Pandadoc的GDPR合规性

Updated 3月19日,2021年

它是什么,我们正在做什么,以及你能做什么

GDPR于2018年5月25日成为强制性,并增加了全球隐私权和遵守的监督。我们在Pandadoc,拥有GDPR的要求,本指南旨在帮助客户了解Pandadoc的GDPR姿势。它并非旨在作为GDPR应用的彻底论文,并应记住这一点。

什么是gdpr?

一般数据保护规则(“GDPR”)是2016年4月14日通过的欧洲数据保护和隐私法,该法律于2018年5月25日开始正式强制执行。200(2)年通过和执法之间的延迟旨在为组织提供时间来准备执法。

GDPR是一种雄心勃勃的企图,加强,协调和现代化欧盟数据保护法,提升个人权利和自由,符合欧洲对隐私的理解作为基本人权。除其他外,GDPR还规定了个人和组织如何获得,使用,存储和擦除个人数据。它取代了先前的欧盟隐私指令,称为指令95/46 / EC(“指令”),该指令是从1995年到2018年初的欧洲数据保护法的基础。与其前身不同,GDPR在整个欧洲人内申请联盟(“欧盟”)在所有成员国跨越任何成员国,无需进一步的成员国立法行动。

自2018年5月中旬以来,GDPR一直存在,没有进一步的“宽限期”。重要的是,由GDPR影响的组织现在符合其规定。

GDPR如何工作?

GDPR引入了许多原则和要求,因此重要的是要完整地审查GDPR,以确保完全了解其要求以及它们如何适用于您的组织。虽然GDPR保留了该指令建立的许多原则,但它引入了一些重要和雄心勃勃的变化。以下是我们认为与Pandadoc和我们的客户特别相关:

  1. 扩大范围:GDPR适用于在欧盟建立的所有组织或数据受试者的处理数据,从而引入外部环境的概念,以及扩大欧盟数据保护法的范围,远远超出了欧盟的边界。
  2. 扩展个人数据和特殊数据类别的定义。
  3. 个人权利的扩张:数据受试者在GDPR下有几个重要权利,包括遗忘的权利,对象的权利,纠正权,获取权,可移植性的权利。如果它正在处理数据对象的个人数据,您的组织必须确保它可以适应这些权利。

4.更严格的同意要求:同意是GDPR的基本法律基础之一,组织必须确保根据GDPR的要求获得同意。您的组织将需要从其订阅者和联系人获取同意,以便为其个人数据的每次使用,除非它可以依赖单独的法律依据。遵守的路线是获得明确同意。请记住:

5.严格的处理要求:个人有权获得关于其个人数据处理的“公平和透明”的信息,包括:

它会影响谁?

如上所述,GDPR的领土范围非常广泛。应用程序的两个最常见的GDPR领土条件是,GDPR将(1)应用于在联盟中建立控制器或处理器的活动的上下文中处理个人数据,无论处理是否发生联盟与否;(2)加工(a)货物或服务的提供,无论是否需要支付数据主体,都需要支付数据主体,以此的这些数据受试者;或(b)立即监测其行为在联盟内部发生的行为。后者是GDPR的介绍“artriteArtariality”的原则 - 意思,GDPR适用于任何组织处理数据主体的个人数据 - 重新建立的地方,无论其加工活动发生在哪里。这意味着GDPR可以向世界任何地方适用于任何组织,所有组织都应履行分析,以确定他们是否正在处理欧盟公民的个人数据。GDPR还适用于所有行业和部门。

以下是一些将有助于理解GDPR广泛的范围。

什么是“数据主题”?

