Behandlingsansvarlig er selskapet eller personen som har makt til å bestemme hva som skjer med dataene dine.
I mange land er "innehaveren" av data selskapet som samlet dem. Andre steder, som i EU, kan imidlertid "innehaveren" av data være et myndighetsorgan eller en annen enhet.
Behandlingsansvarlig bestemmer beslutninger om formål og prosedyrer for hvordan og hvorfor et selskap/nettsted vil bruke dataene. Vanligvis er dette eieren eller administratoren av nettstedet. Hvis du har en nettside, må du være det GDPR-kompatibel. Det er forskjellige skritt du må ta for å forbli i samsvar med de nye forskriftene, inkludert de som kreves av EU.
Behandlingsansvarlig er personen eller selskapet som bestemmer hvilke formål og hvordan opplysningene skal behandles. Derfor, hvis din bedrift bestemmer "hvorfor" og "hvordan" dataene skal behandles, er det behandlingsansvarlig.
Som behandlingsansvarlig er en person eller organisasjon ansvarlig for å sikre at behandlingen din er i samsvar med Generell databeskyttelsesforordning (GDPR).
Dette inkluderer å sikre at alle data som behandles på dine vegne er tilstrekkelige, nøyaktige, rettidige og sikre.
Behandlingsansvarliges plikter: Dere (de enkelte behandlingsansvarlige) må avtale hvem som skal oppfylle spesifikke behandlingsforpliktelser pr GDPR som hver kontrollør er ansvarlig for overholdelse med alle GDPR-ansvar.
Artikkel 26 sier at dersom partene i fellesskap bestemmer formålet med og måtene for behandlingen, anses begge som felles behandlingsansvarlige. GDPR går ikke nærmere inn på denne prosessen og nevner den bare i forbifarten i artikkel 30 og 36.
Klausulene i artikkel 26 (GDPR) om felles kontrollansvar er svært korte, men de har skapt mye diskusjon og usikkerhet for organisasjoner.
Konseptet med felles kontroll er ikke spesielt nytt, men anvendelsen etter GDPR i det moderne databehandlingsøkosystemet er kompleks. Å avklare hvordan partene anses som felleskontrollanter definerer deres respektive overholdelsesansvar og delt ansvar for enkeltpersoner og databeskyttelse autoriteter.
En enhet/organisasjon kan være en behandlingsansvarlig, eller en databehandler, eller begge. Samme organisasjon kan være både behandlingsansvarlig og databehandler. For eksempel, hvis vår analyseleverandør kjører en kundes data gjennom sine systemer, vil leverandøren være behandler av disse dataene.
Imidlertid kan analyseleverandøren ha et hvilket som helst antall andre datasett, kanskje som den bruker i sine analyseverktøy. Hvis analyseleverandøren har rett til å bestemme hvordan disse tilleggsdataene brukes, vil den være behandlingsansvarlig for disse dataene.
Dine GDPR-forpliktelser vil avhenge av om du er behandlingsansvarlig, databehandler eller felleskontrollør. Derfor er det viktig at du nøye vurderer din rolle og ansvar angående dine databehandlingsaktiviteter for å avgjøre om du er en behandlingsansvarlig, en databehandler eller felles behandlingsansvarlige.
Selv om du ikke er direkte involvert i å samle inn data, er du fortsatt potensielt ansvarlig for manglende overholdelse av GDPR. Derfor er du ansvarlig for å sikre deg vise samsvar med forskriftens databeskyttelsesprinsipper.
ISMS.online vil spare deg for tid og penger mot ISO 27001-sertifisering og gjøre det enkelt å vedlikeholde.
Informasjonssikkerhetssjef, Honeysuckle Health
Den generelle databeskyttelsesforordningen skiller mellom en "databehandler" og en "databehandler" i Storbritannia.
Dette bidrar til å identifisere at ikke alle organisasjoner som er involvert i behandlingen av personlig informasjon har samme grad av ansvar. UK GDPR definerer disse begrepene som:
Personen eller organisasjonen som bestemmer "hvorfor" og "hvordan" personopplysninger skal behandles er kjent som behandlingsansvarlig.
