PandaDoc GDPR合规的

2021年3月19日更新

它是什么,我们在做什么,你能做什么

《全球隐私权条例》于2018年5月25日生效,加强了对全球隐私权和合规的监督。我们,在PandaDoc,已经接受了GDPR要求,本指南旨在帮助我们的客户了解PandaDoc的GDPR立场。它并不是一本关于GDPR应用的详尽的专著,在阅读时应该记住这一点。

什么是GDPR?

《通用数据保护条例》(General Data Protection Regulation,简称GDPR)是欧洲数据保护和隐私法,于2016年4月14日通过,并于2018年5月25日正式生效。在采用和执行之间的两(2)年延迟是为了让组织有时间在执行之前做好准备。

《数据保护条例》是一项雄心勃勃的尝试,旨在加强、协调和现代化欧盟数据保护法,并提高个人权利和自由,这与欧洲将隐私视为基本人权的理解相一致。GDPR规定了个人和组织如何获取、使用、存储和删除个人数据。它取代了之前被称为指令95/46/EC(“指令”)的欧盟隐私指令,该指令一直是1995年至2018年初欧洲数据保护法的基础。与它的前身不同,《GDPR》立即适用于整个欧盟(“欧盟”),适用于所有成员国,而不需要进一步的成员国立法行动。

自2018年5月中旬以来,《GDPR》已经生效,没有进一步的“宽限期”。重要的是,受GDPR影响的组织现在要遵守其规定。

GDPR是如何工作的?

GDPR引入了许多原则和要求,因此完整地审查GDPR以确保充分理解其需求以及它们如何应用于您的组织是很重要的。尽管GDPR保留了《指令》确立的许多原则,但它引入了几个重要而雄心勃勃的变化。以下是我们认为与PandaDoc和我们的客户特别相关的几点:

  1. 扩大范围:GDPR适用于所有在欧盟境内建立或处理数据主体数据的组织,从而引入治外法权的概念,扩大了欧盟数据保护法的范围,远远超出了欧盟的边界。
  2. 扩展个人数据和特殊数据类别的定义。
  3. 个人权利的扩展:数据主体在GDPR中拥有几项重要权利,包括被遗忘权、反对权、纠正权、访问权和可移植权。如果您的机构正在处理“资料当事人”的个人资料,则必须确保它能够容纳这些权利。

4.更严格的同意要求:同意是GDPR的基本法律基础之一,组织必须确保同意是按照GDPR的要求获得的。除非有独立的法律依据,否则您的机构每次使用其个人资料时都需要获得其订户和联系人的同意。合规的途径是获得明确的同意。请记住:

5.严格的处理要求:个人有权获得有关处理其个人资料的“公平和透明”信息,包括:

它会影响谁?

如前所述,GDPR的领土范围非常广泛。两种最常见的GDPR地区适用条件是,GDPR适用于(1)在联盟内建立控制器或处理器的活动背景下对个人数据的处理,无论该处理是否在联盟内进行;(a)向联盟内的该等数据主体提供货物或服务,无论是否需要该数据主体支付款项;或(b)只要他们的行为发生在联盟内,就对其行为进行监控。后者是GDPR引入的“治外法权”原则——意思是,GDPR适用于任何处理数据主体个人数据的组织——不管它是在哪里建立的,也不管它的处理活动发生在哪里。这意味着GDPR可以适用于世界任何地方的任何组织,所有组织都应该进行分析,以确定他们是否在处理欧盟公民的个人数据。GDPR也适用于所有行业和部门。

以下是一些有助于理解GDPR广泛范围的定义。

什么是“数据主体”?