GDPR在其下面讨论的“个人数据”定义中定义了数据主题。数据主题是可以直接或间接地识别,特别是通过引用诸如名称,标识号,位置数据,在线标识符或特定于物理特定的一个或多个因素的标识的自然人自然人的心理,遗传,精神,经济,文化,文化或社会形式。

数据主体不仅限于欧盟公民身份。在上述GDP的领土应用中,这对这方面的影响是显而易见的。在欧盟建立的内容下处理个人数据的组织意味着无论自然人的物理位置如何,任何可识别自然人的个人数据处理 - 如果处理是在建立的背景下。在欧盟未建立的组织,但向位于欧盟范围内的数据科目提供商品或服务也属于GDPR。请注意,在这种情况下,除了其应用于自然人之外,它还要求自然人在欧盟身体上物理存在。

什么被认为是“个人数据”?

GDPR将个人数据定义为与识别或可识别的自然个人有关的任何信息;意思,可以使用的信息或与其他数据一起使用,以识别数据主题。考虑这种定义的极其广泛的途径。Personal Data now includes not only data that is commonly considered to be personal in nature (e.g., social security numbers, names, physical addresses, email addresses), but also data such as IP addresses, behavioral data, location data, biometric data, financial information, and much more. This means that, for PandaDoc users, information that an organization collects about its subscribers and contacts will be considered Personal Data under the GDPR. It’s also important to note that even Personal Data that has been “pseudonymized” can be considered Personal Data if the pseudonym can be linked to any particular individual, so due care should be made when evaluating its application. Classification of data as Personal Data under the GDPR will require Organizations to comply with certain duties and obligations relating to what can broadly be termed transparency involving the use of that Personal Data – and this includes its security.

特别类别的数据,例如揭示一个人的种族或民族的健康信息或信息,将在GDPR下需要更大的保护。组织不应在Pandadoc帐户内存储本性的数据。

“过程”数据意味着什么?

GDPR下的处理是“在个人数据或个人数据上执行的任何操作或操作集,无论是通过自动手段,如集合,录制,组织,结构化,存储,适应或改变,检索,通过传输,传播或以其他方式提供,对准或组合,限制,擦除或破坏来咨询,使用,披露。“基本上,如果您的组织正在收集,管理,使用或存储任何数据主体的任何个人数据,则它正在处理GDPR规定的含义内的欧盟个人数据。例如,这意味着,如果其任何PandAdoc列表包含任何数据主题的电子邮件地址,名称或其他个人数据,则您的组织正在GDPR下处理欧盟个人数据。当然,在满足以上解释的阈值领土要求的情况下,GDPR的应用在于。

请记住,即使您的组织不相信其业务将受到GDPR的影响,GDPR及其潜在的原则可能仍然对其很重要。欧洲法律倾向于设定国际隐私监管的趋势,现在可以提高隐私意识可能会在以后给予竞争优势。

世卫组织在GDPR下处理个人数据?

如果组织的个人数据,则它确实如控制器或处理器,并且每个都有不同的要求和义务。控制器是确定处理个人数据的目的和手段的组织。控制器还确定从数据主题收集的特定个人数据进行处理。处理器是代表控制器处理数据的组织。将处理器视为关系中的服务提供商或供应商。

GDPR没有改变指令中发现的控制器和处理器的基本定义,但它扩大了各方的职责。控制人员将保留对数据保护的主要责任(例如,义务向数据保护当局报告数据违约);但是,GDPR确实在处理器上放置一些直接责任。重要的是要了解您的组织是否充当控制器或处理器,并相应地熟悉您的职责。

在Pandadoc应用程序和相关服务的背景下,在大多数情况下,我们的客户都作为控制器。例如,我们的客户决定了他们的联系人或订阅者的哪些信息被上传或转移到他们的Pandadoc帐户中。Pandadoc如何处理个人数据如下所示。

Pandadoc如何遵守GDPR?

