GDPR改变了对服务提供商或数据处理者必须提出的要求。特别是,越来越多的文件和证明要求使得公司迫切需要遵守数据保护法规。与此同时,罚款——即使是针对所谓的轻微违法行为——也在大幅增加,因此无视新的数据保护法规可能会给公司带来严重后果。
在委托服务提供商时,只有少数公司将数据保护作为重要的选择标准。人们通常没有考虑到,即使外包单项服务,公司仍对相关数据处理负全部责任。人们通常不会按照目前的法律情况(联邦数据保护法第 11 部分 RCS 数据瑞士 第 2 款)的要求,精心选择服务提供商并定期检查,而是相信服务提供商会独立执行相关法规。按照GDPR的解读,这种做法暴露出诸多风险。
如果服务提供商在其活动过程中能够技术性地访问个人数据或者以其他方式了解此类数据,则这被视为合同处理。典型的订单处理服务包括软件即服务、托管服务、数据中心服务、IT维护或数据存储设备的处理。数据处理是否是合同的主要内容或仅仅是“副产品”并不重要。对于小额订单价值也没有最低限度限制,对于据称不值得保护的个人数据也没有例外。
只要从技术上或组织上能够排除对个人数据的访问,就构成订单处理,并且必须全面实施相应的法律法规。如果不这样做,未来可能会被处以最高达 2000 万欧元或(如果更高)其全球年营业额 4% 的罚款。客户和承包商都必须能够随时证明数据处理完全按照 GDPR 的要求进行。