Pandadoc的GDPR合规性

2019年4月5日更新

它是什么,我们正在做什么,以及你能做什么

GDPR于2018年5月25日开始实施,并加强了对全球隐私权和合规的监督。当GDPR要求生效时,我们就采纳了它,本指南旨在帮助我们的客户做到这一点。

什么是gdpr?

到目前为止,你可能已经听说过GDPR:一般数据保护条例,这是欧盟委员会在2016年批准的欧洲隐私法。GDPR取代了之前的欧盟隐私指令95/46/EC(“指令”),该指令是1995年至2018年初欧洲数据保护法的基础。

诸如GDPR等规定是一个结合行为,必须在整个欧盟整体中遵循。GDPR是一项试图加强,协调和现代化欧盟数据保护法,提升个人权利和自由,符合欧洲对隐私作为基本人权的理解。除其他外,GDPR还规定了个人和组织如何获得,使用,存储和擦除个人数据。它将对世界各地的企业产生重大影响。

GDPR什么时候生效?

GDPR于2016年4月通过,2018年5月25日正式生效。没有“宽限期”,因此受GDPR影响的组织现在必须遵守规定,这是很重要的。

它会影响谁?

GDPR的范围非常广泛。GDPR影响到(1)所有在欧盟建立的组织,以及(2)所有涉及处理欧盟公民个人数据的组织。后者是GDPR提出的“治外法权”原则;这意味着,GDPR适用于任何处理欧盟公民个人数据的组织,无论它是在哪里建立的,也无论它的处理活动是在哪里进行的。这意味着GDPR可以适用于世界任何地方的任何组织,所有组织都应该进行分析,以确定他们是否在处理欧盟公民的个人数据。GDPR也适用于所有行业和部门。

有一些定义将有助于了解GDPR广泛的范围。

什么是“个人资料”?

根据GDPR,个人数据是与识别或可识别的个人有关的任何信息;意思,可以使用或与其他数据一起使用的信息,以识别个人。考虑这一定义的极其广泛的范围。Personal data will now include not only data that is commonly considered to be personal in nature (e.g., social security numbers, names, physical addresses, email addresses), but also data such as IP addresses, behavioral data, location data, biometric data, financial information, and much more. This means that, for PandaDoc users, at least a majority of the information that you collect about your subscribers and contacts will be considered personal data under the GDPR. It’s also important to note that even personal data that has been “pseudonymized” can be considered personal data if the pseudonym can be linked to any particular individual.

敏感的个人数据,例如揭示一个人的种族或民族的健康信息或信息,将需要更大的保护。您不应该在Pandadoc帐户内存储本性的数据。

Pandadoc需要遵守GDPR吗?

Pandadoc在截止日期前开始良好的GDPR准备,并且作为这个过程的一部分,我们审查了(在必要时更新)我们所有内部流程,程序,系统和文档,以确保我们在GDPR生效时准备就绪。虽然我们的许多合规行动发生在幕后,但我们还致力于我们用户可见的许多举措。Pandadoc,其中包括:

我们还完成了一个SOC II类型2每年一次的考试。

此外,我们还将准备解决我们在GDPR下扩大个人权利的客户提出的任何请求:

你需要遵守gdpr吗?

您应该咨询法律和其他专业律师,就您的合规义务的全部范围。但一般来说,如果您是在欧盟或正在处理欧盟公民的个人数据的组织的组织,则GDPR将适用于您。

“过程”数据意味着什么?

根据GDPR,处理是“在个人数据或个人数据上执行的任何操作或一组操作,无论是通过自动手段,如集合,录制,组织,结构化,存储,适应或改变,检索,检索通过传输,传播或以其他方式提供,对准或组合,限制,擦除或破坏来咨询,使用,披露。“基本上,如果您正在收集,管理,使用或存储欧盟公民的任何个人数据,您正在处理GDPR规定的含义内的欧盟个人数据。例如,如果您的任何PandAdoc列表包含任何欧盟公民的电子邮件地址,姓名或其他个人数据,那么您正在GDPR下处理欧盟个人数据。

请记住,即使您不相信您的业务将受到GDPR的影响,GDPR及其潜在的原则可能对您来说仍然很重要。欧洲法律倾向于设定国际隐私法规的趋势,现在可以提高隐私意识可能会为您提供竞争优势。

Pandadoc使用第三方处理数据吗?

和其他业务一样,PandaDoc目前使用第三方子处理器提供各种业务功能,如业务分析、云基础设施、电子邮件通知、支付和客户支持。在与任何第三方子处理器合作之前,PandaDoc会进行尽职调查,评估它们的防御配置,并执行一项协议,要求每个子处理器保持最低可接受的安全实践。

我们上市了我们Suprocessors在一个单独的页面上。我们将保留此页面最新,请定期回复以获取所有更改的更新。

GDPR如何与指令不同?义务如何变化?