Pandadoc非常认真地掌握GDPR合规性,并在其生效日期之前开始良好的GDPR准备。作为此过程的一部分,我们审核了(并在必要时更新)我们所有的内部流程,程序,系统和文档,以确保我们在GDPR生效时准备好了。合规性并不是一种静态成就,在面对变更的情况和法律要求时授权监督警惕。

最近的一项变革涉及欧盟(“CJEU”)判决在被称为Schrems II决定的情况下裁决的法院。该决定围绕欧盟成员国向第三方国家的个人数据转移到美国。像指令一样,GDPR不包含任何特定要求,即欧盟公民的个人数据仅存在欧盟成员国。相反,GDPR要求在欧盟外部转移个人数据之前满足某些条件,识别组织可以依赖于执行此类数据转账的许多不同的法律理由。转让在GDPR中规定的个人数据的一个法律理由是“充足的决定”。充足的决定是欧盟委员会的决定,即在其转让的国家,领土或组织中存在足够的保护水平。Schrems II决定使跨大西洋数据转移到称为隐私盾牌II的跨大西洋数据转移的充分决定失效。由此决策产生的另一个影响涉及在第三国或国际组织中使用控制器或处理器和控制器,处理器或个人数据的控制器,处理器或接收者之间使用“标准合同条款”(SCCS)。SCCS是一个通常依赖于在“适当的保障措施”下的法律理由,如果适当的保障措施,只能发生个人数据的转移,并且可以使用可执行的数据主体和有效的法律补救措施。在CJEU维护了这项保障核算的有效性的地方,它为其使用建立了某些条件。

Pandadoc致力于遵守Schrems II决定的结果,以及未来的任何其他法律授权,并监测发展 - 特别是关于欧洲数据保护委员会指导出版物和监督权威意见。

正如我们的政策,我们准备好解决了我们客户在GDPR下扩大个人权利相关的任何要求。一般来说,这些包括:

Pandadoc如何处理个人数据?

Pandadoc,就像任何其他业务一样,目前使用第三方子处理器提供各种业务功能,如业务分析,云基础架构,电子邮件通知,付款和客户支持。在与任何第三方子处理器接合之前,Pandadoc执行尽职调查,以评估他们的防御性处理,并执行需要每个子处理器维持最低可接受安全实践的协议。我们上市了我们的surocessors.在一个单独的页面上。我们将保留此页面最新,请定期回复以获取所有更改的更新。

你需要遵守gdpr吗?

如上所述,GDPR具有广泛的地际范围,应当应考虑在您的组织业务中的应用。我们不能强调,您应该在GDPR下的组织合规义务的全部范围内咨询法律和其他专业律师。

如果你不遵守何种会发生什么?

不遵守GDPR可能导致巨大的经济处罚。对不合规的制裁可以高达2000万欧元或4%的全球年度营业额,以较高者为准。

我应该在哪里开始?

我们已经包含下表,以帮助客户考虑GDPR及其职责以及Pandadoc如何进入等式的因素。此列表既不是独特的也不是详尽无遗。

GDPR要求 GDPR参考 演员 所采取的行动
合法的基础 第6条,第11条 共享 Pandadoc:为处理个人数据建立合法的基础。数据主题:如果合法的基础是同意,则数据主题同意Pandadoc关于它们的数据收集。
处理儿童的个人数据 第8条 Pandadoc. 不区分不同类型的个人数据,并不知道没有故意收集儿童的个人数据。
数据保护设计 第25条 共享 Pandadoc:收集执行正常业务运营所需的最低个人数据。客户:管理Pandadoc平台内的内容。
数据保护影响评估 第35条 共享 PANDADOC:任命负责任的工作人员执行任何必要的数据保护影响评估。客户:确定与业务合作伙伴共享的内容级别,并可以帮助PandAdoc作为处理器。
加密 第32条 共享 Pandadoc和客户(作为处理器):遵守安全要求。个人数据在运输过程中加密,使用AES-256位加密进行静止。
欧洲数据保护委员会 第68条 共享 PANDADOC和客户(作为处理器):监控欧洲数据保护委员会活动
个人数据库存 第30条 共享 Pandadoc和客户(作为处理器):遵守处理活动要求的记录。
擦除权 第17条 共享 Pandadoc:任命负责任的工作人员,以回应任何行使这项权利。数据主题:作为Pandadoc提供的删除权。