xử lý.
2. biện pháp bảo mật
Luật pháp áp dụng một nhiệm vụ pháp lý để thực hiện các biện pháp kỹ thuật và tổ chức thích hợp để bảo vệ dữ liệu cá nhân. Hợp đồng phải phản ánh nhiệm vụ này bằng cách chỉ định các thực hành bảo mật mỗi bên đồng ý duy trì. GDPR, chẳng hạn, yêu cầu bộ điều khiển và bộ xử lý để thực hiện các biện pháp như giả lập, mã hóa và kiểm tra an ninh thường xuyên. CCPA không phải là một quyền riêng biệt quy định các biện pháp bảo mật nhưng tạo ra các lỗ hổng dữ liệu kết quả từ việc không giữ an toàn hợp lý. Việc hỗ trợ hỗ trợ hỗ trợ hỗ trợ hỗ trợ hỗ trợ hỗ trợ hỗ trợ này bằng cách yêu cầu các doanh nghiệp để thực hiện các thủ tục và thực hiện các thủ tục bảo mật hợp lý.
Điều khoản hợp đồng nên:
- Xác định mức an ninh tối thiểu (e.g.), ISO 27001 certification, SOC 2 báo cáo loại II, hoặc khuôn khổ iST.
- Cần phải có đánh giá rủi ro tuần hoàn và kiểm tra thâm nhập, với kết quả được chia sẻ khi yêu cầu.
- Yêu cầu các bên thông báo cho nhau về bất kỳ sự cố an ninh nào trong một khung thời gian được xác định theo quy định 24 đến 48 giờ.
- Bao gồm cả quyền kiểm tra để xác minh sự tuân thủ, với sự chú ý hợp lý và giới hạn trong phạm vi.
- Dữ liệu địa chỉ mã hóa cả lúc nghỉ và khi chuyển, chỉ định các thuật toán và quản lý khóa.
- Cần bộ xử lý để duy trì một kế hoạch phản ứng toàn diện của sự việc.
Ngày càng có nhiều hợp đồng bao gồm các thỏa thuận cấp độ dịch vụ (SLAs) cho an ninh, với hình phạt cho sự không đáp ứng. điều này chuyển đổi an ninh từ mục kiểm tra sang một nghĩa vụ hợp đồng có thể xác định.
Thông báo ngắt
Thông báo chậm trễ về các lỗ hổng dữ liệu là nền tảng của luật bảo mật cá nhân hiện đại. GDPR ra lệnh thông báo cho chính quyền giám sát trong vòng 72 giờ với ngoại lệ hạn chế. CCPA yêu cầu thông báo các doanh nghiệp không trì hoãn quá nhiều sau khi phát hiện ra một sự vi phạm thông tin cá nhân. Thông báo vi phạm quốc gia trong 50 tiểu bang thêm phức tạp hơn, mỗi nhiệm vụ có dòng thời gian và nội dung riêng. Những nhiệm pháp lý này phải được phản ánh trong hợp đồng để đảm bảo mỗi bên hiểu rõ nghĩa vụ báo cáo và thông báo thông báo xuống dưới.
Điều khoản thông báo vi phạm hợp đồng nên bao gồm:
- Định nghĩa một lỗ hổng ) – liên kết với luật thích hợp; xem xét bao gồm những lỗ hổng bị tình nghi là sự kiện gây ra.
- Thời gian thông báo ) – thường 24 đến 48 giờ để thông báo ban đầu cho bên ký tự khác, tiếp theo là thông tin chi tiết trong vòng thời gian dài hơn (72 giờ đến 7 ngày).
- Đối chiếu thông báo – thông tin nào cần được cung cấp: bản chất của sự vi phạm, loại dữ liệu bị ảnh hưởng, số người bị va chạm, hành động chữa trị lại và điểm liên lạc.
- nghĩa vụ hợp tác — nghĩa vụ giúp điều tra, giảm thiểu và ghi lại sự vi phạm cho việc nộp đơn quy định.
- Theo định vị — những người chịu trách nhiệm về việc thông báo, kiểm tra tín dụng và điều trị.
Thực tế, chúng tôi đề nghị thiết lập một mẫu thông báo đã được chuẩn bị trước và bao gồm cả phần phụ lục cho hợp đồng.
4 Sự thỏa thuận và thiếu trách nhiệm
Hợp đồng phải phân bổ trách nhiệm cho việc tuân theo luật riêng tư thích hợp, bao gồm việc xác định đảng nào là “người điều khiển dữ liệu, hoặc“ thương mại so với bộ xử lý thông tin (DPIAs) hoặc “người cung cấp dịch vụ dưới chế độ thích hợp. Việc phân loại quyết định ai có nghĩa vụ chính, như đáp ứng yêu cầu tiếp cận dữ liệu, điều khiển sự bảo vệ dữ liệu ảnh hưởng đến việc đánh giá (DPIAs), và giữ hồ sơ xử lý sai lệch có thể dẫn đến trách nhiệm điều khiển cả hai bên.
