PandaDoc的GDPR合规

更新2019年4月5日

它是什么,我们在做什么,以及你可以做什么

GDPR于2018年5月25日生效,加强了对全球隐私权和合规的监督。当GDPR生效时,我们接受了它的要求,本指南旨在帮助我们的客户也这样做。

什么是GDPR?

到现在为止,你可能已经听说过GDPR:总务数据保护法规,在2016年获得了欧洲委员会欧洲隐私法的GDPR取代称为指令95/46 / EC(以下简称“指令”事先欧盟隐私指令),已被1995年欧洲数据保护法的基础上,到2018年年初。

如GDPR甲调节是结合行为,必须遵循在整个欧盟的全部。该GDPR是加强,和声,和现代化欧盟数据保护法,提高个人的权利和自由,与隐私的欧洲理解为一项基本人权一致的尝试。该GDPR调控对,除其他事项外,个人和组织如何可以获取,使用,存储和擦除个人数据。这将对世界各地的企业一个显著的影响。

GDPR何时生效?

该GDPR于2016年4月获得通过,但成为正式强制执行开始于5月25日,2018年没有一个“宽限期”,所以重要的是,由GDPR影响的组织现在都符合。

它会影响谁?

GDPR的范围很广。GDPR影响(1)在欧盟成立的所有组织,以及(2)处理欧盟公民个人数据的所有组织。后者是指GDPR对“治外法权”原则的引入;这意味着,GDPR适用于处理欧盟公民个人数据的任何组织——无论它是在哪里建立的,也无论它的处理活动发生在哪里。这意味着GDPR可以适用于世界上任何地方的任何组织,所有组织都应该进行分析,以确定它们是否在处理欧盟公民的个人数据。GDPR也适用于所有行业和部门。

有一些定义将有助于理解GDPR的广泛范围。

什么被认为是“个人资料”?

每GDPR,个人数据是与识别或可识别个人的任何信息;这意味着,可以使用的,其自身或与其他数据结合的信息,来识别的个体。考虑到定义的极其广泛的范围。Personal data will now include not only data that is commonly considered to be personal in nature (e.g., social security numbers, names, physical addresses, email addresses), but also data such as IP addresses, behavioral data, location data, biometric data, financial information, and much more. This means that, for PandaDoc users, at least a majority of the information that you collect about your subscribers and contacts will be considered personal data under the GDPR. It’s also important to note that even personal data that has been “pseudonymized” can be considered personal data if the pseudonym can be linked to any particular individual.

敏感的个人资料,如健康信息或揭示一个人的种族或人种信息,将需要更大的保护。你不应该你PandaDoc帐户中储存这类数据。

是否PandaDoc需要遵守GDPR?

PandaDoc开始GDPR准备以及在最后期限之前,并作为这一过程的一部分,我们审查(和更新必要时)所有我们的内部流程,程序,系统和文档,以确保我们已经准备好当GDPR生效。虽然许多我们的合规行为发生的背后,我们也研究了一些给我们的用户可见的举措。PandaDoc,其中包括:

  • 更新我们的数据处理补遗满足GDPR的要求,以便允许您继续合法地向PandaDoc传输欧盟个人数据,并允许PandaDoc继续合法地接收和处理该数据;
  • 再访我们的第三方供应商的合同,以满足以允许我们继续依法转让欧盟个人数据,这些第三方的GDPR的要求,并允许这些第三方继续合法地接收和处理数据;
  • 评估潜在的新GDPR友好的功能添加到我们的应用程序。

我们还完成了SOC II型2检查在年度基础上。

此外,我们会随时处理客户根据GDPR提出的任何有关其扩大的个人权利的要求:

  • 的被遗忘权:你可以在任何时候终止您的帐户PandaDoc,在这种情况下,我们将永久删除您的帐户以及与之相关联的所有数据。
  • 反对的权利:您可以选择不将您的数据包含在任何数据科学项目中。
  • 纠正权:您可以随时访问并更新您的PandaDoc帐户设置,以纠正或完成您的帐户信息。您还可以在任何时候联系PandaDoc,以访问、更正、修改或删除我们持有的有关您的信息。
  • 右路的:我们的隐私政策描述了我们收集的资料,以及我们如何使用它。如果您对特定数据的具体问题,您可以联系privacy@pandadoc.com在任何时间的进一步信息。
  • 右可移植性:我们将根据您的要求任何时候您的帐户数据导出到第三方。

你需要遵守GDPR?

