满足 GDPR 的要求

SAP 和 SAP Ariba 解决方案如何助力企业的 GDPR 合规之旅

I. 引言

2016 年 5月,欧盟 (EU) 颁布了统一的数据保护法规,即《通用数据保护条例》(General Data Protection Regulation,简称 GDPR)。自 2018 年 5 月 25 日起,GDPR 将在所有欧盟成员国及欧洲经济区正式生效。虽然 GDPR 没有引入许多全新的概念,但显著提高了对个人数据控制者和处理者的合规性要求。

SAP 公司承诺,确保在 2018 年 5 月 25 日之前遵守 GDPR 条例的合规性要求。作为我们通用产品标准的一部分,我们始终采用一致的数据保护方法。现在,为了响应 GDPR 条例的新要求,我们正在扩展该方法。

现在,我们的客户正在为合规做准备。因此,SAP 全面梳理了 GDPR 带来的重大变化,并介绍了这些变化的影响,以及 SAP 的产品功能如何帮助客户满足 GDPR 的要求。.

作为 SAP 的一部分,SAP Ariba 积极协助客户遵守 GDPR。本白皮书的后半部分列举了帮助客户实现这一目标而提供的具体 SAP Ariba 解决方案功能以及合规支持。

本白皮书中包含的信息仅作为一般性指导,并不构成 SAP 提供的法律建议。根据 GDPR,作为数据控制者,客户应负责采取适当的措施实现 GDPR 合规。对于根据本白皮书采取的任何行动,SAP 不承担任何责任。因此,本白皮书不得代替法律或专业咨询。

II. 目标

GDPR 旨在协调欧洲的各种数据保护要求,制定统一的数据保护法规。该条例适用于依据公法和私法行使数据控制或数据处理权利的法人团体。新法规旨在保护自然人的权利和自由,增强数据主体对持有或处理其个人数据的企业的信心,以及优化欧盟内部市场环境。为此,GDPR 提供了一套统一的规则,用于约束欧盟地区的个人数据处理活动。然而 GDPR 并不能使整个欧盟地区的个人数据保护法律完全统一,因为该条例包含开放条款,允许欧盟成员国针对特定的数据处理活动制定国家/地区特定的法律和要求。因此,这些开放条款可能导致数据控制者和处理者需要遵守其他的规则和义务,但不会改变或更改原法规。

III. 适用范围

GDPR 广泛适用于以自动方式或其他结构化形式对个人数据进行的处理,包括在归档系统中使用个人数据。这种区别显而易见,因为 GDPR 规定了本条例不适用于自然人在纯粹的个人、私人或家庭活动中进行的专门的个人数据处理。

IV. 地域范围

同样地,GDPR 覆盖广泛的地域,适用于数据控制者或处理者对欧盟数据主体个人数据的所有处理活动,无论控制者或处理者是否位于欧盟境内。本条例也适用于位于欧盟境外的处理者和控制者,为了向欧盟境内的数据主体提供商品/服务或对欧盟境内数据主体的行为实施监控而进行的数据处理。

V. 主要规定

GDPR 引入了一些新的法律要求,可能对数据控制者或处理者的业务产生重大影响。因此,无论是控制者还是处理者,都必须核实他们应承担的 GDPR 义务,并确定如何履行这些义务。

通用原则

根据通用处理原则,GDPR 要求个人数据处理活动必须合法、公正、透明、充分、准确、安全和保密、并且限定期限,明确目的,以负责任的方式进行(这意味着,企业必须采取适当的安全措施,包括技术措施和组织措施,确保数据完整性和保密性)。

个人数据

GDPR 条例对个人数据进行了明确定义,即,与已识别或可识别的个体有关的数据。GDPR 第四条第一款规定:“可识别的自然人是指能够被直接或间接识别的自然人,尤其是通过参照诸如名字、身份证号码、位置数据、在线身份识别这类标识,或通过参照该自然人身上独有的一个或多个物理、心理、遗传、精神、经济、文化或社会身份等要素。”个人数据显然涵盖了元数据或其他相关数据,比如 IP 地址、cookies 或其他能够追溯到个人的标识符(也可以是此类数据的组合)。GDPR 扩大了特殊类别个人数据的已知条目,纳入了基因数据、生物识别数据(用于识别自然人)以及与刑事定罪和犯罪相关的数据。

合法

只有达到 GDPR 规定的某一许可标准,个人数据处理行为才视为合法。在未经法律直接许可的情况下,企业需要征得数据主体的同意。此同意声明必须涵盖企业(计划处理数据的企业)收集和处理数据的所有目的,并赋予个人随时撤回同意的权利。这意味着,针对各种非特定目的的免知情同意或全面同意对个人数据的处理是无效的。