Nhiều tổ chức ngày nay cũng đã phát triển những điều khoản không xác định được, nhưng cần phải cẩn thận soạn thảo những điều khoản này để tránh những sự xung đột về pháp lý về việc không xác định sự mất mát. Chẳng hạn, dưới CCPA, các nhà cung cấp dịch vụ không thể thay đổi trách nhiệm vì vi phạm luật riêng tư của họ. Tương tự, những điều khoản điều khiển của GDP có thể ngăn cản sự phân bổ đầy đủ.
Hãy xem xét một điều khoản cần thiết để không xác định bên để thông báo cho bên kia của bất kỳ điều tra điều chỉnh hoặc yêu cầu bên thứ ba liên quan đến xử lý dữ liệu. điều này cho phép đảng không xác định để quản lý chiến lược phòng thủ và giải quyết của riêng mình.
5 Dữ liệu truyền qua cơ khí
Việc chuyển giao dữ liệu quốc tế đã trở thành một trong những vấn đề khó khăn nhất. Sau khi khung khiên bảo vệ không hiệu lực (Screm II), các công ty phải dựa vào [FLT: 0] để chuyển dữ liệu cá nhân từ vùng kinh tế châu Âu (ECCs) hoặc [FLT: 1] [FLT2] quy tắc điều khiển công ty (BCRRs] [FLT: 3) sang các quốc gia Châu Âu (EC) để cập nhật các cấu trúc bao gồm các công cụ điều khiển-máy điều khiển-máy tính, và các hệ thống kiểm soát- xử lý- vi xử lý, và các yếu tố tương tác động bởi các giao thức (EPB.A) có thể can thiệp với các yếu tố tương tác động đến các giao thức tập đoàn khác nhau.
Hợp đồng bao gồm các dòng dữ liệu xuyên biên giới phải tham khảo rõ ràng các cơ chế này và bao gồm các biện pháp bổ sung nơi cần thiết. [FLT: 0] khuyến nghị về các biện pháp cung cấp một sơ đồ đường để đánh giá độ bảo vệ ở các quốc gia thứ ba.
Ông già Noel nên che đậy:
- Nhận diện cơ chế chuyển nhượng (SCCs, BCRs, do Ủy ban Châu Âu quyết định thiếu hài lòng).
- Bắt buộc phải thực hiện một đánh giá tác động của việc chuyển nhượng (TIA) trước khi việc chuyển nhượng bắt đầu và thường xuyên sau đó.
- Yêu cầu chuyển tiếp cho các bộ phận phụ, bao gồm cả việc giảm bớt trách nhiệm SCC.
- Quyền hạn chế nếu cơ chế chuyển nhượng không được hiệu quả, hoặc nếu bên nhận không thể đảm bảo mức độ bảo vệ tương đương của nó, thì điều khoản “tọa định ”.
Thử thách trong hợp đồng đa nguyên
Việc tuyển dụng các hợp đồng bảo mật cá nhân trở nên phức tạp hơn khi liên quan đến các thẩm quyền. Các yêu cầu xung đột có thể nảy sinh. Chẳng hạn, các nguyên tắc thu nhỏ dữ liệu của GDPR có thể mâu thuẫn với các quy tắc bảo vệ dữ liệu địa phương tại một số quốc gia. Việc công ty CCPA định nghĩa “thông tin cá nhân bao gồm những thông tin cá nhân được rút ra từ dữ liệu, trong khi các luật khác phân loại dữ liệu bị phân loại một cách rộng rãi hơn. Hơn nữa, các ưu tiên thực thi hành khác nhau: thẩm quyền bảo vệ dữ liệu của Hà Lan đặc biệt là tại DPA, trong khi Cơ quan Bảo vệ Tự do California (CP) đã tập trung vào các cơ quan bảo vệ quyền tự do (CP) có những cơ quan tối ưu tiên tối ưu và tối ưu.
Các doanh nghiệp hoạt động qua biên giới phải chấp nhận một [FLT: 0] phương pháp giảm ]:
- Dùng “những điều khoản không chính xác cho biết hợp đồng sẽ được giải thích là tuân theo luật về sự riêng tư khắt khe nhất.
- Cũng có những điều khoản tự động cập nhật để phản ánh những thay đổi trong luật pháp, tránh thỏa thuận lại mỗi lần một điều khoản được sửa đổi.
- Bắt buộc luật sư địa phương để xác minh rằng các điều khoản hợp đồng có thể được thực thi trong mỗi thẩm quyền liên quan, đặc biệt là cho việc phân bổ và chuyển dữ liệu.
- Hãy cân nhắc việc chấp nhận một sự bảo vệ dữ liệu toàn cầu mà kết hợp SCCs và các cơ chế chuyển giao khác khi cần thiết, cùng với một lịch trình cụ thể có thẩm quyền mà vượt quá các quy định chung của luật địa phương.
