Nexus: GDPR

Discussion point: Does processing of SaaS login credentials make you a data controller?

Read

While drafting and negotiating technology agreements, this Kat increasingly comes across an inconsistent interpretation of General Data Protection Regulation as it pertains to the determination of data processing roles when personal data is limited to login credentials, such as person’s name, login identifier and email address, which are necessary to access a SaaS platform. It is not yet clear who acts and on what basis as a data controller and who assumes a processor role within such engagement.

GDPR interpretation alternatives

Processor position

According to what seems the more prevalent understanding, the determination of a data processing role solely rests on answering who hands over the data to whom. For instance, one entity purchases access to a SaaS platform from another entity and, in order to make this access possible for its employees, conveys the names and email addresses of such employees to the SaaS provider. In this case, the employer is deemed to be the data controller, while the SaaS vendor acts as a processor that processes the personal data to provide certain services to users’ employer.

Furthermore, if the individual users set up their own accounts by directly providing their name and email to the platform (even if they are acting within their professional capacity, e.g. they register with their work email and employer pays for the services), this determination shifts the respective roles by 180 degrees: the SaaS provider becomes a controller and the employer is out of the picture altogether.

Controller position

The GDPR, however, does not expressly focus on who gives data to whom and emphasises instead the decisive element of the relationship of the parties with regards to personal data at stake. According to Art.4(7), the “Controller" means the party, which alone or jointly with others, determines the purposes and means of the processing of personal data, i.e. decides how and why a data subject’s personal data are processed.

In search of a common ground

Advocates of an alternative approach focus on the GDPR requirement set out in Art.4(8), whereby a processor is defined as a party who processes personal data on behalf of a controller. Administrative login credentials are deemed to be separate from the concept of service/product delivery, and are considered necessary for the provider’s own verification purposes. Hence the processing is undertaken on behalf of the supplier and not the customer, thus making the supplier the controller of the data. Notably, the purpose of data processing in the scenario at stake is always the same – to utilise access to a SaaS platform – and is solely determined and driven by the SaaS provider.

ICO guidance

The UK data protection authority - The Information Commissioner's Office (ICO) - has provided checklistssetting out indicia for determining whether a party is a controller or a processor. Even though these indicia are not self-explanatory, the “Controller position”, as described above, seems to be more aligned with the ICO’s interpretation.

This conclusion may also be supported by the following examplethat the ICO has shared to help distinguish between controllers and processors.

A mail delivery service is contracted by a local hospital to deliver envelopes containing patients’ medical records to other health service institutions. The delivery service is in physical possession of the envelopes, but may not open them to access any of the personal data or other content they contain. […]
The delivery service will not process the personal data in the envelopes and packages it handles. It is in possession of the envelopes and packages but, as it cannot access their content, it cannot be said to be processing (it is not even ‘holding’) the personal data they contain. Indeed, the delivery service will have no idea as to whether the items they deliver contain personal data or simply other information.
This means that, regarding the content of the envelopes and packages it delivers, the delivery service is neither a controller in its own right nor a processor for the clients that use its services, because:
it does not exercise any control over the purpose for which the personal data enclosed in the items of mail entrusted to it is used; and
it has no control over the content of the personal data entrusted to it.
The controller (the hospital) that chooses to use the delivery service to transfer personal data is the party responsible for the data. If the delivery service loses a parcel containing highly sensitive personal data, the controller that sent the data is responsible for the loss. So the controller will need to think carefully about the type of service that is most appropriate in the circumstances.
However, the delivery service will be a controller in its own right regarding any data it holds in connection with its provision of the delivery service. […] In addition, to the extent that it records details of the delivery addresses of individuals (the name-and-address information on the items to be delivered), it will be a controller regarding that personal data. If the service arranges timed deliveries or tracking, then any personal data, such as individual senders’ and recipients’ names and addresses it records for that purpose, will be personal data for which the service is the controller.

What are the implications?

