Datakontrollør definert

Hva betyr det hvis du er en datakontrollør?

Behandlingsansvarlig er personen eller selskapet som bestemmer hvilke formål og hvordan opplysningene skal behandles. Derfor, hvis din bedrift bestemmer "hvorfor" og "hvordan" dataene skal behandles, er det behandlingsansvarlig.

Som behandlingsansvarlig er en person eller organisasjon ansvarlig for å sikre at behandlingen din er i samsvar med Generell databeskyttelsesforordning (GDPR).

Dette inkluderer å sikre at alle data som behandles på dine vegne er tilstrekkelige, nøyaktige, rettidige og sikre.

Behandlingsansvarliges plikter: Dere (de enkelte behandlingsansvarlige) må avtale hvem som skal oppfylle spesifikke behandlingsforpliktelser pr GDPR som hver kontrollør er ansvarlig for overholdelse med alle GDPR-ansvar.

Hva betyr det hvis du er felles datakontrollører?

Artikkel 26 sier at dersom partene i fellesskap bestemmer formålet med og måtene for behandlingen, anses begge som felles behandlingsansvarlige. GDPR går ikke nærmere inn på denne prosessen og nevner den bare i forbifarten i artikkel 30 og 36.

• Når to eller flere behandlingsansvarlige i fellesskap bestemmer seg for formål og behandlingsmetoder, er de felles behandlingsansvarlige.
• Hver behandlingsansvarlig skal fastsette sitt respektive ansvar for overholdelse av forpliktelsene i henhold til denne forordning, særlig når det gjelder utøvelsen av den registrertes rettigheter (artikkel 13.), på en gjennomsiktig måte, unntatt der det ikke er mulig, i så fall skal de gjøre passende ordninger mellom dem.
• Ordningen kan utpeke et kontaktpunkt for registrerte.

Er du en Joint Controller Sjekkliste:

• Vi har et felles mål med andre markedsførere når det gjelder behandling av data.
• Vi behandler personopplysninger til samme formål som et annet selskap.
• Den andre behandlingsansvarlige bruker det samme settet med personopplysninger som vi bruker for denne behandlingen.
• Vi har designet denne prosessen med en annen kontroller.
• Vi deler vanlige regler for informasjonshåndtering med en annen behandlingsansvarlig.

Klausulene i artikkel 26 (GDPR) om felles kontrollansvar er svært korte, men de har skapt mye diskusjon og usikkerhet for organisasjoner.

Konseptet med felles kontroll er ikke spesielt nytt, men anvendelsen etter GDPR i det moderne databehandlingsøkosystemet er kompleks. Å avklare hvordan partene anses som felleskontrollanter definerer deres respektive overholdelsesansvar og delt ansvar for enkeltpersoner og databeskyttelse autoriteter.

Kan du være både dataansvarlig og databehandler?

Er du en kontrollør, en prosessor eller begge deler?

En enhet/organisasjon kan være en behandlingsansvarlig, eller en databehandler, eller begge. Samme organisasjon kan være både behandlingsansvarlig og databehandler. For eksempel, hvis vår analyseleverandør kjører en kundes data gjennom sine systemer, vil leverandøren være behandler av disse dataene.

Imidlertid kan analyseleverandøren ha et hvilket som helst antall andre datasett, kanskje som den bruker i sine analyseverktøy. Hvis analyseleverandøren har rett til å bestemme hvordan disse tilleggsdataene brukes, vil den være behandlingsansvarlig for disse dataene.

Hvordan avgjør du om du er behandlingsansvarlig eller persondatabehandler?

Dine GDPR-forpliktelser vil avhenge av om du er behandlingsansvarlig, databehandler eller felleskontrollør. Derfor er det viktig at du nøye vurderer din rolle og ansvar angående dine databehandlingsaktiviteter for å avgjøre om du er en behandlingsansvarlig, en databehandler eller felles behandlingsansvarlige.

Er du en datakontrollør?

• Det er nødvendig å samle inn eller behandle personopplysninger.
• Hva formålet med eller resultatet av behandlingen skulle være.
• Vi bestemte hvilke personopplysninger vi ønsket å samle inn.
• Vi valgte ut personene vi skulle samle inn personopplysninger om.
• En kommersiell fordel eller gevinst ved behandlingen, bortsett fra eventuelle betalinger for tjenester fra en annen behandlingsansvarlig.
• Som et resultat av en kontrakt mellom oss og den registrerte, behandler vi personopplysningene deres.
• Våre "registrerte" er våre ansatte.
• Vi tar beslutninger om de involverte personene som en del av eller som et resultat av behandlingen.
• Utøve faglig skjønn i behandlingen av personopplysningene til "registrerte".
• Det er et direkte forhold mellom oss og registrerte.
• Vi har full makt over hvordan dataene behandles.
• Vi har autorisert databehandlerne til å behandle personopplysningene på våre vegne.