GDPR在下文讨论的“个人数据”定义中定义了数据主体。数据主体是可识别的自然人,可直接或间接地对其进行识别,特别是可通过引用一个标识符(例如姓名、识别号码、位置数据、在线标识符)或一个或多个特定于生理、心理、遗传、精神、经济、自然人的文化或社会身份。

数据主体不限于欧盟公民身份。这种影响在上述GDPR的地域应用中是明显的。在欧盟,在企业环境下处理个人数据的组织是指处理任何可识别的自然人的个人数据,而不管该自然人的物理位置——只要处理是在企业环境下进行的。不在欧盟设立,但向位于欧盟内的数据主体提供商品或服务的组织也属于GDPR。请注意,在这种情况下,除了适用于自然人,它还要求自然人在欧盟的实际存在。

什么是“个人资料”?

《通用条例》将个人数据定义为与已识别或可识别的自然人有关的任何信息;即可单独使用或与其他数据联合使用以识别数据主体的信息。考虑到这一定义的极其广泛的影响。个人数据现在不仅包括通常被认为具有个人性质的数据(如社会安全号码、姓名、物理地址、电子邮件地址),还包括IP地址、行为数据、位置数据、生物特征数据、财务信息等数据。这意味着,对于PandaDoc用户,组织收集的关于其订阅者和联系人的信息将被视为GDPR下的个人数据。同样重要的是要注意,即使是“假名”的个人数据也可以被视为个人数据,如果假名可以与任何特定的个人联系起来,所以在评估其申请时应该谨慎。根据GDPR将数据分类为个人数据,将要求组织遵守与涉及个人数据使用的广义上称为透明度的相关的某些职责和义务,其中包括其安全性。

特殊类别的数据,如健康信息或揭示一个人的种族或民族血统的信息,将需要在《GDPR》下得到更大的保护。组织不应该在PandaDoc帐户中存储这种性质的数据。

“处理”数据是什么意思?

《通用条例》下的处理是指“对个人资料或一组个人资料所进行的任何操作或一组操作,不论是否采用自动方法,例如收集、记录、组织、构造、储存、改编或更改、检索、谘询、使用、透过传送、传播或以其他方式提供、对齐或组合、限制、删除或毁灭。”基本上,如果您的组织正在收集、管理、使用或存储数据主体的任何个人数据,则它是在GDPR规定的含义内处理欧盟个人数据。这意味着,例如,如果其PandaDoc列表中包含任何data Subject的电子邮件地址、姓名或其他个人数据,那么您的组织是在GDPR下处理欧盟个人数据的。当然,GDPR的应用取决于满足上述地区的门槛要求。

请记住,即使您的组织不相信它的业务会受到GDPR的影响,GDPR及其基本原则对它仍然是重要的。欧洲法律倾向于为国际隐私监管设定趋势,现在增强的隐私意识可能会在以后给它带来竞争优势。

谁根据《通用条例》处理个人资料?

如果一个组织“处理”个人数据,它要么是作为Controller(控制器),要么是作为Processor(处理器),对于每一个组织都有不同的要求和义务。Controller是决定处理个人数据的目的和方法的组织。Controller还确定从数据主体收集用于处理的特定个人数据。处理器是代表控制器处理数据的组织。可以将处理器看作关系中的服务提供者或供应商。

GDPR并没有改变指令中Controller和Processor的基本定义,但它扩大了每一方的责任。控制人将保留数据保护的主要责任(包括,例如,向数据保护当局报告数据泄露的义务);然而,GDPR也将一些直接责任放在处理器上。重要的是要了解您的组织是作为控制器还是作为处理器,并相应地熟悉自己的职责。

在PandaDoc应用程序和我们相关服务的上下文中,在大多数情况下,我们的客户充当控制器。例如,我们的客户决定从他们的联系人或订户那里上传或转移哪些信息到他们的PandaDoc账户。PandaDoc如何处理个人数据如下所述。

PandaDoc如何遵守GDPR?