If the SaaS provider is indeed deemed to be a controller, then data processing agreement (DPA), required by Art. 28(3), becomes unnecessary. This Kat has seen companies entering into a Controller-Controller DPA, which to her seems redundant (unless there is a joint-controllership scenario), because individual controllers do not need to take instructions from the other party and they can solely decide how and why the data is processed.

It would be sufficient to simply include a contractual representation from a SaaS supplier that such data will only be used for verification purposes and that the vendor warrants compliance with applicable data protection laws. A SaaS business, in turn, should seek a warranty from its customer that all data is collected and provided in compliance with the applicable data protection law.

Since this aspect of the construction of the GDPR has yet to be clarified by the data protection authorities and the judiciary, it would be great to hear what insights other data protection enthusiasts might have!

Image Credits: GlobalP

Artigo 12 - Informação, comunicação e modalidades transparentes para o exercício dos direitos do titular dos dados

By 0x000216

Read

0 Comments

O responsável pelo tratamento deve tomar as medidas adequadas para fornecer todas as informações referidas nos artigos 13.o e 14.o e qualquer comunicação nos termos dos artigos 15.o a 22.o e 34.o relativa ao tratamento do titular dos dados de forma concisa, transparente, inteligível e facilmente acessível, utilizando de forma clara e clara idioma, em particular para qualquer informação endereçada especificamente a uma criança. As informações devem ser fornecidas por escrito ou por outros meios, inclusive, quando apropriado, por meio eletrônico. Quando solicitadas pelo titular dos dados, as informações podem ser fornecidas oralmente, desde que a identidade do titular dos dados seja comprovada por outros meios.
O responsável pelo tratamento deve facilitar o exercício dos direitos dos titulares de dados nos termos dos artigos 15. O a 22 . Nos casos referidos no artigo 11 (2) , o controlador não deve recusar-se a pedido da pessoa em causa para o exercício de seus direitos sob os artigos 15 a 22 , a menos que o controlador demonstra que não está em posição de identificar o titular dos dados.
O responsável pelo tratamento deve fornecer ao titular dos dados informações sobre as medidas tomadas a pedido nos termos dos artigos 15. A 22. O Esse período pode ser prorrogado por mais dois meses, se necessário, tendo em conta a complexidade e o número de pedidos. O responsável pelo tratamento deve informar o titular dos dados sobre essa extensão no prazo de um mês após a recepção do pedido, juntamente com os motivos do atraso. Quando o titular dos dados faz o pedido por meio eletrônico, as informações devem ser fornecidas por meio eletrônico, sempre que possível, a menos que solicitado de outra forma pelo titular.
Se o responsável pelo tratamento não tomar medidas a pedido do titular dos dados, deve informar o titular dos dados sem demora e, o mais tardar um mês após a receção do pedido, dos motivos pelos quais não tomou medidas e da possibilidade de apresentar uma reclamação junto a uma autoridade supervisora e buscando uma solução judicial.
As informações fornecidas na artigos 13 e 14 e qualquer comunicação e quaisquer ações tomadas sob os artigos 15para 22 e 34 devem ser fornecidos gratuitamente. Quando os pedidos de um titular de dados são manifestamente infundados ou excessivos, em especial devido ao seu caráter repetitivo, o responsável pelo tratamento pode:
1. cobrar uma taxa razoável, levando em consideração os custos administrativos para fornecer as informações ou comunicações ou tomar as medidas solicitadas; ou
2. recusar-se a agir de acordo com o pedido.

O responsável pelo tratamento deve demonstrar o caráter manifestamente infundado ou excessivo do pedido.

