Databehandlaren behandlar endast identifierbara personuppgifter på uppdrag av registeransvarig. Databehandlaren är vanligtvis en tredje part som är extern till företaget.
I ett avtal eller annan rättsakt ska registerförarens skyldigheter gentemot den personuppgiftsansvarige specificeras, såsom att låta personuppgiftsansvariga veta vad som händer med personuppgifter när ett privat avtal sägs upp.
Dataprocessorer inkluderar maskiner som utför operationer på data, till exempel miniräknare eller datorer, och nu kan molntjänstleverantörer betecknas som databehandlare.
En tredje parts databehandlare äger eller kontrollerar inte de uppgifter de behandlar. Databehandlaren kan inte ändra syftet med uppgifterna eller hur de används.
Databehandlare utför olika databearbetningsuppgifter för ett företag, såsom att lagra data, hämta data, sköta lönelistan, marknadsföringsaktiviteter eller tillhandahålla säkerhet för data.
Behandling definierar varje operation eller uppsättning operationer som utförs på personuppgifter eller uppsättningar av individuella privata uppgifter, oavsett om det är automatiserat eller inte, såsom insamling, inspelning, organisation, strukturering, lagring, anpassning eller ändring, konsultation, användning, utlämnande genom överföring, spridning.
I Allmänna dataskyddsförordningen (GDPR), den personuppgiftsansvarige och databehandlaren har liknande ansvar och följer också liknande principer enligt GDPR. Jämfört med föregångaren till GDPR är det inte så stor förändring vad gäller vad en databehandlare är.
Databehandlare måste hjälpa personuppgiftsansvariga under vissa omständigheter, till exempel vid en eventuell anmälan om personuppgiftsintrång eller övervägande av en Data Protection Impact Assessment (DPIA).
Den registeransvarige för din organisations HR-avdelning har metoder för att behandla sökandes och anställdas personuppgifter som behöver skyddas. Det är möjligt att en del av HR-databehandlingsaktiviteterna kan utföras av en tredje part. En processor är ett företag som du kommer att lägga ut på entreprenad till.
Ditt marknadsföringsteam behandlar personuppgifter om potentiella kunder och befintliga kunder. De senare är processorer när de arbetar med ett e-postmarknadsföringsföretag eller en byrå som använder dessa data för kampanjer.
När du vill att en potentiell kund ska ringa till ett specifikt nummer inom ramen för en kampanj på TV och så vidare, kan du ha lagt ut verksamheten för inkommande kontaktcenter i din organisation eller använt ett callcenter.
De registrerade är personerna som ringer in och kontaktcentret blir handläggare.
Databehandlaren äger aldrig personuppgifterna. Den personuppgiftsansvarige äger inte personuppgifterna för sina kunder, potentiella kunder, anställda eller någon annan. Den fysiska personen äger personuppgifterna.
Om en personuppgiftsbiträde använder en underordnare för att hjälpa till med behandlingen av personuppgifter för en personuppgiftsansvarig, måste din personuppgiftsbiträde ha ett skriftligt avtal med den underordnaren. En underordnare är vanligtvis en annan organisation.
Jag skulle verkligen rekommendera ISMS.online, det gör att konfigurera och hantera ditt ISMS så enkelt som det kan bli.
Det är till exempel många anställda på bryggeriet. Företaget tecknar avtal med ett löneföretag för att betala lön.
När en anställd har löneförhöjning eller slutar berättar bryggeriet för löneföretaget när lönen ska eller inte ska betalas.
Bryggeriet kommer att vara personuppgiftsansvarig, och löneföretaget kommer att vara databehandlare.
Den allmänna dataskyddsförordningen har beskrivit de olika roller och ansvar som förväntas av en personuppgiftsansvarig eller en databehandlare.
Du kan vara säker på att du har åstadkommit allt som behöver göras från din sida genom att se till att du följer lagen.
Behandlare har mindre oberoende över de uppgifter de behandlar, men de har juridiskt ansvar enligt den brittiska GDPR-lagen och är föremål för reglering av myndigheterna.
Om du är en processor har du vissa ansvarsområden och skyldigheter, såsom:
Du måste föra register och underhålla och utse en dataskyddsombud för att följa vissa GDPR ansvarsskyldighet.
Storbritanniens förbud mot att överföra personuppgifter till andra människor överensstämmer med EU:s förbud mot att överföra personuppgifter till andra personer. Du måste se till att all överföring utanför Storbritannien godkänns av den registeransvarige och följer UK GDPR:s överföringsbestämmelser.
Du är skyldig att hjälpa myndigheterna att utföra sina uppgifter genom att samarbeta med dem, t.ex Information Commissioner Office (ICO).