Anta at et selskap behandler personopplysninger for å hjelpe en bestemt person (som en ansatt) med å utføre sine oppgaver. I så fall fungerer den ansatte som databehandler.
En "databehandler" er enhver virksomhet eller enkeltperson som behandler personopplysninger på vegne av en annen. Oppsummert er de en agent for behandlingsansvarlig.
De seks kjerneprinsippene for det generelle Databeskyttelsesregimet er fastsatt i artikkel 5 i Storbritannias GDPR disposisjon:
Det første prinsippet om personvern er rimelig selvinnlysende. En organisasjon bør sikre at dens datainnsamlingspraksis er lovlig og ikke skjuler noe for de registrerte. For å overholde, som behandlingsansvarlig, må du forstå GDPR og dens regler for datainnsamling grundig. I tillegg bør du publisere personvernreglene dine som angir nøyaktig hvilke data du samler inn og hvorfor du samler inn dem.
Organisasjoner bør begrense mengden personopplysninger de samler inn til det som er nødvendig for å oppfylle deres formål. De bør også sørge for at dataene de samler inn er nøyaktige, oppdaterte og ikke oppbevares lenger enn det som kreves for å oppfylle disse formålene. En behandlingsansvarlig vil få større spillerom dersom behandlingen din gjøres for arkivformål, offentlig interesse, vitenskapelige, historiske eller statistiske formål.
En organisasjon må kun behandle personopplysninger som er nødvendige for å oppnå formålet. Dette har to betydelige fordeler. I tilfelle et datainnbrudd oppstår, vil en person bare ha tilgang til en liten mengde data. Det er også lettere å holde data nøyaktige.
Datanøyaktighet er avgjørende for personvernet. GDPR hevder at "alle rimelige skritt" må tas for å korrigere, slette eller ødelegge data som ikke er nøyaktige eller fullstendige. Enkeltpersoner har rett til å be om at unøyaktige eller ufullstendige data blir rettet eller oppdatert innen 30 dager. Det kan imidlertid være umulig å korrigere eller oppdatere dataene i andre tilfeller, og dataene må kanskje fjernes.
Alle organisasjoner må slette personopplysninger når det ikke lenger er nødvendig. Hvor lenge bør en organisasjon beholde kundedata? Det varierer mellom bransjer og årsakene til at dataene samles inn. Enhver organisasjon som er usikker på hvor lenge den skal beholde personopplysninger, bør konsultere en juridisk profesjonell.
GDPR krever at personopplysninger er sikret. Data bør beskyttes mot tap, ødeleggelse eller skade. Den bør også beskyttes mot uautorisert behandling og mot utilsiktet tap ved bruk av passende tekniske eller organisatoriske tiltak. GDPR er bevisst vag om hva organisasjoner bør gjøre fordi teknologiske og organisatoriske beste praksis er i konstant endring.
Last ned din gratis guide
for å strømlinjeforme din Infosec
Sjekklisten nedenfor hjelper deg med å finne ut hva du skal gjøre hvis du er behandlingsansvarlig.
Bedriften din har fullført en informasjon revisjon for å finne ut hvor dataene i virksomheten din befinner seg.
Din bedrift har dokumentert og identifisert ditt lovlige grunnlag for behandling av data.
UK General Data Protection Regulation setter en meget høy standard for samtykke. Du trenger imidlertid ikke alltid samtykke. I noen tilfeller vil det å tilby folk reelle valgmuligheter og kontroll over hvordan du bruker dataene deres, forbedre omdømmet ditt og skape mer tillit. GDPR bygger på 1998-lovens standard for samtykke på flere områder og inneholder mer detaljer om hva som utgjør gyldig samtykke og andre lovlige grunnlag for behandling av personers data.
Du må ha et lovlig grunnlag for å behandle en mindreårigs personopplysninger. Hvis du er avhengig av samtykke som det lovlige grunnlaget for å behandle data og du tilbyr nettjenester til barn, må du gjøre rimelige anstrengelser for å bekrefte at alle som gir sitt eget samtykke er gamle nok til å gjøre det. Derfor må du sørge for at alle som gir ditt samtykke til deg er over 13 år.
