Datakontrollant definierad

Vad betyder det om du är en personuppgiftsansvarig?

Den personuppgiftsansvarige är den person eller det företag som bestämmer för vilka ändamål och hur uppgifterna ska behandlas. Därför, om ditt företag bestämmer "varför" och "hur" uppgifterna ska behandlas, är det den personuppgiftsansvarige.

Som personuppgiftsansvarig är en individ eller organisation ansvarig för att din behandling följer Allmänna dataskyddsförordningen (GDPR).

Detta inkluderar att se till att all data som behandlas för din räkning är adekvat, korrekt, aktuell och säker.

Personuppgiftsansvarigas skyldigheter: Ni (de enskilda personuppgiftsansvariga) behöver komma överens om vem som ska uppfylla specifika personuppgiftsansvarigas skyldigheter pr GDPR eftersom varje kontrollant ansvarar för efterlevnad med alla GDPR-ansvar.

Vad betyder det om ni är gemensamma datakontrollanter?

I artikel 26 anges att om parterna gemensamt bestämmer syftet med och medlen för behandlingen, anses båda vara gemensamma registeransvariga. GDPR går inte in närmare på denna process och nämner den bara i förbigående i artiklarna 30 och 36.

• När två eller flera registeransvariga gemensamt beslutar om ändamålen och medlen för behandlingen är de gemensamma personuppgiftsansvariga.
• Varje personuppgiftsansvarig ska fastställa sitt respektive ansvar för att uppfylla skyldigheterna enligt denna förordning, särskilt när det gäller utövandet av den registrerades rättigheter (artikel 13.), på ett öppet sätt, utom när det inte är möjligt, i vilket fall de ska göra lämpliga arrangemang dem emellan.
• Arrangemanget kan utse en kontaktpunkt för registrerade.

Är du en Joint Controller Checklista:

• Vi har ett gemensamt mål med andra marknadsförare när det gäller behandlingen av data.
• Vi behandlar personuppgifter för samma ändamål som ett annat företag.
• Den andra personuppgiftsansvarige använder samma uppsättning personuppgifter som vi använder för denna behandling.
• Vi har utformat den här processen med en annan styrenhet.
• Vi delar gemensamma regler för informationshantering med en annan personuppgiftsansvarig.

Klausulerna i artikel 26 (GDPR) om gemensamt kontrollantskap är mycket korta, men de har skapat mycket diskussion och osäkerhet för organisationer.

Konceptet med gemensamt kontrollsystem är inte särskilt nytt, men dess tillämpning efter GDPR i det moderna databehandlingsekosystemet är komplex. Att klargöra hur parter anses vara gemensamma registeransvariga definierar deras respektive efterlevnadsansvar och delade ansvar för individer och dataskydd myndigheterna.

Kan du vara både en personuppgiftsansvarig och databehandlare?

Är du en controller, en processor eller båda?

En enhet/organisation kan vara en personuppgiftsansvarig, eller en databehandlare, eller båda. Samma organisation kan vara både personuppgiftsansvarig och databehandlare. Till exempel, om vår analysleverantör kör en kunds data genom sina system, kommer leverantören att behandla dessa uppgifter.

Däremot kan analysleverantören ha valfritt antal andra datamängder, kanske som den använder i sina analysverktyg. Om analysleverantören har rätt att avgöra hur den ytterligare informationen används, kommer den att vara personuppgiftsansvarig för dessa uppgifter.

Hur avgör du om du är en personuppgiftsansvarig eller personuppgiftsbehandlare?

Dina GDPR-skyldigheter kommer att bero på om du är en personuppgiftsansvarig, personuppgiftsbiträde eller gemensam registeransvarig. Därför är det viktigt att du noggrant överväger din roll och ansvar angående dina databehandlingsaktiviteter för att avgöra om du är en personuppgiftsansvarig, en personuppgiftsbiträde eller gemensamma registeransvariga.

Är du en personuppgiftsansvarig?

