Databehandleren behandler kun identifiserbare personopplysninger på vegne av behandlingsansvarlig. Databehandleren er vanligvis en tredjepart som er ekstern i forhold til selskapet.
I en kontrakt eller en annen rettsakt må databehandlerens plikter overfor den behandlingsansvarlige spesifiseres, for eksempel å informere behandlingsansvarlige om hva som skjer med personopplysninger når en privat kontrakt avsluttes.
Databehandlere inkluderer maskiner som utfører operasjoner på data, for eksempel kalkulatorer eller datamaskiner, og nå kan skytjenesteleverandører merkes som databehandlere.
En tredjeparts databehandler eier eller kontrollerer ikke dataene de behandler. Databehandleren kan ikke endre formålet med dataene eller hvordan de brukes.
Databehandlere utfører ulike databehandlingsoppgaver for en virksomhet, som å lagre data, hente data, kjøre lønn, markedsføringsaktiviteter eller sørge for sikkerhet for data.
Behandling definerer enhver operasjon eller et sett med operasjoner som utføres på personopplysninger eller sett med individuelle private data, enten ved automatiserte midler eller ikke, slik som innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, konsultasjon, bruk, avsløring ved overføring, formidling.
på Generell databeskyttelsesforordning (GDPR), den behandlingsansvarlige og databehandleren har lignende ansvar, og under GDPR følger også lignende prinsipper. Sammenlignet med forgjengeren til GDPR er det ikke så store endringer når det gjelder hva en databehandler er.
Databehandlere må bistå behandlingsansvarlige under visse omstendigheter, for eksempel i en potensiell varsel om brudd på personopplysninger eller vurdere en Data Protection Impact Assessment (DPIA).
Behandlingsansvarlig for din organisasjons HR-avdeling har metoder for å behandle personopplysninger til søkere og ansatte som må beskyttes. Det er mulig at noen av HR-databehandlingsaktivitetene kan utføres av en tredjepart. En prosessor er et selskap du skal outsource til.
Markedsføringsteamet ditt behandler personopplysninger om potensielle kunder og eksisterende kunder. Sistnevnte er prosessorer når de samarbeider med et e-postmarkedsføringsselskap eller et byrå som bruker disse dataene til kampanjer.
Når du vil at en potensiell kunde skal ringe til et spesifikt nummer i omfanget av en kampanje på TV, og så videre, kan du ha outsourcet de inngående kontaktsenteraktivitetene til organisasjonen din eller brukt et kundesenter.
De registrerte er personene som ringer inn, og kontaktsenteret blir behandler.
Behandleren eier aldri personopplysningene. Den behandlingsansvarlige eier ikke personopplysningene til sine kunder, potensielle kunder, ansatte eller noen andre. Den fysiske personen eier personopplysningene.
Hvis en databehandler bruker en underdatabehandler for å hjelpe til med behandlingen av personopplysninger for en behandlingsansvarlig, må databehandleren din ha en skriftlig kontrakt med denne underdatabehandleren. En underbehandler er vanligvis en annen organisasjon.
Jeg vil absolutt anbefale ISMS.online, det gjør oppsett og administrasjon av ISMS så enkelt som det kan bli.
For eksempel er det mange ansatte ved bryggeriet. Selskapet signerer kontrakt med et lønnsselskap om utbetaling av lønn.
Når en ansatt har lønnsøkning eller slutter, forteller bryggeriet lønnsselskapet når lønnen skal eller ikke skal betales.
Bryggeriet vil være behandlingsansvarlig, og lønnsselskapet vil være databehandler.
Den generelle databeskyttelsesforordningen har skissert de ulike rollene og ansvaret som forventes av en behandlingsansvarlig eller en databehandler.
Du kan være trygg på at du har oppnådd alt som må gjøres fra din side ved å sørge for at du følger loven.
Behandlere har mindre uavhengighet over dataene de behandler, men de har juridiske forpliktelser under den britiske GDPR-loven og er underlagt reguleringer av myndighetene.
Hvis du er en databehandler, har du noen ansvar og forpliktelser, for eksempel:
Du må føre journal og vedlikeholde og utnevne en databeskyttelsesansvarlig for å overholde visse GDPR ansvarsforpliktelser.
Storbritannias forbud mot å overføre personopplysninger til andre mennesker stemmer overens med EUs forbud mot å overføre personopplysninger til andre mennesker. Du må sørge for at enhver overføring utenfor Storbritannia er godkjent av kontrolløren og overholder UK GDPRs overføringsbestemmelser.
Du er forpliktet til å hjelpe myndighetene med å utføre sine oppgaver ved å samarbeide med dem, som f.eks Informasjonskommissærens kontor (ICO).
Datakontrollører må sørge for at de samarbeider med databehandlere som tilbyr garantier angående deres evne til å behandle personopplysninger og overholder GDPR og beskyttelse av rettighetene til den registrerte.