虽然GDPR保留了该指令建立的许多原则,但它引入了一些重要和雄心勃勃的变化。以下是我们认为与Pandadoc和我们的客户特别相关:

  1. 扩大范围:如上所述,GDPR适用于欧盟设立的所有组织或欧盟公民的处理数据,从而介绍了欧盟的概念,扩大了欧盟数据保护法的范围,超越了欧盟的边界。
  2. 扩展如上所述的个人和敏感数据的定义。
  3. 扩大个人权利:欧盟公民在GDPR下将拥有被遗忘权、反对权、修正权、进入权和便携权等重要的新权利。如果你在处理欧盟公民的个人数据,你必须确保你能适应这些权利。
    • 被遗忘的权利:个人可以要求组织删除该个体上的所有数据,而不会延迟。
    • 对象的权利:个人可能禁止某些数据使用。
    • 纠正权:个人可以请求完成不完整的数据或更正不正确的数据。
    • 访问权:个人有权知道自己的哪些数据正在被处理以及如何处理。
    • 可移植性的权利:个人可以要求将一个组织持有的个人数据运送到另一个组织。
  4. 更严格的同意要求:同意是GDPR的基本方面之一,组织必须确保根据GDPR严格的新要求获得同意。除非您可以依赖单独的法律依据,您将需要从订阅者和联系人获取同意,以获取其个人数据的每一个使用情况。遵守的路线是获得明确同意。请记住:
    • 同意必须针对不同的目的。
    • 沉默,预先填充的盒子或不活动不构成同意;数据受试者必须明确地选择其个人数据的存储,使用和管理。
    • 必须为不同的处理活动获得单独的同意,这意味着您必须清楚地了解如何在获得同意时使用数据。
  5. 更严格的处理要求:个人有权接收有关其个人数据处理的“公平和透明”的信息,包括:
    • 我们将在下面更详细地解释的数据控制器的联系方式。
    • 数据的目的:这应该是特定的(“目的限制”),并尽可能最小化(“数据最小化”)。您应该仔细考虑您收集的数据以及为什么能够验证到监管机构。
    • 保存期:这应该尽可能短(“存储限制”)。
    • 法律依据:您不能仅仅因为您想要处理个人数据。您必须具有“法律基础”,这样做,例如在处理合同的履行时,个人已同意(见上述同意要求),或者处理处于本组织的“合法利益”。

GDPR还有许多其他原则和要求,因此重要的是要完整地审查GDPR,以确保您对其要求充分了解其要求以及它们如何适用于您。

GDPR是否对跨境数据转移说出任何事情?

是的,GDPR包含条款,以解决从欧盟成员国转移到第三方国家/地区的个人数据,例如美国。然而,GDPR关于跨境数据转账的规定不会与指令下的规定无关不同。像指令一样,GDPR不包含任何特定要求,即欧盟公民的个人数据仅存在欧盟成员国。相反,GDPR要求在欧盟境外转移个人数据之前满足某些条件,识别组织可以依赖于执行跨境数据转账的许多不同的法律理由。

转让在GDPR中规定的个人数据的一个法律理由是“充足的决定”。充足的决定是欧盟委员会的决定,即在其转让的国家,领土或组织中存在足够的保护水平。

如果你不遵守何种会发生什么?

不遵守GDPR会导致巨额经济处罚。对不合规行为的处罚最高可达2000万欧元,或全球年营业额的4%,以两者中较高者为准。

无论您是控制器还是处理器,这是否重要?

如果您访问个人数据,您可以作为控制器或处理器,并且有不同的要求和义务,具体取决于您所在的类别。控制器是确定处理个人数据的目的和手段的组织。控制器还确定从数据主题收集的特定个人数据进行处理。

处理器是代表控制器处理数据的组织。

GDPR并没有改变控制器和处理器的基本定义,但它扩大了各方的责任。

控制人将保留数据保护的主要责任(包括,例如,向数据保护当局报告数据泄露的义务);然而,GDPR也将一些直接责任放在处理器上。因此,务必了解您是充当控制器还是充当处理器,并相应地熟悉自己的职责。

在Pandadoc应用程序和相关服务的背景下,在大多数情况下,我们的客户都作为控制器。例如,我们的客户决定了他们的联系人或订阅者的哪些信息被上传或转移到他们的Pandadoc帐户中。

GDPR要求 GDPR参考 行动 PandaDoc如何帮助
同意 第4(11)条、第7条 客户 用户同意Pandadoc将收集的信息。
处理儿童的个人资料 第12条 客户 Pandadoc不会区分不同类型的数据,也不会预期任何业务使用子数据的使用情况。
设计保障资料 第25条 共享 Pandadoc:负责开发一个平台,该平台收集最小的必要数据,以执行正常业务运营.Customer:负责管理内容上传并存储在我们的生态系统内。
数据保护影响评估 第35条 共享 Pandadoc:任命一个数据保护官员,以执行隐私影响评估,因为它与我们自己的平台相关.Customer:使用自己的指定人员熟练了解与商业伙伴分享的内容。
数据保护官员 第37条 共享 Pandadoc:任命一个数据保护官员,以执行隐私影响评估,因为它与我们自己的平台相关.Customer:使用自己的指定人员熟练了解与商业伙伴分享的内容。
加密 第32条 共享 PandaDoc:特定于客户机的数据使用AES-256位加密进行静态加密。
欧洲数据保护委员会 第68条 没有 只需监控欧洲数据保护板带来的更改。
个人数据库存 第30条 客户 用户控制上传和存储在我们的平台内的内容,必须根据包含在其中的内容记录。
pseudonmisation. 第4(5)条 客户 用户控制上传和存储在我们的平台内的内容,必须根据包含在其中的内容记录。对执行与pseudonamatation相关的任务负责。
擦除权 第17条 客户 用户可以完全控制他们上传、修改和删除的内容。