• Det är nödvändigt att samla in eller behandla personuppgifter.
• Vad syftet med eller resultatet av behandlingen skulle vara.
• Vi bestämde vilka personuppgifter vi ville samla in.
• Vi valde ut de personer vi skulle samla in personuppgifter om.
• En kommersiell fördel eller vinst från behandlingen, förutom eventuella betalningar för tjänster från en annan personuppgiftsansvarig.
• Som ett resultat av ett avtal mellan oss och den registrerade behandlar vi deras personuppgifter.
• Våra "registrerade" är våra anställda.
• Vi fattar beslut om de inblandade individerna som en del av eller som ett resultat av behandlingen.
• Utöva professionellt omdöme vid behandlingen av personuppgifter från "de registrerade".
• Det finns en direkt relation mellan oss och registrerade.
• Vi har full makt över hur uppgifterna behandlas.
• Vi har auktoriserat processorerna att behandla personuppgifterna för vår räkning.

Även om du inte är direkt involverad i att samla in någon data, är du fortfarande potentiellt ansvarig för bristande efterlevnad av GDPR. Därför är du ansvarig för att säkerställa dig visa överensstämmelse med förordningens dataskyddsprinciper.

GDPR-efterlevnad och datakontrollanters ansvar

Vad definierar GDPR som en personuppgiftsansvarig?

Den allmänna dataskyddsförordningen skiljer mellan en "dataansvarig" och en "databehandlare" i Storbritannien.

Detta hjälper till att identifiera att inte alla organisationer som är involverade i behandlingen av personlig information har samma grad av ansvar. Storbritanniens GDPR definierar dessa termer som:

Den person eller organisation som bestämmer "varför" och "hur" personuppgifter ska behandlas kallas personuppgiftsansvarig.

Anta att ett företag behandlar personuppgifter för att hjälpa en specifik individ (som en anställd) att utföra sina uppgifter. I så fall agerar den anställde som databehandlare.

En "databehandlare" är varje företag eller individ som behandlar personuppgifter för en annans räkning. Sammanfattningsvis är de ombud för den personuppgiftsansvarige.

De sex dataskyddsprinciperna

De sex kärnprinciperna för det allmänna dataskyddsreglerna anges i artikel 5 i Storbritanniens GDPR skissera:

Första dataskyddsprincipen

Den första principen om integritet är rimligtvis självklar. En organisation bör se till att dess datainsamlingsmetoder är lagliga och inte döljer någonting för sina registrerade. För att följa detta måste du som personuppgiftsansvarig noggrant förstå GDPR och dess regler för datainsamling. Dessutom bör du publicera din integritetspolicy som anger exakt vilken data du samlar in och varför du samlar in den.

Andra dataskyddsprincipen

Organisationer bör begränsa mängden personuppgifter som de samlar in till vad som är nödvändigt för att uppfylla deras syften. De bör också se till att de uppgifter de samlar in är korrekta, uppdaterade och inte bevaras längre än vad som krävs för att uppfylla dessa syften. En personuppgiftsansvarig kommer att ges större spelrum om din behandling sker för arkiv, allmänt intresse, vetenskapliga, historiska eller statistiska ändamål.

Tredje dataskyddsprincipen

En organisation får endast behandla personuppgifter som är nödvändiga för att uppnå sitt syfte. Detta har två betydande fördelar. Om ett dataintrång inträffar har en individ endast tillgång till en liten mängd data. Det är också lättare att hålla data korrekt.

Fjärde dataskyddsprincipen

Datanoggrannhet är avgörande för datasekretess. GDPR hävdar att "alla rimliga steg" måste vidtas för att korrigera, radera eller förstöra all data som inte är korrekt eller fullständig. Individer har rätt att begära att felaktiga eller ofullständiga uppgifter korrigeras eller uppdateras inom 30 dagar. Det kan dock vara omöjligt att korrigera eller uppdatera uppgifterna i andra fall, och uppgifterna kan behöva tas bort.

Femte dataskyddsprincipen

Alla organisationer måste radera personuppgifter när det inte längre är nödvändigt. Hur länge ska en organisation behålla kunddata? Det varierar mellan branscher och orsakerna till att uppgifterna samlas in. Varje organisation som är osäker på hur länge den ska behålla personuppgifter bör rådfråga en juridisk yrkesman.

Sjätte dataskyddsprincipen

GDPR kräver att personuppgifter säkras. Data bör skyddas mot förlust, förstörelse eller skada. Den bör också skyddas mot otillåten behandling och mot oavsiktlig förlust, med hjälp av lämpliga tekniska eller organisatoriska åtgärder. GDPR är medvetet vaga om vad organisationer bör göra eftersom tekniska och organisatoriska bästa praxis ständigt förändras.