问责制

GDRP 旨在强化个人数据处理者的责任,提高数据处理透明度。尽管其内容和结构与现行的《欧盟指令》(EU Directive) 有相似之处,但 GDPR 会采取更强硬的手段执法。违规处罚非常重,比如高达企业全球年营业额的 4% 或 2,000 万欧元的行政罚款(以较高者为准),同时企业还可能面临损害索赔和其他法律责任风险,目的在于激励企业优化内部结构和流程,遵守法规。

设计和默认数据保护

依据 GDPR 条款,企业必须有意识地建立隐私保护机制,系统和处理都必须默认采用隐私保护。企业有义务确保个人数据的处理是为了一个特定的目的,而且,企业必须证明数据保护是他们 IT 框架和解决方案设计的核心。

技术和组织安全性

这些企业也有义务实施所有必要的技术和组织措施,确保根据数据主体个人数据处理的风险级别提供适度的安全机制。因此,企业有必要分析其内部 IT 资产状况,识别和映射包含个人数据的数据流。这将有助于确定安全架构的适宜性。数据主体权利

企业应当遵循以下概念,即个人应当了解,并且始终能够确定企业收集了哪些个人数据、这些数据交由谁处理、处理的目的和时间期限。因此,数据控制者将需要主动提供相应的一般信息和特定信息;这符合 GDPR 修订的有关数据转移权,以及个人数据访问权、拒绝或反对权、或者被遗忘权的规定。因此,处理个人数据的企业将需要建立强大的内部流程,并指定相应的角色。

数据治理

企业必须实施一系列系统性的措施,降低违规风险。作为数据控制者,客户必须向数据主体和监管机构证明他们遵守了适用的法规;而作为数据处理者,SAP 也必须向客户作出同样的证明。如果企业既要追踪个人数据处理的目的,又要确保所有数据处理都经过个人同意,那么复杂性就会随之增加。因此,这些措施必须融入到现有的 IT 基础架构中。根据企业数据保护风险评估结果采取相应措施将有助于保持合规,这些措施包括任命专门的数据保护官,执行隐私影响评估,以及采用定期审计流程。

数据泄露通知

当出现问题时,即,当企业的内部组织措施未能防止数据泄露,或企业处理个人数据的目的被发现不合法时,企业需要发送数据泄漏通知。一旦发生数据泄露,数据控制者必须在知晓后 72 小时内通知监管机构和受影响的个人。数据处理者必须在知晓个人数据泄露后通知数据控制者,不得无故延误。

VI. SAP Ariba 解决方案和服务的角色

SAP Ariba 解决方案将从多方面帮助客户实现 GDPR 合规。例如:

  • SAP Ariba 解决方案能够就员工及供应商数据的管理和保护提供支持,包括数据访问权限和可视性,这样客户的采购和供应链团队就能专注于开展业务。

  • 借助 SAP Ariba,客户能够加强和保护与供应商的关键协作,管理从寻源到财务的所有事务,

  • 同时支持企业履行问责制,满足安全和数据保护要求。 

与 SAP Ariba 服务相关的 GDPR 角色和定义

数据控制者:GDPR 第四条第七款规定:“‘数据控制者‘是指单独或与他人共同决定个人数据的处理目的和方式的自然人、法人、公共机构、行政机关或其他非法人组织”(着重强调)。

总的来说,数据控制者对收集的所有个人数据承担责任,并且必须确保数据处理者保障数据主体的权利和履行控制者自己的法律义务。

  • SAP Ariba 客户在使用 SAP Ariba 应用时就是数据控制者。SAP Ariba 按照合同规定(比如数据保护协议、服务描述或工作说明)代表客户履行数据处理者之责。

  • SAP Ariba 供应商是数据控制者,因为他们对 Ariba Network 中(比如,通过自助注册)输入的个人数据负全责。

数据处理者:GDPR 第四条第八款规定:“‘数据处理者’是指代表控制者处理个人数据的自然人、法人、公共机构、行政机关或其他非法人组织”(着重强调)。

通常,这是指数据处理者按照合同约定,根据数据控制者的指示进行数据处理。

  • 作为客户和供应商的云解决方案提供商,SAP Ariba 是代表客户和供应商(二者皆为数据控制者)的数据处理者。

SAP Ariba 解决方案和个人数据

  • 个人数据类型:SAP Ariba 解决方案仅处理作为用户或业务联系人的个人的简单业务联系信息,比如他们的电子邮件地址、员工编号、员工姓名、业务电话和邮政地址。

  • 个人数据的特殊类型:《SAP Ariba 隐私声明》明确规定,禁止使用解决方案处理特殊类型的个人数据。

  • 跨境数据传输:SAP Ariba 与 SAP/Ariba 关联公司和分处理者共同维护数据传输协议,遵守欧盟对个人数据传输的要求。这些协议是根据完全符合 GDPR 要求的欧盟标准合同条款 (SCC) 制定的,以确保在将数据传输给欧盟以外的第三国时提供适当的数据保护

