Informasjonskommissærens kontor (ICO) har utvidet veiledningen sin om delen "Lovlig grunnlag for behandling" i Generell databeskyttelsesforskrift (GDPR).
'Lovlig grunnlag for Behandling' gir informasjon om hvordan personopplysninger bør behandles og hvordan samtykke skal innhentes – hvis du i det hele tatt er pålagt å innhente samtykke.
La oss ta en titt på den oppdaterte veiledningen om GDPR utgitt av ICO.
Artikkel 6(1)(f) i GDPR sier at du lovlig kan behandle data uten å innhente samtykke ved å bruke legitim interesse. Dette er hvordan ICO beskriver bruken sin under GDPR:
«GDPR nevner spesifikt bruk av klient- eller ansattdata, markedsføring, svindelforebygging, overføringer mellom grupper eller IT-sikkerhet som potensielle legitime interesser, men dette er ikke en uttømmende liste. Det står også at du har en berettiget interesse i å avsløre informasjon om mulige kriminelle handlinger eller sikkerhet trusler mot myndighetene."
ICO fortsetter med å si at behandling av data må være en målrettet og forholdsmessig måte å oppnå formålet ditt på. Det betyr at du ikke kan stole på legitime interesser hvis det er en annen rimelig og mindre påtrengende måte å oppnå samme resultat på.»
Hvilke tillegg er det foretatt i det berettigede interessegrunnlaget?
De ICO sier at det lovlige grunnlaget for legitim interesse "i hovedsak" er det samme som Schedule 2-betingelsen i Data Protection Act (DPA) 1998.
Endringene som er gjort gjelder hovedsakelig:
Det hjelper å drive oppførselen vår på en positiv måte som fungerer for oss
og vår kultur.
Hvis du ikke bruker ISMS.online, gjør du livet ditt vanskeligere enn det trenger å være!
Behovet for å dokumentere beslutningsprosessen din er sannsynligvis den største endringen til dagens Data Protection Handling. Beviset og revisjonssporet du beholder, som i en styringssystem for informasjonssikkerhet, lar deg enkelt demonstrere samsvar.
Berettiget interesse kan omfatte behandling av data uten å innhente samtykke dersom det anses å ha en bredere samfunnsnytte.
Det er lagt mer vekt på beskytte disse dataene. I tillegg, under GDPR, vil offentlige myndigheter være mer begrenset når det kommer til legitime interesser, hvor det juridiske grunnlaget 'Offentlig oppgave' bør vurderes.
Informasjonskommissærens kontor beskriver spesielle kategoridata som de som er spesielt sensitive, og kan utgjøre «mer betydelig risiko for en persons grunnleggende rettigheter og friheter». Dette betyr at det krever mer beskyttelse. ICO viser følgende som eksempler på spesialkategoridata.
ISMS.online vil spare deg for tid og penger mot ISO 27001-sertifisering og gjøre det enkelt å vedlikeholde.
Informasjonssikkerhetssjef, Honeysuckle Health
I tillegg til gjeldende databeskyttelseslov 1998, er genetiske og biometriske data nå lagt til den nye forordningen. Genetiske data er knyttet til arvede eller ervervede genetiske egenskaper. Denne informasjonen vil gi en indikasjon på helsen og fysiologien til et individ, og informasjonen som følger av det er det vi omtaler som biometriske data.
I tillegg kommer spesialkategorien datadelen inkluderer ikke lenger personlig data behandlet om straffbare handlinger og domfellelser – dette er nå dekket separat i artikkel 10, Criminal Offence Data.
Data om straffbare handlinger inkluderer, men er ikke begrenset til, informasjon om lovbrudd, påstander, rettssaker, domfellelser og relaterte sikkerhetstiltak.
"Behandling av personopplysninger knyttet til straffedommer og lovbrudd eller relaterte sikkerhetstiltak basert på artikkel 6 nr. 1 skal bare utføres under kontroll av offisiell myndighet eller når behandlingen er autorisert av unions- eller medlemsstatslovgivning som gir hensiktsmessige garantier for rettighetene og frihetene til registrerte personer. Ethvert omfattende register over straffedommer skal bare føres under kontroll av offentlig myndighet."
Artikkel 10 i GDPR sier at du bare kan «føre et omfattende register over straffedommer hvis du gjør det under kontroll av offentlig myndighet».
Også, som nevnt tidligere, er data om straffbare forhold flyttet ut av seksjonen for særskilte data.
Med mer oppdateringer kommer fortsatt på GDPR, følg med for å få oversikt over kunngjøringer fra informasjonskommissærens kontor.
Last ned din gratis guide
for å strømlinjeforme din Infosec
100 % av brukerne våre oppnår ISO 27001-sertifisering første gang