PandaDoc非常重视GDPR合规,并在其生效日期之前就开始了GDPR的准备工作。作为这个过程的一部分,我们审查(并在必要时更新)我们所有的内部过程、程序、系统和文档,以确保当GDPR生效时我们已经准备好了。合规不是一项静态的成就,需要在面对变化的环境和法律要求时保持警惕。

最近的一个变化涉及欧盟法院(“CJEU”)在被称为Schrems II裁决中的裁决。这一决定的核心是将个人数据从欧盟成员国转移到第三方国家,如美国。与指令一样,GDPR并没有包含任何具体要求,即欧盟公民的个人数据只能存储在欧盟成员国。相反,GDPR要求在将个人数据转移到欧盟以外之前,必须满足某些条件,确定了组织可以依赖的许多不同的法律依据来执行此类数据转移。GDPR规定的转移个人数据的一个法律依据是“适当决定”。适当决定是指欧盟委员会(European Commission)决定,在个人数据被转移的国家、地区或组织内,对个人数据存在适当程度的保护。Schrems II决议使跨大西洋向美国传输数据的适当性决定(即Privacy Shield II)无效。这一决定产生的另一个影响涉及在第三国或国际组织的控制人或处理人与个人数据的控制人、处理人或接收人之间使用“标准合同条款”(scc)。在“适当保障措施”标题下,个人资料的转移只能在有适当保障措施以及可强制执行的资料当事人权利和有效法律补救措施的情况下进行。在CJEU支持这项保障措施的有效性的地方,它为其使用设定了某些条件。

PandaDoc承诺遵守Schrems II决定的结果,以及未来任何其他法律授权,并正在监测事态发展,特别是关于欧洲数据保护委员会指导出版物和监管机构的意见。

根据我们的政策,我们随时准备解决客户根据GDPR提出的有关扩大个人权利的任何要求。一般来说,这些包括:

PandaDoc如何处理个人数据?

PandaDoc与其他企业一样,目前使用第三方子处理器提供各种业务功能,如业务分析、云基础设施、电子邮件通知、支付和客户支持。在与任何第三方子处理器接触之前,PandaDoc会进行尽职调查,评估其防御配置,并执行一项协议,要求每个子处理器保持最低可接受的安全实践。我们列出了我们Suprocessors在另一页上。我们将保持这个页面的最新,请定期检查,以获得所有更改的更新。

你需要遵守GDPR吗?

如上所述,GDPR具有广泛的域外影响,应该对其在组织业务中的应用给予适当的考虑。关于贵公司在GDPR下的合规义务的全部范围,我们必须强调,贵公司应咨询法律和其他专业顾问。

如果你不遵守会发生什么?

不遵守GDPR可能会导致巨额的经济处罚。对不合规的制裁可能高达2000万欧元,或全球年营业额的4%,以较高的为准。

我应该从哪里开始呢?

我们列出了下面的表格,以帮助我们的客户思考GDPR和他们的责任,以及PandaDoc如何融入到这个等式中。这份清单既不是独家的,也不是详尽的。

GDPR要求 GDPR参考 演员(s) 采取的行动
合法的基础上 第6条第11条 共享 PandaDoc:建立处理个人数据的合法基础。数据主体:如果合法基础是同意,则数据主体同意PandaDoc收集他们的数据。
处理儿童的个人资料 第八条 PandaDoc 不会区分不同类型的个人资料,亦不会有意收集儿童的个人资料。
设计数据保护 第二十五条 共享 PandaDoc:收集进行正常业务操作所需的最低个人数据。客户:管理PandaDoc平台内的内容。
数据保护影响评估 第三十五条 共享 PandaDoc:指定负责人员执行任何必要的数据保护影响评估。客户:确定与业务合作伙伴共享的内容级别,并可能作为处理器协助PandaDoc。
加密 第三十二条 共享 PandaDoc和客户(作为处理器):符合安全要求。个人资料在传输和静止时均使用AES-256位加密。
欧洲数据保护委员会 第68条 共享 PandaDoc和客户(作为处理器):监控欧洲数据保护委员会的活动
个人数据库存 第三十条 共享 PandaDoc和客户(作为处理器):遵守处理活动的记录要求。
擦除权 第十七条 共享 PandaDoc:指定负责人员应对任何行使该权利的行为。数据主体:行使PandaDoc规定的删除权。