Checklista för datakontrollanter

Checklistan nedan hjälper dig att ta reda på vad du ska göra om du är en personuppgiftsansvarig.

Den information du har

Ditt företag har fyllt i en information revision för att ta reda på var uppgifterna i ditt företag finns.

Behandling av uppgifter på laglig grund

Ditt företag har dokumenterat och identifierat dina lagliga grunder för behandling av data.

Samtycke och kontroll

Storbritanniens allmänna dataskyddsförordning sätter en mycket hög standard för samtycke. Du behöver dock inte alltid samtycke. I vissa fall förbättrar du ditt rykte och skapar mer förtroende genom att erbjuda människor genuina valmöjligheter och kontroll över hur du använder deras data. GDPR bygger på 1998 års lagstandard för samtycke inom flera områden och innehåller mer detaljer om vad som utgör giltigt samtycke och andra lagliga grunder för behandling av människors uppgifter.

Behandling av barns personuppgifter för onlinetjänster och samtycke

Du måste ha en laglig grund för att behandla en minderårigs personuppgifter. Om du är beroende av samtycke som den lagliga grunden för att behandla data och du erbjuder onlinetjänster till barn, måste du göra rimliga ansträngningar för att verifiera att alla som ger sitt eget samtycke är tillräckligt gamla för att göra det. Därför måste du se till att alla som ger sitt samtycke till dig är över 13 år.

Om du tillhandahåller en onlinetjänst för barn under 13 år måste du först få samtycke från den som har föräldraansvaret för barnet. Du måste då vidta rimliga ansträngningar för att verifiera att den som ger ditt samtycke för barnet har föräldraansvar.

Individers vitala intressen

Om du måste behandla någon form av data för att skydda en individs intressen måste ditt företag dokumentera omständigheterna där det kommer att vara relevant och informera dessa individer vid behov.

Berättigade intressen för databehandling

Om du förlitar dig på legitima intressen som laglig grund för behandlingen, har ditt företag visat att det har beaktat och skyddat individers rättigheter och intressen.

Kostnad för dataskyddsavgift

Alla organisationer eller företag som behandlar personlig information måste betala en avgift till ICO om de inte är undantagna.

Vilka organisatoriska åtgärder kan du vidta för att stoppa dataintrång

Vad betyder detta för din organisation/företag?

För att vara säker, utgå alltid från att allt du lagrar om en kund är personuppgifter och säkerställ dig följa lagen/dataskyddet Agera när det gäller att lagra och behandla dessa uppgifter. Se till att dina kunders behandling av personuppgifter är säker, i enlighet med datasekretessbestämmelser och att du raderar den omedelbart när den inte längre behövs.

Det är viktigt att överväga att pseudonymisera och/eller kryptera personuppgifter när det är en viss kategori av personuppgifter. För att göra det, ersätt identifierande information med "konstgjorda identifierare". Detta kommer att säkerställa att personuppgifterna förblir säkra.

Även om det nämns 15 gånger i GDPR, är det inte tillräckligt med pseudonymisering. det har sina begränsningar, så kryptering nämns också i GDPR.

Kryptering förvränger eller kodar information genom att ersätta den med något annat. Pseudonymisering tillåter alla med tillgång till data i din organisation att se den datamängden, kryptering å andra sidan tillåter endast "godkända" användare att komma åt hela datamängden.

Det är möjligt att använda både pseudonymisering och kryptering samtidigt eller separat under GDPR.

Du behöver ett dataskyddsombud

Storbritanniens GDPR kräver att du anger en Dataskyddsombud (DPO). Denna DPO är ansvarig för att säkerställa din organisation uppfyller de nya reglerna. De kommer också att samarbeta med dig om nödvändiga ändringar av dina datahanteringsprocedurer.

Dataskyddsombud hjälper dig att övervaka din efterlevnad av dataskyddslagar och ge råd om Data Protection Impact Assessments (DPIA). DPO:er fungerar också som kontaktpunkt för registrerade personer och ICO. En DPO är någon som redan är anställd av ditt företag, eller kanske någon som inte har någon tidigare koppling till ditt företag alls.

