承包商的数据保护

fabiha01

根据《第 14 条》，任何作为处理者处理来自负责机构的个人数据的人。 4 第8条 GDPR必须遵守各项数据保护义务。实施良好的数据保护管理系统可以成为吸引潜在客户合作的理由。

除了实际提供的服务外，数据保护法的实施和执行也会影响客户对服务提供商的选择。负责机构意识到自身的责任，并评估合作中可能产生的数据保护领域的任何风险。因此，对于承包商而言，良好地履行数据保护义务也可以带来竞争优势。

第一印象
根据第 14 条签订合同。 28 GDPR，每个客户都会对数据保护对于潜在服务提供商的重要性有第一印象。承包商何时应提供相应的模板，可参见监管机构的常见建议（例如BayLDA）。如果所提供的服务允许，您可以通过令人信服地展示所处理的个人数据的主题、持续时间、类型和目的来获得分数。通过针对特定服务的技术和组织措施 (TOM)描述， AV 合同不仅可以说服数据保护官员，还可以说服信息安全部门。如果仅提供 TOM 的一般描述，例如描述符合数据保护要求的纸质文件销毁，那么如果要提供纯电子服务，人们可以预期会定期查询。控制者只能在有限的范围内评估如何以与流程相关的方式保证其个人数据的安全性。此外，在面向服务的审计中，一般信息只能在有限的范围内使用和可靠地验证。

对所使用的分包商的描述完善了第一印象，并向客户进行了透明的演示。每个服务提供商都应该能够对可能的第三国转移做出声明。

为了进一步从外部说服客户，白皮书和当前 认证也可以影响客户的决定。

自己的作业
在内部，承包商也需履行控制者的通常义务，因为其员工和联系人的个人数据是独立处理的。这几乎看起来好像承包商承受了双重负担。例如，西班牙商业传真列表 目录必须按照艺术进行维护。 GDPR 第 30（1）和（2）条。同样，内部流程，例如用于报告数据泄露或响应数据主体的请求，必须以满足控制者和承包商的要求的方式实施。例如，必须正确分类数据主体的请求，以决定他们是否应该联系自己的公司作为控制者或承包商。在后一种情况下，必须对实际控制人进行例行分配，以遵守《条例》规定的义务。 28（3）（e） GDPR 并转发请求。如果承包商发生数据泄露事件，必须立即明确哪些人员负责使用相关服务并受到数据泄露的影响。

一份符合艺术规定的、有据可查的处理活动清单。 GDPR 第 30（2）条是对此的基本要求。这可以立即表明为哪个控制者进行相应的数据处理（GDPR 第 30 (2) (a) 条）或是否必须考虑向第三国转移（GDPR 第 30 (2) (c) 条）。即使第 2 款的法律要求达不到第 1 款的要求，在这里添加更多信息也无妨。这尤其适用于控制者为履行《条例》规定的义务而可能要求的信息。 30 (1) GDPR，或者在适当情况下进行数据保护影响评估（GDPR 第 28 (3) (f) 条）。

由于公司承担着这样的双重角色，因此让员工参与进来也很重要。只有通过定期培训和良好实施的流程才能实现员工的适当敏感度。

通过这样的准备和手头正确的文件，与客户的后续审计预约也可以轻松成功地完成。