Den personuppgiftsansvarige är det företag eller den person som har befogenhet att avgöra vad som händer med dina uppgifter.
I många länder är "innehavaren" av data företaget som samlat in den. Men på andra ställen, som i Europeiska unionen, kan "innehavaren" av uppgifterna vara en statlig myndighet eller någon annan enhet.
Den personuppgiftsansvarige bestämmer besluten om syften och procedurer för hur och varför ett företag/webbplats kommer att använda uppgifterna. Vanligtvis är detta webbplatsens ägare eller förvaltare. Om du har en webbplats måste du vara det GDPR-kompatibel. Det finns tydliga åtgärder du måste vidta för att följa de nya reglerna, inklusive de som krävs av EU.
Den personuppgiftsansvarige är den person eller det företag som bestämmer för vilka ändamål och hur uppgifterna ska behandlas. Därför, om ditt företag bestämmer "varför" och "hur" uppgifterna ska behandlas, är det den personuppgiftsansvarige.
Som personuppgiftsansvarig är en individ eller organisation ansvarig för att din behandling följer Allmänna dataskyddsförordningen (GDPR).
Detta inkluderar att se till att all data som behandlas för din räkning är adekvat, korrekt, aktuell och säker.
Personuppgiftsansvarigas skyldigheter: Ni (de enskilda personuppgiftsansvariga) behöver komma överens om vem som ska uppfylla specifika personuppgiftsansvarigas skyldigheter pr GDPR eftersom varje kontrollant ansvarar för efterlevnad med alla GDPR-ansvar.
I artikel 26 anges att om parterna gemensamt bestämmer syftet med och medlen för behandlingen, anses båda vara gemensamma registeransvariga. GDPR går inte in närmare på denna process och nämner den bara i förbigående i artiklarna 30 och 36.
Klausulerna i artikel 26 (GDPR) om gemensamt kontrollantskap är mycket korta, men de har skapat mycket diskussion och osäkerhet för organisationer.
Konceptet med gemensamt kontrollsystem är inte särskilt nytt, men dess tillämpning efter GDPR i det moderna databehandlingsekosystemet är komplex. Att klargöra hur parter anses vara gemensamma registeransvariga definierar deras respektive efterlevnadsansvar och delade ansvar för individer och dataskydd myndigheterna.
En enhet/organisation kan vara en personuppgiftsansvarig, eller en databehandlare, eller båda. Samma organisation kan vara både personuppgiftsansvarig och databehandlare. Till exempel, om vår analysleverantör kör en kunds data genom sina system, kommer leverantören att behandla dessa uppgifter.
Däremot kan analysleverantören ha valfritt antal andra datamängder, kanske som den använder i sina analysverktyg. Om analysleverantören har rätt att avgöra hur den ytterligare informationen används, kommer den att vara personuppgiftsansvarig för dessa uppgifter.
Dina GDPR-skyldigheter kommer att bero på om du är en personuppgiftsansvarig, personuppgiftsbiträde eller gemensam registeransvarig. Därför är det viktigt att du noggrant överväger din roll och ansvar angående dina databehandlingsaktiviteter för att avgöra om du är en personuppgiftsansvarig, en personuppgiftsbiträde eller gemensamma registeransvariga.
Även om du inte är direkt involverad i att samla in någon data, är du fortfarande potentiellt ansvarig för bristande efterlevnad av GDPR. Därför är du ansvarig för att säkerställa dig visa överensstämmelse med förordningens dataskyddsprinciper.
ISMS.online kommer att spara tid och pengar för ISO 27001-certifiering och göra det enkelt att underhålla.
Informationssäkerhetschef, Honeysuckle Health
Den allmänna dataskyddsförordningen skiljer mellan en "dataansvarig" och en "databehandlare" i Storbritannien.
Detta hjälper till att identifiera att inte alla organisationer som är involverade i behandlingen av personlig information har samma grad av ansvar. Storbritanniens GDPR definierar dessa termer som:
Den person eller organisation som bestämmer "varför" och "hur" personuppgifter ska behandlas kallas personuppgiftsansvarig.
