根据Infiniti Research 的报告,全球外包市场预计将在 2023 年至 2027 年间增长 750 亿至 890 亿美元,复合年增长率为 6.5%。
通过外包特定流程,甚至整个业务职能,公司可以专注于自己最擅长的领域,从而提高效率和生产力。然而,了解使用供应商的含义和责任非常重要,尤其是在可以访问个人资料。
供应商通常是指销售商品或服务的企业,但在通用数据保护条例(GDPR),供应商是有权访问个人数据的合作伙伴、供应商和第三方。
数据保护法要求组织保障正在处理的任何个人数据的安全,不遵守规定可能会导致声誉受损和受到处罚。因此,确保您的签约供应商也遵守必要的数据保护法规至关重要。
在这篇博客中,我们解释了数据控制者和加工商,并深入研究供应商尽职调查过程,为您提供保持符合 GDPR 的必要步骤。
请注意,当我们在此处提及 GDPR 时,我们指的是欧盟通用数据保护条例 (GDPR)和英国GDPR。尽管两者之间存在一定的差异,但为了讨论的目的,我们将使用 GDPR 作为统称来代表这两项法规。
GDPR 合规性:数据控制者和处理者
在确定处理个人数据的不同角色和 目标电话号码或电话营销数据 责任级别时,GDPR 区分了“控制者”和“处理者”两个术语:
- “控制者”是指决定如何以及为何收集和使用个人数据的个人或组织(即控制者决定收集和使用个人数据的方式和原因)。处理目的)
- “处理者”是指根据控制者的指示处理个人数据的个人或组织
控制者对正在处理的个人数据实施全面控制,因此承担最高级别的合规责任。
处理者对个人数据的整体控制权较少,但负责确保数据处理符合控制者的指示。处理者还承担一些直接的法律义务,包括在发生数据泄露时通知控制者、确保实施适当的数据安全措施以及保存数据处理操作的记录。
从实际角度来说这意味着什么?请考虑以下场景:
一家医疗保健公司(控制者)收集欧洲患者的个人数据以提供医疗服务。这些数据在第三方云存储平台(处理者)上存储和管理,包括姓名、地址和病史等信息。
在上面的例子中,医疗保健公司必 英国 7 款最佳小花园桌 须确保严格按照 GDPR 处理所收集的任何个人数据。这包括提供明确的隐私声明,确保根据 GDPR 处理个人数据。适当的合法依据,并保障数据安全,包括将个人数据转移到欧盟以外。
在与第三方云存储公司合作之前,医疗保健公司需要评估云存储公司的数据保护实践并识别任何风险。在云存储公司获得任何个人数据的访问权限之前,必须降低或减轻这些风险。
签订合同后,云存储公司必须遵循医疗保健公司的指示,确保保障措施到位。除了其他责任外,如果不幸发生数据泄露,云存储公司必须毫不拖延地通知医疗保健公司,最好是在允许控制者减轻其数据主体面临的任何风险的时间范围内。我们通常会在合同条款中看到“在意识到违规行为后的 48 小时内”,但这应该根据具体情况进行评估。
值得注意的是,GDPR 仅允许控制者在获悉信息泄露后 72 小时内个人资料泄露向相关监管机构报告违规行为。如果违规行为可能导致对个人权利和自由产生不利影响的高风险,控制者还必须通知这些个人。
供应商尽职调查对于控制者来说是一个至关重要的过程
根据 GDPR 第 28 条第 (1) 款,控制者有义 bo 目录 务确保处理者提供充分保证,以保证其数据处理符合 GDPR 的要求并保障数据主体的权利。
这意味着,作为控制者,您有责任在与特定供应商合作时保护客户的数据免受额外风险。因此,评估供应商是否可靠地严格遵守数据保护法来管理数据至关重要。
此外,您需要确保供应商不会损害您自己的系统和数据,特别是在系统集成或连接的情况下。
有效的尽职调查流程应包括审查供应商的政策和程序框架、运营基础设施和数据安全措施。可以识别和降低风险,以确保个人数据的处理符合控制者的标准和 GDPR 要求。