Selv om du ikke er direkte involvert i å samle inn data, er du fortsatt potensielt ansvarlig for manglende overholdelse av GDPR. Derfor er du ansvarlig for å sikre deg vise samsvar med forskriftens databeskyttelsesprinsipper.

GDPR-overholdelse og datakontrollørers ansvar

Hva definerer GDPR som en dataansvarlig?

Den generelle databeskyttelsesforordningen skiller mellom en "databehandler" og en "databehandler" i Storbritannia.

Dette bidrar til å identifisere at ikke alle organisasjoner som er involvert i behandlingen av personlig informasjon har samme grad av ansvar. UK GDPR definerer disse begrepene som:

Personen eller organisasjonen som bestemmer "hvorfor" og "hvordan" personopplysninger skal behandles er kjent som behandlingsansvarlig.

Anta at et selskap behandler personopplysninger for å hjelpe en bestemt person (som en ansatt) med å utføre sine oppgaver. I så fall fungerer den ansatte som databehandler.

En "databehandler" er enhver virksomhet eller enkeltperson som behandler personopplysninger på vegne av en annen. Oppsummert er de en agent for behandlingsansvarlig.

De seks databeskyttelsesprinsippene

De seks kjerneprinsippene for det generelle Databeskyttelsesregimet er fastsatt i artikkel 5 i Storbritannias GDPR disposisjon:

Første databeskyttelsesprinsipp

Det første prinsippet om personvern er rimelig selvinnlysende. En organisasjon bør sikre at dens datainnsamlingspraksis er lovlig og ikke skjuler noe for de registrerte. For å overholde, som behandlingsansvarlig, må du forstå GDPR og dens regler for datainnsamling grundig. I tillegg bør du publisere personvernreglene dine som angir nøyaktig hvilke data du samler inn og hvorfor du samler inn dem.

Andre databeskyttelsesprinsipp

Organisasjoner bør begrense mengden personopplysninger de samler inn til det som er nødvendig for å oppfylle deres formål. De bør også sørge for at dataene de samler inn er nøyaktige, oppdaterte og ikke oppbevares lenger enn det som kreves for å oppfylle disse formålene. En behandlingsansvarlig vil få større spillerom dersom behandlingen din gjøres for arkivformål, offentlig interesse, vitenskapelige, historiske eller statistiske formål.

Tredje databeskyttelsesprinsipp

En organisasjon må kun behandle personopplysninger som er nødvendige for å oppnå formålet. Dette har to betydelige fordeler. I tilfelle et datainnbrudd oppstår, vil en person bare ha tilgang til en liten mengde data. Det er også lettere å holde data nøyaktige.

Fjerde databeskyttelsesprinsipp

Datanøyaktighet er avgjørende for personvernet. GDPR hevder at "alle rimelige skritt" må tas for å korrigere, slette eller ødelegge data som ikke er nøyaktige eller fullstendige. Enkeltpersoner har rett til å be om at unøyaktige eller ufullstendige data blir rettet eller oppdatert innen 30 dager. Det kan imidlertid være umulig å korrigere eller oppdatere dataene i andre tilfeller, og dataene må kanskje fjernes.

Femte databeskyttelsesprinsipp

Alle organisasjoner må slette personopplysninger når det ikke lenger er nødvendig. Hvor lenge bør en organisasjon beholde kundedata? Det varierer mellom bransjer og årsakene til at dataene samles inn. Enhver organisasjon som er usikker på hvor lenge den skal beholde personopplysninger, bør konsultere en juridisk profesjonell.

Sjette databeskyttelsesprinsipp

GDPR krever at personopplysninger er sikret. Data bør beskyttes mot tap, ødeleggelse eller skade. Den bør også beskyttes mot uautorisert behandling og mot utilsiktet tap ved bruk av passende tekniske eller organisatoriske tiltak. GDPR er bevisst vag om hva organisasjoner bør gjøre fordi teknologiske og organisatoriske beste praksis er i konstant endring.