Sem prejuízo do artigo 11. O , se o responsável pelo tratamento tiver dúvidas razoáveis quanto à identidade da pessoa singular que solicitou os artigos 15. O a 21. O , o responsável pelo tratamento pode solicitar o fornecimento de informações adicionais necessárias para confirmar a identidade do titular dos dados.
As informações a fornecer aos titulares dos dados, nos termos dos artigos 13. O e 14. O, podem ser fornecidas em combinação com ícones normalizados, a fim de fornecer de uma maneira facilmente visível, inteligível e claramente legível uma visão geral significativa do processamento pretendido. Onde os ícones são apresentados eletronicamente, devem ser legíveis por máquina.
A Comissão fica habilitada a adotar atos delegados nos termos do artigo 92. O, com o objetivo de determinar as informações a serem apresentadas pelos ícones e os procedimentos para o fornecimento de ícones padronizados.

MATERIAIS ÚTEIS

Aviso de privacidade

Lista de verificação da documentação obrigatória exigida pelo GDPR da UE

Cláusulas Contratuais Padrão Anexos

Lista de documentos obrigatórios exigidos pelo GDPR da UE

Direitos do titular dos dados sob o RGPD da UE

Avisos de privacidade sob o GDPR da UE

Confrontação com a realidade: quem controla seus dados?

By 0x000216

Read

0 Comments

Por Lora JonesBusiness Reporter, BBC News

Feche acima da imagem da mão de uma jovem mulher que envia uma mensagem de texto em um smartphone.

Novas regras de proteção de dados entrarão em vigor no Reino Unido em maio.

O Regulamento Geral de Proteção de Dados da União Européia (GDPR, na sigla em inglês) vai mudar a forma como empresas e indivíduos coletam, armazenam e compartilham dados.

Com a maior mudança na privacidade de dados no Reino Unido desde 1998, o Reality Check explica o que você precisa saber.

1. O que é o GDPR?

O GDPR dará às pessoas mais controle sobre como as organizações usam suas informações pessoais ou dados.

É uma parte da legislação da UE que foi aprovada em 2016. O objetivo é criar leis de privacidade de dados idênticas em todos os países da UE.

Sob as novas regras, as empresas que dependem do consentimento de um indivíduo para coletar seus dados enfrentarão restrições mais severas.

O GDPR diz que os clientes precisam ativar ativamente. As empresas precisarão usar uma linguagem que seja fácil de entender e dizer às pessoas que podem retirar o consentimento a qualquer momento.

As empresas também devem relatar quaisquer violações de dados às autoridades dentro de 72 horas.

Os indivíduos poderão solicitar informações sobre como uma empresa pode estar usando seus dados, quais dados são coletados e por quê.

2. Por que isso importa?

No Reino Unido, o GDPR substituirá a Lei de Proteção de Dados de 1998.

Hoje, criamos uma enorme quantidade de dados - de relógios que monitoram calorias e sono, até aplicativos para gerenciar finanças ou enviar mensagens para amigos.

Assim, o GDPR foi criado para atualizar as regras de proteção de dados com a quantidade de dados que produzimos e como as empresas estão usando.

Com recentes violações de dados em empresas como Facebook, Uber e MyFitnessPal, o regulamento também dará às empresas diretrizes mais rígidas sobre como eles podem usar os dados.

Jovem usa um computador tablet no escritório tarde da noite.

3. Quando está chegando?

A nova lei será aplicada em todos os estados da UE a partir de 25 de maio de 2018.

4. A quem se aplica?

O GDPR será aplicado a todos os "controladores" ou "processadores" de dados.

Os controladores orientam como e por que os dados pessoais são processados (como uma empresa), enquanto um processador executa a ação de coletar os dados (como um aprendiz de TI).

O regulamento também se aplicará a indivíduos. Por exemplo, um cabeleireiro que coleta endereços de e-mail de clientes para enviar um boletim informativo precisa obedecer às novas regras.

O GDPR será aplicado a qualquer pessoa que ofereça serviços na UE, independentemente de onde esteja sediada.

5. O que significa dados pessoais?

O GDPR aplica-se a todos os dados pessoais. Isso significa qualquer informação que possa identificar uma pessoa viva, direta ou indiretamente.

Isso pode incluir seu nome, local ou seu número de telefone.