Dataskyddsombudet måste vara oberoende, expert på dataskydd, tillräckligt finansierad och rapportera till högsta ledningsnivå. Flera organisationer kan i vissa fall utse en enda DPO.

DPO:ns roll i din organisation

• DPO har många väsentliga ansvarsområden, inklusive att övervaka efterlevnaden av dataskydd, se till att du är medveten om nya dataskyddsbestämmelser, övervaka utbildning och utföra revisioner.
• Vi kommer att ta hänsyn till råden från vårt dataskyddsombud och den information de tillhandahåller angående våra dataskyddsförpliktelser.
• Under en DPIA söker vi alltid råd från vår DPO, som också övervakar processen.
• DPO:er kommer att samråda om alla andra frågor och samarbeta med ICO.
• När din DPO utför sina uppgifter tar den hänsyn till arten, omfattningen, sammanhanget, syftena med behandlingen och risken förknippad med dessa behandlingar.

Uppdaterad säkerhetsprogramvara

Ett av de grundläggande principerna i Storbritanniens GDPR är att du måste säkra behandlingen av personuppgifter genom att använda lämpliga organisatoriska åtgärder. Detta är "säkerhetsprincipen".

Du måste vidta rimliga åtgärder utformade för att säkerställa konfidentialitet, integritet och tillgänglighet för dina system och tjänster och de personuppgifter du behandlar inom dem.

De mest betydande GDPR-böterna – för nu

1. Amazon – 746 miljoner euro
2. Google – 50 miljoner euro
3. H&M – 35 miljoner euro
4. TIM – 27.8 miljoner euro
5. British Airways – 22 miljoner euro
6. Marriott – 20.4 miljoner euro
7. Vind – 17 miljoner euro
8. Vodafone Italia – 12.3 miljoner euro

Som du kan se ovan, ekonomiska påföljder för att bryta GDPR är inte billigt.

Det finns olika steg du kan vidta för att göra ditt företag kompatibelt:

• Analysera riskerna med din databehandling och använd denna information för att fastställa vilken säkerhetsnivå din organisation behöver införa.
• Identifiera vad ditt företag behöver göra genom att överväga de säkerhetsresultat du vill uppnå.
• Sätt på plats alla väsentliga tekniska kontroller som specificeras av ramverk som Cyber ​​Essentials (ENDAST Storbritannien).
• Förstå att du ibland måste vidta ytterligare säkerhetsåtgärder, beroende på dina specifika omständigheter och vilken typ av personuppgifter du behandlar.
• Använd kryptering och/eller pseudonymisering där det är lämpligt att göra det.
• Se till att du har en lämplig process på plats för att säkerhetskopiera dina kunders data i händelse av en incident, till exempel genom att se till att du har en lämplig extern lagringsanläggning.
• Genom att använda en ansedd databehandlare säkerställer du att de har genomfört lämpliga tekniska och organisatoriska åtgärder.

Remote Working Policy och GDPR Compliance

Avstånd eller flexibla arbetsarrangemang är bland de viktigaste faktorerna när man söker jobb. De flesta arbetsgivare har inte en formell policy för distansarbete, trots det ökande antalet företag som erbjuder möjligheter till distansjobb. Detta gör dig sårbar.

Alla företag/organisationer bör ha en robust policy för distansarbete på plats. Det kommer att hjälpa dig att styra din verksamhets modell.

Det är också viktigt för fjärrutvecklare att förstå hur man samlar in och får tillgång till data på ett GDPR-kompatibelt sätt.

Upprätta en policy för distansarbete för att reglera och täcka datatillgänglighet

• Utvecklarens ansvar bör beskrivas.
• En fjärråtkomstpolicy behövs.
• Starka lösenordssystem bör införas. t.ex. LastPass.
• Användningen av allmänt trådlöst internet.
• Kryptera alla dina fjärranställdas enheter och framtvinga datakryptering för alla, även de som är inloggade via sina personliga enheter.
• Tydliga och handlingsbara rutiner bör finnas för anställda att rapportera incidenter.
• För att fylla säkerhetsluckor, granska din policy då och då och uppdatera din policy för att arbeta hemifrån enligt dina behov.

Hitta sätt att förstärka din policy för att arbeta hemifrån med personalutbildning och medvetenhetssessioner.