Sjekkliste for dataansvarlig

Sjekklisten nedenfor hjelper deg med å finne ut hva du skal gjøre hvis du er behandlingsansvarlig.

Informasjonen du har

Bedriften din har fullført en informasjon revisjon for å finne ut hvor dataene i virksomheten din befinner seg.

Behandling av data på lovlig grunnlag

Din bedrift har dokumentert og identifisert ditt lovlige grunnlag for behandling av data.

Samtykke og kontroll

UK General Data Protection Regulation setter en meget høy standard for samtykke. Du trenger imidlertid ikke alltid samtykke. I noen tilfeller vil det å tilby folk reelle valgmuligheter og kontroll over hvordan du bruker dataene deres, forbedre omdømmet ditt og skape mer tillit. GDPR bygger på 1998-lovens standard for samtykke på flere områder og inneholder mer detaljer om hva som utgjør gyldig samtykke og andre lovlige grunnlag for behandling av personers data.

Behandling av barns personopplysninger for nettjenester og samtykke

Du må ha et lovlig grunnlag for å behandle en mindreårigs personopplysninger. Hvis du er avhengig av samtykke som det lovlige grunnlaget for å behandle data og du tilbyr nettjenester til barn, må du gjøre rimelige anstrengelser for å bekrefte at alle som gir sitt eget samtykke er gamle nok til å gjøre det. Derfor må du sørge for at alle som gir ditt samtykke til deg er over 13 år.

Hvis du yter en nettjeneste for barn under 13 år, må du først innhente samtykke fra den som har foreldreansvaret for barnet. Du må da bruke rimelig innsats for å verifisere at den som gir samtykke for barnet har foreldreansvaret.

Vitale interesser til enkeltpersoner

Hvis du må behandle noen form for data for å beskytte interessene til en enkeltperson, må virksomheten din dokumentere omstendighetene der det vil være relevant og informere disse personene der det er nødvendig.

Berettigede interesser for databehandling

Hvis du stoler på legitime interesser som det lovlige grunnlaget for behandlingen, har virksomheten din vist at den har vurdert og beskyttet enkeltpersoners rettigheter og interesser.

Kostnad for databeskyttelsesgebyr

Alle organisasjoner eller virksomheter som behandler personlig informasjon må betale et gebyr til ICO med mindre de er fritatt.

Hvilke organisatoriske tiltak kan du ta for å stoppe datainnbrudd

Hva betyr dette for din organisasjon/bedrift?

For å være sikker, anta alltid at alt du lagrer om en kunde er personopplysninger og sikre deg overholde loven/databeskyttelse Handle når det gjelder lagring og behandling av disse dataene. Sørg for at dine kunders behandling av personopplysninger er sikker, i samsvar med personvernforskriftene og at du sletter den umiddelbart når den ikke lenger er nødvendig.

Det er viktig å vurdere pseudonymisering og/eller kryptering av personopplysninger når det er en spesiell kategori av personopplysninger. For å gjøre det, erstatt identifiserende informasjon med "kunstige identifikatorer". Dette vil sikre at personopplysningene forblir sikre.

Selv om det er nevnt 15 ganger i GDPR, er ikke pseudonymisering alene nok; det har sine begrensninger, så kryptering er også nevnt i GDPR.

Kryptering forvrider eller koder informasjon ved å erstatte den med noe annet. Pseudonymisering tillater alle med tilgang til dataene i organisasjonen din å se det datasettet, kryptering på den annen side tillater bare "godkjente" brukere tilgang det komplette datasettet.

Det er mulig å bruke både pseudonymisering og kryptering samtidig eller separat under GDPR.

Du trenger en personvernombud

Storbritannias GDPR krever at du utpeker en Databeskyttelsesansvarlig (DPO). Denne DPO er ansvarlig for å sikre din organisasjon overholder de nye forskriftene. De vil også samarbeide med deg om nødvendige endringer i dine databehandlingsprosedyrer.

Databeskyttelsesansvarlige hjelper deg med å overvåke din overholdelse av databeskyttelseslover og gi råd om databeskyttelseskonsekvensvurderinger (DPIA). DPOer fungerer også som et kontaktpunkt for registrerte og ICO. En DPO er noen som allerede er ansatt i bedriften din, eller kanskje noen som ikke har noen tidligere tilknytning til virksomheten din i det hele tatt.

Databeskyttelsesansvarlig må være uavhengig, en ekspert på databeskyttelse, tilstrekkelig finansiert og rapportere til høyeste ledelsesnivå. Flere organisasjoner kan i noen tilfeller utnevne en enkelt DPO.