Algumas informações pessoais são classificadas como sensíveis pelo GDPR e precisam de mais proteção. Isso pode incluir origem étnica, orientação sexual, crença religiosa, associação a sindicatos e muito mais.

Facebook para excluir bilhões de leis de privacidade europeias

Um cadeado que descansa em um circuitboard.

6. Posso acessar dados sobre mim mesmo?

Qualquer um pode pedir a uma empresa para confirmar quais dados pessoais eles têm sobre eles.

Essa pessoa tem o direito de receber uma cópia das informações - assim como a razão pela qual a empresa coleta seus dados pessoais e quem consegue vê-los.

A empresa deve fornecê-lo gratuitamente e de forma acessível, como por e-mail, no prazo de 30 dias após a solicitação, no âmbito do GDPR.

Os indivíduos também podem solicitar que os dados sejam corrigidos, se não forem precisos.

7. Qual é o direito de ser esquecido?

As pessoas também podem solicitar que seus dados pessoais sejam excluídos a qualquer momento - se não forem mais relevantes. Isso é conhecido como o direito de ser esquecido.

Este direito também se aplica online. Alguém poderia perguntar a uma empresa que disponibilizou seus dados pessoais on-line para excluí-la, por exemplo.

Essas empresas são obrigadas a informar os outros que o proprietário dos dados pessoais solicitou o direito de ser esquecido. Os dados, links para ele e cópias dele, devem ser excluídos.

8. Como o GDPR afetará meu negócio?

Empresas com mais de 250 funcionários devem documentar todos os dados que estão processando, incluindo por que, como os clientes optaram, quem pode ver os dados e uma descrição de suas medidas de segurança.

Dois homens e uma mulher se reuniram em volta de uma tela dupla em um escritório.

Empresas menores podem precisar apenas documentar os dados que processam regularmente, ou os dados que processam são sensíveis.

GDPR: Você está pronto para o enorme abalo de privacidade de dados da UE?

Alguns grupos empresariais levantaram preocupações sobre o impacto que as novas regras poderiam ter, dizendo que muitas empresas não estão cientes das mudanças, e que registrar essas informações adicionais será um fardo.

O Information Commissioner's Office (ICO) é responsável por fazer cumprir o GDPR no Reino Unido. Publicou um guia de 12 etapas sobre como as empresas podem se preparar.

9. Posso ser multado por não cumprir?

Sim - o GDPR permite que a OIC emita multas para quem não cumprir.

A OIC pode emitir multas de até cerca de 17,5 milhões de libras, ou 4% do faturamento global de uma empresa, o que for maior.

Multas podem ser emitidas por mau uso de dados, violações de dados ou falha em processar os dados de um indivíduo corretamente.

10. Será que ainda será aplicado após o Reino Unido deixar a UE?

As regras do GDPR continuarão a ser aplicadas depois que o Reino Unido deixar a UE.

A Lei de Proteção de Dados do governo , significa que as regras do GDPR serão essencialmente reproduzidas na lei do Reino Unido.

O projeto de lei também acrescenta a possibilidade de as pessoas solicitarem que as empresas de mídia social excluam as postagens feitas quando eram crianças e expande a definição de dados pessoais para incluir endereços IP, cookies da Internet e até mesmo DNA.

Leia o guia completo do ICO para o GDPR aqui .

Nexus

Discussion point: Does processing of SaaS login credentials make you a data controller?

Artigo 12 - Informação, comunicação e modalidades transparentes para o exercício dos direitos do titular dos dados

Confrontação com a realidade: quem controla seus dados?

1. O que é o GDPR?

2. Por que isso importa?

3. Quando está chegando?

4. A quem se aplica?

5. O que significa dados pessoais?

6. Posso acessar dados sobre mim mesmo?

7. Qual é o direito de ser esquecido?

8. Como o GDPR afetará meu negócio?

9. Posso ser multado por não cumprir?

10. Será que ainda será aplicado após o Reino Unido deixar a UE?

Tópicos relacionados

Recent Posts

Facebook