Hvis du yter en nettjeneste for barn under 13 år, må du først innhente samtykke fra den som har foreldreansvaret for barnet. Du må da bruke rimelig innsats for å verifisere at den som gir samtykke for barnet har foreldreansvaret.
Hvis du må behandle noen form for data for å beskytte interessene til en enkeltperson, må virksomheten din dokumentere omstendighetene der det vil være relevant og informere disse personene der det er nødvendig.
Hvis du stoler på legitime interesser som det lovlige grunnlaget for behandlingen, har virksomheten din vist at den har vurdert og beskyttet enkeltpersoners rettigheter og interesser.
Alle organisasjoner eller virksomheter som behandler personlig informasjon må betale et gebyr til ICO med mindre de er fritatt.
Bestill en skreddersydd praktisk økt basert på dine behov og mål.
For å være sikker, anta alltid at alt du lagrer om en kunde er personopplysninger og sikre deg overholde loven/databeskyttelse Handle når det gjelder lagring og behandling av disse dataene. Sørg for at dine kunders behandling av personopplysninger er sikker, i samsvar med personvernforskriftene og at du sletter den umiddelbart når den ikke lenger er nødvendig.
Det er viktig å vurdere pseudonymisering og/eller kryptering av personopplysninger når det er en spesiell kategori av personopplysninger. For å gjøre det, erstatt identifiserende informasjon med "kunstige identifikatorer". Dette vil sikre at personopplysningene forblir sikre.
Selv om det er nevnt 15 ganger i GDPR, er ikke pseudonymisering alene nok; det har sine begrensninger, så kryptering er også nevnt i GDPR.
Kryptering forvrider eller koder informasjon ved å erstatte den med noe annet. Pseudonymisering tillater alle med tilgang til dataene i organisasjonen din å se det datasettet, kryptering på den annen side tillater bare "godkjente" brukere tilgang det komplette datasettet.
Det er mulig å bruke både pseudonymisering og kryptering samtidig eller separat under GDPR.
Storbritannias GDPR krever at du utpeker en Databeskyttelsesansvarlig (DPO). Denne DPO er ansvarlig for å sikre din organisasjon overholder de nye forskriftene. De vil også samarbeide med deg om nødvendige endringer i dine databehandlingsprosedyrer.
Databeskyttelsesansvarlige hjelper deg med å overvåke din overholdelse av databeskyttelseslover og gi råd om databeskyttelseskonsekvensvurderinger (DPIA). DPOer fungerer også som et kontaktpunkt for registrerte og ICO. En DPO er noen som allerede er ansatt i bedriften din, eller kanskje noen som ikke har noen tidligere tilknytning til virksomheten din i det hele tatt.
Databeskyttelsesansvarlig må være uavhengig, en ekspert på databeskyttelse, tilstrekkelig finansiert og rapportere til høyeste ledelsesnivå. Flere organisasjoner kan i noen tilfeller utnevne en enkelt DPO.
Ett av de grunnleggende prinsippene i Storbritannias GDPR er at du må sikre behandlingen av personopplysninger ved å bruke hensiktsmessige organisatoriske tiltak. Dette er "sikkerhetsprinsippet".
Du må ta rimelige tiltak utformet for å sikre konfidensialitet, integritet og tilgjengelighet til systemene og tjenestene dine og personopplysningene du behandler i dem.
Som du kan se over, er det økonomiske straffer for å bryte GDPR er ikke billig.
Det er ulike trinn du kan ta for å gjøre bedriften din kompatibel:
Fjernarbeid eller fleksible arbeidsordninger er blant de viktigste faktorene når du søker jobb. De fleste arbeidsgivere har ikke en formell politikk for eksternt arbeid, til tross for det økende antallet selskaper som tilbyr eksterne jobbmuligheter. Dette gjør deg sårbar.
Alle virksomheter/organisasjoner bør ha en robust policy for fjernarbeid på plass. Det vil hjelpe deg med å veilede den operasjonelle modellen til virksomheten din.
Det er også viktig for eksterne utviklere å forstå hvordan de samler inn og får tilgang til data på en GDPR-kompatibel måte.
Finn måter å forsterke retningslinjene for hjemmearbeid med ansattes opplæring og bevisstgjøringsøkter.
En skreddersydd praktisk økt basert på dine behov og mål