Rollen til DPO i organisasjonen din

• Databeskyttelsesansvarlig har mange viktige ansvarsområder, inkludert overvåking av overholdelse av databeskyttelse, sikre at du er klar over nye databeskyttelsesforskrifter, føre tilsyn med opplæring og utføre revisjoner.
• Vi vil ta hensyn til rådene fra vår databeskyttelsesansvarlige og informasjonen de gir om våre databeskyttelsesforpliktelser.
• Under en DPIA søker vi alltid råd fra vår DPO, som også overvåker prosessen.
• Databeskyttelsesansvarlige vil rådføre seg om andre saker og samarbeide med ICO.
• Når du utfører oppgavene deres, vurderer din DPO arten, omfanget, konteksten, formålene med behandlingen og risikoen forbundet med disse behandlingsoperasjonene.

Oppdatert sikkerhetsprogramvare

Ett av de grunnleggende prinsippene i Storbritannias GDPR er at du må sikre behandlingen av personopplysninger ved å bruke hensiktsmessige organisatoriske tiltak. Dette er "sikkerhetsprinsippet".

Du må ta rimelige tiltak utformet for å sikre konfidensialitet, integritet og tilgjengelighet til systemene og tjenestene dine og personopplysningene du behandler i dem.

De mest betydelige GDPR-bøtene – foreløpig

1. Amazon – €746 millioner
2. Google – €50 millioner
3. H&M – €35 millioner
4. TIM – €27.8 millioner
5. British Airways – 22 millioner euro
6. Marriott – 20.4 millioner euro
7. Vind – 17 millioner euro
8. Vodafone Italia – €12.3 millioner

Som du kan se over, er det økonomiske straffer for å bryte GDPR er ikke billig.

Det er ulike trinn du kan ta for å gjøre bedriften din kompatibel:

• Analyser risikoene som presenteres av databehandlingen din, og bruk denne informasjonen til å bestemme sikkerhetsnivået organisasjonen din trenger å sette på plass.
• Identifiser hva bedriften din trenger å gjøre ved å vurdere sikkerhetsresultatene du ønsker å oppnå.
• Sett på plass alle de essensielle tekniske kontrollene spesifisert av rammeverk som Cyber ​​Essentials (KUN UK).
• Forstå at noen ganger må du iverksette ytterligere sikkerhetstiltak, avhengig av dine spesifikke omstendigheter og typen personopplysninger du behandler.
• Der det er hensiktsmessig å gjøre det, bruk kryptering og/eller pseudonymisering.
• Sørg for at du har en passende prosess på plass for å sikkerhetskopiere kundenes data i tilfelle en hendelse, for eksempel ved å sørge for at du har et passende eksternt lagringsanlegg.
• Ved å bruke en anerkjent databehandler sikrer du at de har iverksatt hensiktsmessige tekniske og organisatoriske tiltak.

Retningslinjer for eksternt arbeid og GDPR-overholdelse

Fjernarbeid eller fleksible arbeidsordninger er blant de viktigste faktorene når du søker jobb. De fleste arbeidsgivere har ikke en formell politikk for eksternt arbeid, til tross for det økende antallet selskaper som tilbyr eksterne jobbmuligheter. Dette gjør deg sårbar.

Alle virksomheter/organisasjoner bør ha en robust policy for fjernarbeid på plass. Det vil hjelpe deg med å veilede den operasjonelle modellen til virksomheten din.

Det er også viktig for eksterne utviklere å forstå hvordan de samler inn og får tilgang til data på en GDPR-kompatibel måte.

Etabler en policy for fjernarbeid for å regulere og dekke datatilgjengelighet

• Utbyggers ansvar bør skisseres.
• En policy for ekstern tilgang er nødvendig.
• Sterke passordsystemer bør på plass. f.eks LastPass.
• Bruk av offentlig trådløst internett.
• Krypter alle eksterne ansattes enheter og håndhev datakryptering for alle, også de som er logget på via deres personlige enheter.
• Klare og handlingsrettede prosedyrer bør være på plass for ansatte for å rapportere hendelser.
• For å fylle sikkerhetshull, se gjennom retningslinjene fra tid til annen og oppdater retningslinjene for arbeid hjemmefra i henhold til dine behov.

Finn måter å forsterke retningslinjene for hjemmearbeid med ansattes opplæring og bevisstgjøringsøkter.