Anta att ett företag behandlar personuppgifter för att hjälpa en specifik individ (som en anställd) att utföra sina uppgifter. I så fall agerar den anställde som databehandlare.
En "databehandlare" är varje företag eller individ som behandlar personuppgifter för en annans räkning. Sammanfattningsvis är de ombud för den personuppgiftsansvarige.
De sex kärnprinciperna för det allmänna dataskyddsreglerna anges i artikel 5 i Storbritanniens GDPR skissera:
Den första principen om integritet är rimligtvis självklar. En organisation bör se till att dess datainsamlingsmetoder är lagliga och inte döljer någonting för sina registrerade. För att följa detta måste du som personuppgiftsansvarig noggrant förstå GDPR och dess regler för datainsamling. Dessutom bör du publicera din integritetspolicy som anger exakt vilken data du samlar in och varför du samlar in den.
Organisationer bör begränsa mängden personuppgifter som de samlar in till vad som är nödvändigt för att uppfylla deras syften. De bör också se till att de uppgifter de samlar in är korrekta, uppdaterade och inte bevaras längre än vad som krävs för att uppfylla dessa syften. En personuppgiftsansvarig kommer att ges större spelrum om din behandling sker för arkiv, allmänt intresse, vetenskapliga, historiska eller statistiska ändamål.
En organisation får endast behandla personuppgifter som är nödvändiga för att uppnå sitt syfte. Detta har två betydande fördelar. Om ett dataintrång inträffar har en individ endast tillgång till en liten mängd data. Det är också lättare att hålla data korrekt.
Datanoggrannhet är avgörande för datasekretess. GDPR hävdar att "alla rimliga steg" måste vidtas för att korrigera, radera eller förstöra all data som inte är korrekt eller fullständig. Individer har rätt att begära att felaktiga eller ofullständiga uppgifter korrigeras eller uppdateras inom 30 dagar. Det kan dock vara omöjligt att korrigera eller uppdatera uppgifterna i andra fall, och uppgifterna kan behöva tas bort.
Alla organisationer måste radera personuppgifter när det inte längre är nödvändigt. Hur länge ska en organisation behålla kunddata? Det varierar mellan branscher och orsakerna till att uppgifterna samlas in. Varje organisation som är osäker på hur länge den ska behålla personuppgifter bör rådfråga en juridisk yrkesman.
GDPR kräver att personuppgifter säkras. Data bör skyddas mot förlust, förstörelse eller skada. Den bör också skyddas mot otillåten behandling och mot oavsiktlig förlust, med hjälp av lämpliga tekniska eller organisatoriska åtgärder. GDPR är medvetet vaga om vad organisationer bör göra eftersom tekniska och organisatoriska bästa praxis ständigt förändras.
Ladda ner din gratis guide
för att effektivisera din Infosec
Checklistan nedan hjälper dig att ta reda på vad du ska göra om du är en personuppgiftsansvarig.
Ditt företag har fyllt i en information revision för att ta reda på var uppgifterna i ditt företag finns.
Ditt företag har dokumenterat och identifierat dina lagliga grunder för behandling av data.
Storbritanniens allmänna dataskyddsförordning sätter en mycket hög standard för samtycke. Du behöver dock inte alltid samtycke. I vissa fall förbättrar du ditt rykte och skapar mer förtroende genom att erbjuda människor genuina valmöjligheter och kontroll över hur du använder deras data. GDPR bygger på 1998 års lagstandard för samtycke inom flera områden och innehåller mer detaljer om vad som utgör giltigt samtycke och andra lagliga grunder för behandling av människors uppgifter.
Du måste ha en laglig grund för att behandla en minderårigs personuppgifter. Om du är beroende av samtycke som den lagliga grunden för att behandla data och du erbjuder onlinetjänster till barn, måste du göra rimliga ansträngningar för att verifiera att alla som ger sitt eget samtycke är tillräckligt gamla för att göra det. Därför måste du se till att alla som ger sitt samtycke till dig är över 13 år.
