Soru:
GDPR kapsamındaki bayiler - veri işlemcilerin veya veri depolama ülkelerinin ifşası?
richhallstoke
2017-03-22 22:02:39 UTC
view on stackexchange narkive permalink

Önemli sayıda web tasarımı ve I.T. danışmanlık şirketleri genellikle ürün / hizmet portföylerinin bir parçası olarak kendi hizmetleriyle ilgili üçüncü taraf hizmetlerini birkaç örnek vermek üzere yeniden satar, web sitesi barındırma, alan adları, e-posta barındırma, VOIP telefon hizmetleri vb. Bazen bunlar beyaz etiketli hizmetler olabilir. bayinin markasını tanıtmak ve hizmeti doğrudan kendilerinin sağlamadıkları gerçeğini gizlemek. Bu, servis portföylerini ve cirolarını artırdığı için bayiler için iyidir, müşteriler için iyidir çünkü karmaşık teknik düzenlemelere katılımlarını azaltır ve BT'leri için bir tür tek noktadan alışveriş imkanı sağlar. Gereksinimler, ancak bu bayiler kesinlikle GDPR kapsamında veri işleyicileri olacaktır.

Sigorta dünyasında, şirketlerin sigortayı üstlenen şirketin adını yayınlaması / ifşa etmesi gerekir. GDPR kapsamında veri işleyenlerin (bu durumda satıcılar) verilerin depolandığı ve işlendiği ülke veya ülkeleri ya da ilgili üçüncü taraf veri işleyicilerinin adlarını açıklaması için benzer bir gereklilik var mı? Bu etkiye yönelik herhangi bir şey bulmakta zorlanıyorum, ancak böyle bir gereklilik olmadan, bu bilgi ifşa edilmediği / yayınlanmadığı takdirde uyumlu çözümler için alışveriş yaparken veri denetleyicileri (ve diğer veri işlemcilerine alt sözleşme yapmak isteyen işlemciler) için uyumluluğu çok zor hale getiriyor sorgulamadan önce.

Bir cevap:
richhallstoke
2017-04-10 18:42:32 UTC
view on stackexchange narkive permalink

S1. Veri işleyicilerinin alt işleme düzenlemelerini ve buna dahil olan kuruluşların adlarını ifşa etmesi için GDPR kapsamında bir gereklilik var mı?

"İşlemci, önceden spesifik olmadan başka bir işlemciyi çalıştırmayacaktır veya denetleyicinin genel yazılı yetkisi. Genel yazılı yetkilendirme durumunda, işleyici, denetleyiciyi diğer işlemcilerin eklenmesi veya değiştirilmesiyle ilgili amaçlanan herhangi bir değişiklik hakkında bilgilendirecek ve böylece denetleyiciye bu tür değişikliklere itiraz etme fırsatı verecektir. " - AB Genel Veri Koruma Yönetmelikleri (GDPR) Madde 28 Paragraf 2

Bu açıkça, işleyicinin hizmetleri alt yükleniciye verdiğini açıkça belirtmesi ve bunun için izin alması gerektiğini belirtir. sözleşme, ancak taşeronların isimlendirilmesi ve tanımlanması gerekip gerekmediğini belirtmez. Belki de isimlendirilmelerini gerektiren başka mevcut alt yüklenici mevzuatı vardır? Kontrolörler tarafından tedarik edildiği şekliyle bazı tedarik sözleşmeleri, atanmış (izin verilen) alt yüklenicilerin bir listesini belirtebilir veya alt yüklenicilerin tam tanımlanmasını gerektirebilir, ancak yasada belirli bir sözleşmenin parçası olarak adlandırılmalarını gerektiren hiçbir şey bulamadım. yükümlülük.


S2. Veri işleyicilerinin verilerin depolandığı ve işlendiği ülke veya ülkeleri ifşa etmesi için GDPR kapsamında bir gereklilik var mı?

"Bir işleyici tarafından işleme, denetleyici açısından işleyiciyi bağlayıcı olan ve işlemenin konusunu ve süresini belirleyen Birlik veya Üye Devlet yasalarına göre bir sözleşme veya başka bir yasal düzenlemeye tabidir, işlemenin niteliği ve amacı, kişisel verilerin türü ve veri konularının kategorileri ve denetleyicinin yükümlülükleri ve hakları. Bu sözleşme veya diğer yasal düzenlemeler, özellikle işlemciye şunları şart koşacaktır: ... (h) kontrolöre bu Maddede belirtilen yükümlülüklere uygunluğu göstermek için gerekli tüm bilgileri sağlar ve kontrolör veya başka bir denetçi tarafından yürütülen teftişler dahil olmak üzere denetimlere izin verir ve bunlara katkıda bulunur. denetleyici tarafından yetkilendirilmiştir. ... "- AB Genel Veri Koruma Yönetmelikleri (GDPR) Madde 28 Paragraf 3 (h)

Bu, veri işleyicinin veri denetleyicisine sunması gerektiğini açıkça belirtir için gerekli tüm detaylar uygunluğu göstermek. Büyük olasılıkla daha büyük kuruluşların, bu bilgileri tamamlanmış bir Veri Gizliliği Etki Analizi belgesi biçiminde sunarak bunu veri denetleyicileri için basitleştirmeyi seçmesi muhtemeldir.

"Her denetleyici ve uygun olduğu durumlarda denetleyicinin temsilcisi, kendi sorumluluğu altındaki işleme faaliyetlerinin bir kaydını tutacaktır. Bu kayıt, aşağıdaki bilgilerin tümünü içerecektir: ... (e) uygun olduğu durumlarda, kişisel verilerin üçüncü bir ülkeye veya uluslararası bir kuruluşa aktarılması, söz konusu üçüncü ülkenin veya uluslararası kuruluşun tanımlanması ve 49 (1). Maddenin ikinci alt paragrafında atıfta bulunulan transferler durumunda, uygun korumaların belgeleri; ... "- AB Genel Veri Koruma Yönetmelikleri ( GDPR) Madde 30 Paragraf 1 (e)

Bu açıkça, veri denetleyicisinin, bunlardan herhangi birinin AB dışındaysa, dahil olan ülke veya ülkelerin bir kaydını tutması gerektiğini ve bu nedenle bu bilgilerin, yukarıda belirtildiği gibi denetleyiciye sunulması gerektiğini açıkça belirtir.



Bu Soru-Cevap, otomatik olarak İngilizce dilinden çevrilmiştir.Orijinal içerik, dağıtıldığı cc by-sa 3.0 lisansı için teşekkür ettiğimiz stackexchange'ta mevcuttur.
Loading...