Các thực hành tốt nhất để tuyển dụng hợp đồng bảo mật
Với các rủi ro, các tổ chức nên áp dụng một phương pháp có hệ thống để kết hợp sự riêng tư vào hợp đồng của họ.
- Bắt đầu tập tin bản đồ dữ liệu – hiểu dữ liệu cá nhân nào chảy vào, thông qua, và ra khỏi mỗi mối quan hệ hợp đồng. Bước dựa trên cơ sở này thông báo cho mọi thỏa thuận khác.
- Dùng mẫu chuẩn – phát triển các điều khoản nồi hơi cho DPAs, biện pháp bảo mật và thông báo lỗ hổng, nhưng cho phép tùy chỉnh tùy chỉnh dựa trên các hoạt động xử lý dữ liệu riêng. Tránh dùng một ngôn ngữ có thể không thích hợp với tiến trình xử lý thật.
- Sớm — nên thảo luận về sự riêng tư trong lúc thương lượng ban đầu, không thêm vào như là sau. Việc này ngăn cản những điều khoản có thể làm gián đoạn dòng thời gian và làm suy yếu sự bảo vệ.
- Sự linh hoạt trong việc thay đổi điều chỉnh tương lai – thêm điều khoản cần thiết các bên hợp tác trong các thỏa thuận cập nhật để tuân theo luật mới mà không cần phải có sự thỏa thuận lại đầy đủ.
- Dấu hiệu trách nhiệm nội bộ ) – chỉ ra một nhân viên tư nhân hoặc thành viên pháp lý để xem xét tất cả các hợp đồng liên quan đến dữ liệu cá nhân trước khi thực hiện. Người này nên có thẩm quyền ngăn chặn các hợp đồng không phụ thuộc.
- Người quản lý và kiểm toán ) – thường xuyên kiểm tra nhà cung cấp và nhà cung cấp dịch vụ để xác nhận họ đang hội đủ những trách nhiệm riêng tư và an ninh liên quan đến việc lập kế hoạch hành động và hủy bỏ quyền lợi cho những thất bại lặp đi lặp lại.
Những cuộc đụng độ trong tương lai
Luật riêng tư tiếp tục phát triển nhanh. Việc ban hành các luật pháp toàn diện trong [FLT] Kingdomdo, bang Connecticut, bang Connecticut, Iowa, Iowa, và những điều lệ khác tại Hoa Kỳ - một số thời điểm được gọi là “min-CCPAs-CPA - sẽ sớm tạo ra một bản lề các yêu cầu, tăng các điều khoản chi tiết và thích nghi.
Trong khi đó, Ủy ban Châu Âu đang thực hiện các quyết định phân biệt và cập nhật tiềm năng cho GDPR, bao gồm quy tắc ePrivacy Region sẽ ảnh hưởng đến việc chấp thuận cookie và các hợp đồng tiếp thị trực tiếp. Việc sử dụng [FLT: 0] đã tự động đưa ra quyết định và AI sẽ đưa ra những thách thức hợp đồng mới: các bên phải quyết định cách quản lý việc sử dụng dữ liệu cá nhân trong việc học mô hình máy tính, bao gồm quyền giải thích và tối ưu. Đạo luật E's AI, một khi đã ký kết thúc, sẽ áp dụng các yêu cầu thêm cho các hệ thống rủi ro lớn nhất mà hệ thống A.
Trong năm 2022, Bộ Bảo vệ Dữ liệu Hà Lan đã phạt một công ty vì công ty DPA với một bộ xử lý đã bị mơ hồ và thiếu các biện pháp bảo mật cụ thể. vào năm 2023, Ủy ban bảo vệ dữ liệu Ireland phạt một công ty công nghệ lớn vì không đảm bảo rằng các sự sắp xếp hợp đồng với các tiêu chuẩn GDPR.
Kết thúc
Luật cá nhân đã thay đổi về cơ bản cảnh quan của việc soạn thảo và thương lượng kinh doanh. từ việc xử lý dữ liệu đến việc phá vỡ thời gian thông báo và cơ chế chuyển giao chéo, mỗi điều khoản phải phản ánh thực tế hợp pháp của bảo vệ dữ liệu. tổ chức mà đầu tư vào các hợp đồng bảo mật, không chỉ tránh khỏi các hình phạt chính thức mà còn xây dựng lòng tin với khách hàng, đối tác, đối tác và khách hàng. khi các quy định cá nhân tăng và tiến hóa, sự xem xét và cập nhật liên tục các điều khoản sẽ là thiết yếu. bằng cách duy trì thông tin và chủ động doanh nghiệp có thể hợp tác với một lợi thế đối với các đối thủ.
Để đọc thêm, hãy nhắc đến văn bản chính thức GDPR ), [FLT: 1], PA , và hướng dẫn từ Ủy ban Thương mại về dữ liệu bảo mật. Ngoài ra, [FL:6] hướng dẫn [FL:] [FL: 7] [FL: 7] [FL: 7], bản dịch sát] cung cấp cách giải thích cần thiết cho việc chuyển giao tiếp qua lại.