Om du tillhandahåller en onlinetjänst för barn under 13 år måste du först få samtycke från den som har föräldraansvaret för barnet. Du måste då vidta rimliga ansträngningar för att verifiera att den som ger ditt samtycke för barnet har föräldraansvar.
Om du måste behandla någon form av data för att skydda en individs intressen måste ditt företag dokumentera omständigheterna där det kommer att vara relevant och informera dessa individer vid behov.
Om du förlitar dig på legitima intressen som laglig grund för behandlingen, har ditt företag visat att det har beaktat och skyddat individers rättigheter och intressen.
Alla organisationer eller företag som behandlar personlig information måste betala en avgift till ICO om de inte är undantagna.
Boka en skräddarsydd praktisk session utifrån dina behov och mål.
För att vara säker, utgå alltid från att allt du lagrar om en kund är personuppgifter och säkerställ dig följa lagen/dataskyddet Agera när det gäller att lagra och behandla dessa uppgifter. Se till att dina kunders behandling av personuppgifter är säker, i enlighet med datasekretessbestämmelser och att du raderar den omedelbart när den inte längre behövs.
Det är viktigt att överväga att pseudonymisera och/eller kryptera personuppgifter när det är en viss kategori av personuppgifter. För att göra det, ersätt identifierande information med "konstgjorda identifierare". Detta kommer att säkerställa att personuppgifterna förblir säkra.
Även om det nämns 15 gånger i GDPR, är det inte tillräckligt med pseudonymisering. det har sina begränsningar, så kryptering nämns också i GDPR.
Kryptering förvränger eller kodar information genom att ersätta den med något annat. Pseudonymisering tillåter alla med tillgång till data i din organisation att se den datamängden, kryptering å andra sidan tillåter endast "godkända" användare att komma åt hela datamängden.
Det är möjligt att använda både pseudonymisering och kryptering samtidigt eller separat under GDPR.
Storbritanniens GDPR kräver att du anger en Dataskyddsombud (DPO). Denna DPO är ansvarig för att säkerställa din organisation uppfyller de nya reglerna. De kommer också att samarbeta med dig om nödvändiga ändringar av dina datahanteringsprocedurer.
Dataskyddsombud hjälper dig att övervaka din efterlevnad av dataskyddslagar och ge råd om Data Protection Impact Assessments (DPIA). DPO:er fungerar också som kontaktpunkt för registrerade personer och ICO. En DPO är någon som redan är anställd av ditt företag, eller kanske någon som inte har någon tidigare koppling till ditt företag alls.
Dataskyddsombudet måste vara oberoende, expert på dataskydd, tillräckligt finansierad och rapportera till högsta ledningsnivå. Flera organisationer kan i vissa fall utse en enda DPO.
Ett av de grundläggande principerna i Storbritanniens GDPR är att du måste säkra behandlingen av personuppgifter genom att använda lämpliga organisatoriska åtgärder. Detta är "säkerhetsprincipen".
Du måste vidta rimliga åtgärder utformade för att säkerställa konfidentialitet, integritet och tillgänglighet för dina system och tjänster och de personuppgifter du behandlar inom dem.
Som du kan se ovan, ekonomiska påföljder för att bryta GDPR är inte billigt.
Det finns olika steg du kan vidta för att göra ditt företag kompatibelt:
Avstånd eller flexibla arbetsarrangemang är bland de viktigaste faktorerna när man söker jobb. De flesta arbetsgivare har inte en formell policy för distansarbete, trots det ökande antalet företag som erbjuder möjligheter till distansjobb. Detta gör dig sårbar.
Alla företag/organisationer bör ha en robust policy för distansarbete på plats. Det kommer att hjälpa dig att styra din verksamhets modell.
Det är också viktigt för fjärrutvecklare att förstå hur man samlar in och får tillgång till data på ett GDPR-kompatibelt sätt.
Hitta sätt att förstärka din policy för att arbeta hemifrån med personalutbildning och medvetenhetssessioner.
En skräddarsydd praktisk session utifrån dina behov och mål