  • 数据加密:个人数据在存储时进行加密,而且所有外部通信都进行加密处理,相应的安全政策也落实到位。

SAP Ariba 作为数据处理者如何支持客户

  • SAP Ariba 在问责制和技术方面实施了适当的技术性措施和组织措施,包括维护处理活动的记录、执行隐私影响评估,以及在产品周期中融入隐私保护设计和默认设置。 

  • SAP Ariba 遵循 SAP 针对所有云解决方案采用的统一方法,将数据保护协议 (DPA) 作为客户合同的一个重要组成部分,该协议包含了标准合同条款,向客户提供数据保护保证。

  • SAP Ariba 的员工每年必须通过数据保护和隐私/安全意识培训,这些培训涵盖了隐私原则和安全话题。

  • SAP 致力于帮助客户了解 SAP Ariba 解决方案如何保护他们的数据的机密性、完整性和可用性,并通过在 SAP Cloud Trust Center 中主动发布有关 SAP Ariba 认证和证明、数据处理协议、实时的云解决方案可用性及类似领域的信息,确保持续落实责任制。

SAP Ariba 解决方案功能支持 GDPR 合规

  • 同意:SAP Ariba 解决方案在授权新用户使用前会征得用户同意,并确认用户已阅读隐私声明,其中包括(比如)数据处理的目的和被处理的个人数据的类型。SAP Ariba 正在评估全面的同意机制,比如客户可配置的隐私声明。此外, SAP Ariba 解决方案还支持使用自助服务选择退出,这样接收者就能取消不需要的订阅服务,比如电子邮件通知。

  • 被遗忘权:面向采购商的解决方案支持客户管理员管理用户和角色。此外,SAP Ariba 正在评估个人数据删除和保留功能,比如个人数据删除和匿名化处理。在任何情况下,客户数据一般都会在合同终止时删除。

  • 数据更正权:SAP Ariba 解决方案用户能够在系统内随时编辑或更正用户资料中的个人数据。

  • 透明度:SAP Ariba 解决方案提供对用户个人数据和偏好的可视性。目前,SAP Ariba 也在评估管理员功能,以便支持管理员以标准格式导出用户数据,并轻松查看变更日志。

  • 授权与披露控制:SAP Ariba 解决方案支持客户管理正式员工、合同派遣制员工和第三方的授权、验证和基于角色的访问权限。详细的消息和工作流功能可以帮助 SAP Ariba 的新管理员用户根据角色的变化调整用户访问权限,并管理非活跃用户。

  • 设计和默认保护隐私:SAP Ariba 产品开发遵循 SAP 的指导性产品标准安全要求,并在设计阶段应用了其他的隐私原则,比如限制个人数据收集。默认设置为最高限制,包括:

  • 在合同终止时和个人要求时删除个人可识别信息 (PII)

  • 同意隐私声明(可定制)

  • 在字段级别登录和访问日志

  • PII 可视性、编辑权和可携权

  • 可配置的保留时间和限制处理

  • 自助选择加入/退出和记录

  • 行业标准的数据访问、验证、授权和加密机制

SAP Ariba 服务支持 GDPR 合规

  • 数据泄露通知:一旦发生个人数据泄露,SAP Ariba 服务会全力支持客户履行及时通知的义务。SAP Ariba 提供从发现数据泄露到客户通知的端到端流程。

  • 数据主体权利:SAP Ariba 服务支持客户处理与隐私相关的问题,并协助客户履行义务,包括响应个人行使权利的义务或与个人信息安全相关的义务。

  • 透明度:根据 GDPR 对数据处理者提出的要求,SAP Ariba 服务提供了符合这些要求的 SAP Ariba 组件,支持客户履行记录处理活动的职责。此外,SAP Ariba 还在发布周期中针对新产品/服务(创新成果)和定期的产品/服务变更,执行数据保护影响评估 (DPIA)。

  • 问责制:SAP Ariba 通过不断落实以下责任制活动提供保证,比如对应用、网络和 IT 基础架构进行定期认证、风险评估及安全评估;记录安全计划和政策;以及定期开展安全培训。

  • 分处理者合规性:SAP Ariba 确保分处理者保持合规的途径是,采用 SAP 企业标准采购流程(包括适用个人数据保护的数据保护协议),审查分处理者合同和评估安全风险。SAP Ariba 为客户定期提供并更新经认证的分处理者名单。

VII.其他信息

如需了解更多有关 GDPR 的信息,你可以访问 SAP Cloud Trust Center,在欧盟委员会网站上查看 GDPR 相关文档或查阅欧洲数据保护法手册。

对于与你的账户及任何现有的 SAP Ariba 协议或合同相关的具体问题,请联系你的销售代表。

下载 PDF 版本