你应该有关于你的履约义务的全部范围的法律及其他专业顾问咨询。一般来说,但是,如果你是在欧盟组织或一个正在处理欧盟公民的个人数据的组织,GDPR将适用于你。

“处理”数据是什么意思?

GDPR,处理“任何操作或执行一些操作,在个人资料或个人数据,是否通过自动化手段,如收集、记录、组织、结构、存储、改编或变更、检索、咨询、使用、披露,传播,传播或以其他方式提供,排列或组合,限制,擦除或破坏。“基本上,如果你是在收集、管理、使用或储存任何欧盟公民的个人资料,你是在按照GDPR规定的意义处理欧盟的个人资料。”这意味着,例如,如果您的任何PandaDoc列表包含任何欧盟公民的电子邮件地址、姓名或其他个人数据,那么您正在根据GDPR处理欧盟个人数据。

请记住,即使你不相信你的业务将被GDPR的GDPR及其基本原则的影响仍可能对你很重要。欧洲法律往往设置了一个国际隐私法规的发展趋势,并增加了隐私的意识,现在可以在以后给你一个竞争优势。

PandaDoc是否使用第三方处理数据?

PandaDoc,就像任何其他业务,目前使用第三方辅助处理,以提供诸如商业分析,云计算基础架构,电子邮件通知,支付和客户支持各种业务功能。在此之前与任何第三方从事分处理,PandaDoc进行尽职调查,评估他们的防守部署,并执行要求每个分处理,以维持最低可接受的安全做法的协议。

我们列出我们Suprocessors一个单独的页面上。我们将保持这个页面了最新的,请定期检查回去拿上所有的变化更新。

如何从指令的GDPR不同?义务是如何变化的?

虽然GDPR保留通过指令建立了许多原则,它引入了一些重要的和雄心勃勃的变化。下面是一些我们认为是PandaDoc和我们的客户尤其重要:

  1. 适用范围的扩大:正如上面提到的,GDPR适用于建立在欧盟或欧盟公民的处理数据的所有组织,从而带来了治外法权的概念,并扩大欧盟数据保护法的范围远远超过了欧盟的边界。
  2. 的个人和敏感数据的定义扩展,如上所述。
  3. 扩大个人权利:根据GDPR,欧盟公民将拥有几项重要的新权利,包括被遗忘权、反对权、纠正权、访问权和可携带权。如果您正在处理欧盟公民的个人数据,您必须确保您能够适应这些权利。
    • 权被人遗忘:个人可以要求组织删除个别所有数据不得无故拖延。
    • 正确的对象:个人可能禁止某些数据的用途。
    • 右整改:个人可以请求不完整的数据来完成或不正确的数据进行修正。
    • 右路的:每个人都有权知道什么是正在处理关于它们的数据,以及如何正确的。
    • 右便携性:个人可以要求一个组织持有的个人数据被转移到另一个。
  4. 更严格的知情同意要求:知情同意是GDPR的基本要求之一,组织必须确保知情同意符合GDPR严格的新要求。您将需要获得您的订户和联络人的同意,每次使用他们的个人资料,除非您可以依赖一个单独的法律基础。实现遵从性的途径是获得明确的同意。请记住:
    • 同意必须具体到不同的目的。
    • 沉默,预填充盒或不活动不构成同意;数据主体必须明确地选择加入到他们的个人数据的存储,使用和管理。
    • 对于不同的处理活动必须获得单独的同意,这意味着您必须清楚当您获得同意时数据将如何使用。
  5. 更严格的处理要求:每个人都有权得到“公正和透明”的有关他们的个人数据,包括处理的权利:
    • 数据控制器的联系方式,我们将在下面详细解释。
    • 数据的用途:这应该尽可能具体(“用途限制”)和最小化(“数据最小化”)。您应该仔细考虑您正在收集什么数据以及为什么要收集数据,并能够向监管者验证这一点。
    • 保存期:尽可能短(“储存限制”)。
    • 法律依据:您不能处理,只是因为你想的个人数据。你必须有这样做的,比如在处理需要将合同的履行了“法律依据”,个人已同意(见上面同意的要求),或在处理该组织的“合法利益”。

