Domanda:
Come si applica il GDPR al software sviluppato da un'azienda e utilizzato da un'altra?
Joey
2017-12-27 21:52:11 UTC
view on stackexchange narkive permalink

Lavoro per una società di sviluppo software su misura e ho letto molto sul GDPR prima che entri in vigore il prossimo anno.

Molto ha senso, tuttavia sto davvero lottando per scoprire quale effetto abbia su di noi, in particolare l'impatto quando scriviamo software che un'altra azienda utilizza per elaborare i dati dei propri clienti. Siamo un responsabile del trattamento dei dati, un responsabile del trattamento o nessuno dei due in questo caso?

Se avessimo accesso diretto ai dati dei clienti per testare il software, sono abbastanza sicuro che saremmo un elaboratore di dati, ma si applica comunque se non abbiamo accesso (né host) ai dati?

Un'anima gentile potrebbe aiutarmi a capire?

Fonti

Per riferimento, ecco le principali fonti che ho consultato (più molte ricerche infruttuose ...):

Sfortunatamente la maggior parte di ciò che ho letto riguarda aziende che forniscono un servizio (creazione e gestione il software stesso) piuttosto che costruire semplicemente il software.

Cosa dice il legale della tua azienda sugli effetti?
Siamo troppo piccoli per avere un avvocato aziendale (solo 35 dipendenti). Sto spingendo per ottenere un'adeguata consulenza legale, ma non sono nella posizione di commissionarla.
Il motivo per cui ti chiedo è che sei vicino a chiedere una consulenza legale specifica, che qui è fuori tema. E la tua azienda può essere ritenuta responsabile se sbagli con le tue decisioni.
Anche con 35 dipendenti, sei abbastanza grande da avere problemi legali. Un avvocato a tempo pieno potrebbe essere eccessivo, ma i servitori sono una cosa.
@cHao Lo apprezzo ma non sono io a prendere queste decisioni: - /.
@BlueDogRanch Sarebbe utile se rendessi la domanda più generale? Quello che mi interessa è come interpretare la definizione di responsabile del trattamento perché non è chiara in questa situazione (e non ho esperienza di lettura di testi giuridici).
Una risposta:
richhallstoke
2018-03-07 23:29:25 UTC
view on stackexchange narkive permalink

Se non elaborate personalmente le informazioni personali dei cittadini dell'UE, è improbabile che venga classificato come responsabile del trattamento dei dati ai sensi del GDPR (controllare l'articolo 3: ambito territoriale, p.32-33). Se dovessi utilizzare una soluzione Software-as-a-Sevice (SaaS), saresti un titolare / responsabile del trattamento dei dati (o entrambi) e il GDPR si applicherebbe sicuramente se avessi cittadini dell'UE come clienti / utenti.

Anche se non riesco a vedere alcun riferimento ai fornitori di software nel testo del GDPR, in quanto fornitore di software sarebbe nel tuo interesse garantire che i tuoi prodotti soddisfino i criteri di cui all'articolo 25 (Protezione dei dati fin dalla progettazione e per impostazione predefinita, p .48) al fine di aiutare i tuoi clienti a conformarsi, come:

  1. Implementare misure tecniche appropriate, come la pseudonimizzazione, che sono progettate per implementare i principi di protezione dei dati, come i dati minimizzazione, in modo efficace e per integrare le garanzie necessarie nel trattamento al fine di soddisfare i requisiti del presente regolamento e proteggere i diritti degli interessati.

  2. Attuare misure tecniche appropriate per garantire che, per impostazione predefinita, solo i dati personali necessari per ciascuna specifica finalità del trattamento g vengono elaborati. Tale obbligo si applica alla quantità di dati personali raccolti, all'entità del loro trattamento, al periodo di conservazione e alla loro accessibilità. In particolare, tali misure garantiscono che, per impostazione predefinita, i dati personali non siano resi accessibili senza l'intervento della persona fisica a un numero indefinito di persone fisiche.

Questi, insieme a misure organizzative simili, sono responsabilità del titolare del trattamento, ma a meno che il software non li aiuti a conformarsi, potrebbe essere costretto a considerare soluzioni alternative che riducano il rischio complessivo. Se il tuo software dispone già di una serie di controlli di questo tipo, potrebbe valere la pena mettere insieme un white paper o una comunicazione simile che possa informare i tuoi clienti di come il tuo software li aiuta a conformarsi.

Non sembra esserci alcuna responsabilità diretta nei confronti del fornitore di software tramite il GDPR. Se una violazione dei dati è il risultato di un difetto di progettazione o di un bug di implementazione nel software e il tuo cliente viene multato di conseguenza, è probabile che ti perseguiti perché il software non è adatto allo scopo e manca della tecnica appropriata controlli necessari per garantire la riservatezza dei dati. In questo caso, la tua difesa si baserà sui record di progettazione e implementazione dei controlli, record di test e riparazione del software e sulla disponibilità di procedure adeguate per garantire che le patch di sicurezza possano essere distribuite rapidamente ai tuoi clienti quando richiesto.

Ulteriori chiarimenti come richiesto:

Se la tua organizzazione non tratta i dati personali, non ha terze parti che li elaborano per tuo conto (comprese le società di hosting) o non vi ha mai accesso , allora non sei né un controller né un processore.

Tuttavia, se i tuoi clienti ti inviano dati personali o ti concedono l'accesso temporaneo ai dati personali come parte della risoluzione dei problemi con il tuo software, allora saresti un processore in questo contesto e avresti bisogno di un contratto appropriato in luogo e dovrebbe garantire che siano implementati i controlli tecnici e organizzativi appropriati per conformarsi al GDPR e ridurre il rischio di una violazione dei dati personali. Inoltre, se i trasferimenti internazionali di dati avvengono come parte di questo (ad esempio, invio / accesso a file su Internet), è necessario assicurarsi che la propria organizzazione sia in grado di fornire un livello equivalente di protezione per i diritti degli interessati, ad esempio se si sei negli Stati Uniti, probabilmente dovrai aderire volontariamente all'UE-USA Privacy Shield o utilizza le clausole contrattuali tipo dell'UE all'interno dei tuoi contratti affinché sia ​​legale per le aziende con sede nell'UE utilizzarti come elaboratore di dati. Per ulteriori informazioni sui trasferimenti internazionali, leggi la pagina Trasferimenti di dati al di fuori dell'UE dell'UE.

Rif: GDPR

Poiché questa è la domanda esatta che stavo per porre (la prima in questa community SO!), Mi piacerebbe avere una risposta più specifica: dato che la mia azienda sviluppa software per essere utilizzato dai cittadini dell'UE, ma noi (come il venditore), non raccolgono dati, ei clienti iscriveranno da soli i propri colleghi ... sono chiaramente il Titolare del trattamento. Penso che siano anche processori (raccolgono, organizzano, ordinano, filtrano e aggiornano i propri dati). E i nostri prodotti sono conformi al regolamento e alle normative ISO pertinenti. Quindi, in qualità di fornitore, siamo Processori, Controller o nessuno?
@jonayreyes Ho aggiornato la risposta per darti ulteriori chiarimenti.
Vorrei poterlo votare di più, grazie mille @richhallstoke


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...