UK GDPR gjelder for databehandling utført av organisasjoner i Storbritannia. Det gjelder organisasjoner utenfor Storbritannia som tilbyr varer eller tjenester til enkeltpersoner i Storbritannia.
I henhold til GDPR er visse aktiviteter ikke underlagt databeskyttelsesloven, inkludert behandling for nasjonale sikkerhetsformål, behandling som håndteres av enkeltpersoner utelukkende for personlige/husholdningsaktiviteter og behandling som dekkes av Rettshåndhevelsesdirektivet.
Brexit-overgangsperioden ble avsluttet i desember 2020. Britiske organisasjoner som behandler personopplysninger må overholde:
Det er minimale forskjeller mellom Storbritannias GDPR og tilsvarende EU. EUs struktur er løftet av Storbritannia og satt på plass i landets lov.
En skreddersydd praktisk økt basert på dine behov og mål
Behandlere har færre forpliktelser, men må være forsiktige med kun å behandle personopplysninger i henhold til behandlingsansvarligs instruksjoner.
De Data Protection Den ansvarlige, som selskapet eventuelt har utpekt, er ansvarlig for å føre tilsyn med hvordan personopplysninger behandles og for å varsle og gi råd til ansatte som behandler personopplysninger.
DPOen kommuniserer og samarbeider også med Data Protection Myndighet (DPA).
Det er et krav for din bedrift å utnevne en DPO når:
Databeskyttelsesansvarlig kan være medlem av organisasjonen din, eller den kan være inngått på grunnlag av en tjenestekontrakt.
En databehandler er en fysisk person, etat, offentlig myndighet eller ethvert annet organ som har personopplysninger på vegne av en behandlingsansvarlig.
Personalet ditt behandler dataene i henhold til instruksjonene dine. Teamet ditt anses ikke for å være tredjeparter i juridisk forstand, og derfor er all behandling de gjør en del av handlingen til en behandlingsansvarlig.
Hvis du bruker ansatte, har du ikke direkte arbeidsavtale med for eksempel byråansatte som byrået betaler. Byrået fungerer som databehandler.
Følgende liste forklarer de typiske oppgavene til en databehandler:
Markedsføringsteamet ditt samler inn personopplysninger om potensielle og eksisterende kunder. Når organisasjonen din jobber med et e-postmarkedsføringsselskap eller et byrå som bruker disse dataene, er sistnevnte prosessorer.
ISMS.online gjør det så enkelt som mulig å sette opp og administrere ISMS.
Artikkel 5 i GDPR-prinsippene skisserer tydelig hva en registrert kan forvente når de behandler personopplysningene sine.
Personlig identifiserbare data er all informasjon som kan brukes til å identifisere en person. Dette inkluderer navn, adresser, telefonnumre, kredittkortdetaljer og lignende.
Det som identifiserer en person kan være like enkelt som et navn eller et nummer, eller det kan inkludere andre faktorer som en internettprotokolladresse eller en informasjonskapselidentifikator.
Hvis du kan identifisere en person direkte fra informasjonen du behandler, kan denne informasjonen være personopplysninger.
Du må tenke på om personen fortsatt er identifiserbar hvis du ikke kan identifisere dem direkte. Alle ressursene som med rimelighet vil bli brukt til å identifisere den personen bør vurderes, sammen med informasjonen du behandler.
Å ta hensyn til en rekke faktorer, inkludert innholdet i dataene, formålet eller formålene med at du behandler dem, og den sannsynlige innvirkningen av denne behandlingen på individet er det du må vurdere når du vurderer om informasjon "relaterer" til en person .
Det er mulig at den samme informasjonen er personlig identifiserbar for én behandlingsansvarligs formål, men er ikke personlig identifiserbar for formålene til en annen behandlingsansvarlig.
Informasjon som har blitt fjernet eller erstattet for å skjule dataene er fortsatt personopplysninger i henhold til UK GDPR.
Informasjon som er virkelig anonym dekkes ikke av Storbritannias generelle databeskyttelsesforordning.
Informasjon som ser ut til å relatere til en bestemt person er fortsatt personopplysninger, ettersom den er relatert til den personen, selv om den ikke er nøyaktig.
Å sørge for at virksomheten din er GDPR-kompatibel er avgjørende. En utmerket måte å starte dette på er ved å gjennomføre en informasjonsrevisjon og/eller datakartlegging for å sikre at du vet hvilke personopplysninger organisasjonen din har og hvor.
Selskapet ilegges bøter dersom de ikke fører register over behandlingsaktiviteter eller gir en fullstendig indeks til myndighetene. Dette er i henhold til artikkel 83.4.a i GDPR-forordningen.
Last ned din gratis guide
for å strømlinjeforme din Infosec