GDPR还引入了许多其他原则和要求,因此,对GDPR进行全面审查非常重要,以确保您充分理解其要求以及这些要求如何适用于您。

GDPR对跨境数据传输有什么规定吗?

是的,GDPR包含解决因欧盟成员国与第三方国家的个人数据,如美国的转让规定。该GDPR的关于跨境数据传输的规定,但是,不从根本上从指令下的地方有不同规定的。该GDPR,像指令,不包含任何具体的要求,欧盟公民的个人数据只存储在欧盟成员国。相反,GDPR需要之前的个人数据在欧盟以外转移,确定了一些不同的法律依据,组织可以依靠执行跨境数据传送某些条件得到满足。

在GDPR中,转移个人数据的一个法律依据是“充分性决定”。“充分性决定是指欧洲委员会决定,在个人资料转移的国家、地区或组织内,对该等个人资料有足够程度的保护。”

如果不符合,会发生什么?

不遵守GDPR可能会导致巨大的经济处罚。对不遵守制裁可能高达2000万欧元的或全球的年营业额,以较高者为准的4%。

不要紧,不管你是控制器或处理器?

如果你访问个人数据,你要么作为一个控制器,要么作为一个处理器,有不同的要求和义务,这取决于你属于哪个类别。管制员是决定处理个人资料的目的和方法的组织。管制人亦决定从资料当事人收集以供处理的特定个人资料。

处理器是处理代表控制器的数据的组织。

GDPR没有改变控制器和处理器的基本定义,但扩大了各方的责任。

控制人将保留数据保护的主要责任(包括,例如,向数据保护当局报告数据泄漏的义务);然而,GDPR也会将一些直接责任放在处理器上。因此,重要的是要了解您是作为控制器还是作为处理器,并相应地熟悉自己的职责。

在PandaDoc应用的背景下,我们的相关服务,在大多数情况,我们的客户充当控制器。我们的客户,例如,决定什么从他们的联系人或用户的信息被上传或转移到他们的帐户PandaDoc。

GDPR要求 GDPR参考 行动 如何PandaDoc帮助
同意 第4(11)条,第7条 客户 用户同意PandaDoc将收集关于他们的哪些信息。
处理儿童的个人资料 第十二条 客户 PandaDoc不区分不同类型的数据,也没有预计那里的儿童的数据将被用于任何商业用途的情况下。
设计保护资料 第25条 共享 PandaDoc:负责开发一个平台,收集最少的必要数据来进行正常的业务操作。

客户:负责管理内容上传和存储在我们的生态系统中。

数据保护影响评估 第35条 共享 PandaDoc:任命了一个数据保护官员执行隐私影响评估,因为这关系到我们自己的平台。

客户:使用熟练知道该怎么与商业合作伙伴分享自己指定的人员。

数据保护官员 第37条 共享 PandaDoc:任命了一个数据保护官员执行隐私影响评估,因为这关系到我们自己的平台。

客户:使用熟练知道该怎么与商业合作伙伴分享自己指定的人员。

加密 第32条 共享 PandaDoc:使用AES-256位加密对特定于客户机的数据进行静态加密。
欧洲数据保护委员会 第68条 没有 简单地监视由欧洲数据保护局提出带来了变化。
个人数据库存 第30条 客户 用户控制上传和存储在我们的平台内的内容,必须自己记录其中包含的内容。
Pseudonymisation 第四条(5) 客户 用户控制上传和存储在我们的平台内的内容,必须自己记录其中包含的内容。负责执行任何与假名相关的任务。
擦除权 第十七条 客户 用户可以完全控制他们上传、修改和从我们的生态系统中删除的内容。