Personuppgiftsansvariga måste se till att de arbetar med databehandlare som erbjuder garantier angående deras förmåga att behandla personuppgifter och följa GDPR och skyddet av den registrerades rättigheter.
Storbritanniens GDPR gäller för databehandling som utförs av organisationer i Storbritannien. Det gäller organisationer utanför Storbritannien som erbjuder varor eller tjänster till individer i Storbritannien.
Enligt GDPR omfattas vissa aktiviteter inte av dataskyddslagstiftningen, inklusive behandling för nationella säkerhetsändamål, behandling som hanteras av individer enbart för personliga aktiviteter/hushållsaktiviteter och behandling som omfattas av brottsbekämpande direktiv.
Brexitövergångsperioden slutade i december 2020. Brittiska organisationer som behandlar personuppgifter måste följa:
Det finns minimala skillnader mellan Storbritanniens GDPR och EU-motsvarigheten. EU:s struktur har lyfts av Storbritannien och införts i landets lag.
En skräddarsydd praktisk session utifrån dina behov och mål
Behandlare har färre skyldigheter men måste vara noga med att endast behandla personuppgifter enligt den personuppgiftsansvariges instruktioner.
Smakämnen Dataskydd Handläggare, som företaget kan ha utsett, ansvarar för att övervaka hur personuppgifter behandlas och för att meddela och ge råd till anställda som behandlar personuppgifter.
DPO kommunicerar och samarbetar också med Dataskydd Myndighet (DPA).
Det finns ett krav på ditt företag att utse en DPO när:
Dataskyddsombudet kan vara medlem i din organisation eller kontrakteras baserat på ett serviceavtal.
En databehandlare är en fysisk person, myndighet, myndighet eller något annat organ som innehar personuppgifter för en personuppgiftsansvarigs räkning.
Din personal behandlar uppgifterna enligt dina instruktioner. Ditt team anses inte vara tredje part i juridisk mening, och därför är all behandling som de gör en del av en personuppgiftsansvarigs agerande.
Om du använder personal har du inget direkt anställningsavtal med till exempel förmedlingspersonal som byrån betalar. Myndigheten fungerar som databehandlare.
Följande lista förklarar de typiska uppgifterna för en databehandlare:
Ditt marknadsföringsteam samlar in personuppgifter om potentiella och befintliga kunder. När din organisation arbetar med ett e-postmarknadsföringsföretag eller en byrå som använder dessa uppgifter, är de senare bearbetare.
ISMS.online gör det så enkelt som möjligt att installera och hantera ditt ISMS.
Artikel 5 i GDPR-principerna beskriver tydligt vad en registrerad kan förvänta sig när han behandlar sina personuppgifter.
Personligt identifierbar data är all information som kan användas för att identifiera en individ. Detta inkluderar namn, adresser, telefonnummer, kreditkortsuppgifter och liknande.
Det som identifierar en individ kan vara lika enkelt som ett namn eller ett nummer, eller det kan inkludera andra faktorer som en internetprotokolladress eller en cookie-identifierare.
Om du kan identifiera en individ direkt från den information du behandlar kan den informationen vara personuppgifter.
Du måste fundera på om individen fortfarande är identifierbar om du inte direkt kan identifiera dem. Alla resurser som rimligen kommer att användas för att identifiera den personen bör övervägas, tillsammans med den information du behandlar.
Att ta hänsyn till en mängd olika faktorer, inklusive innehållet i uppgifterna, syftet eller syftena med att du behandlar dem och den sannolika effekten av den behandlingen på individen är vad du behöver tänka på när du överväger om informationen "avser" en individ .
Det är möjligt att samma information är personligt identifierbar för en personuppgiftsansvarigs syften men inte är personlig identifierbar för en annan personuppgiftsansvarigs ändamål.
Information som har tagits bort eller ersatts för att dölja uppgifterna är fortfarande personuppgifter i enlighet med UK GDPR.
Information som verkligen är anonym omfattas inte av Storbritanniens allmänna dataskyddsförordning.
Information som verkar relatera till en specifik individ är fortfarande personuppgifter, eftersom den avser den personen, även om den inte är korrekt.
Att se till att ditt företag är GDPR-kompatibelt är avgörande. Ett utmärkt sätt att börja detta är genom att genomföra en informationsrevision och/eller datakartläggning för att säkerställa att du vet vilka personuppgifter din organisation har och var.
Företaget är föremål för böter om de inte för register över bearbetningsaktiviteter eller lämnar ett fullständigt register till myndigheter. Detta enligt artikel 83.4.a i GDPR-förordningen.
Ladda ner din gratis guide
för att effektivisera din Infosec