Den dataansvarlige er den virksomhed eller person, der har beføjelsen til at bestemme, hvad der sker med dine data.
I mange lande er "besidderen" af data den virksomhed, der indsamlede dem. Andre steder, som i Den Europæiske Union, kan data-"besidderen" dog være et statsligt organ eller en anden enhed.
Den dataansvarlige bestemmer beslutningerne om formål og procedurer for, hvordan og hvorfor en virksomhed/hjemmeside vil bruge dataene. Dette er typisk ejeren eller administratoren af hjemmesiden. Hvis du har en hjemmeside, skal du være det GDPR-kompatibel. Der er forskellige trin, du skal tage for at forblive i overensstemmelse med de nye regler, herunder dem, der kræves af EU.
Den dataansvarlige er den person eller virksomhed, der bestemmer, til hvilke formål og hvordan oplysningerne vil blive behandlet. Hvis din virksomhed beslutter 'hvorfor' og 'hvordan' dataene skal behandles, er det derfor den dataansvarlige.
Som dataansvarlig er en person eller organisation ansvarlig for at sikre, at din behandling er i overensstemmelse med Generel databeskyttelsesforordning (GDPR).
Dette omfatter at sikre, at alle data, der behandles på dine vegne, er tilstrækkelige, nøjagtige, rettidige og sikre.
Dataansvarliges forpligtelser: I (de enkelte dataansvarlige) skal aftale, hvem der skal opfylde specifikke dataansvarlige forpligtelser pr GDPR, da hver controller er ansvarlig for overholdelse med alle GDPR-ansvaret.
Artikel 26 fastslår, at hvis parterne i fællesskab bestemmer formålet med og midlerne til behandlingen, anses begge for fælles dataansvarlige. GDPR går ikke i detaljer om denne proces og nævner den kun i forbifarten i artikel 30 og 36.
Klausulerne i artikel 26 (GDPR) om fælles controllerskab er meget korte, men de har skabt megen diskussion og usikkerhed for organisationer.
Konceptet med fælles controllership er ikke specielt nyt, men dets post-GDPR-anvendelse i det moderne databehandlingsøkosystem er komplekst. Afklaring af, hvordan parter anses for at være fælles controllere, definerer deres respektive overholdelsesansvar og delt ansvar vedrørende enkeltpersoner og databeskyttelse myndigheder.
En enhed/organisation kan være en dataansvarlig eller en databehandler, eller begge. Samme organisation kan både være dataansvarlig og databehandler. For eksempel, hvis vores analyseudbyder kører en kundes data gennem sine systemer, vil udbyderen være behandler af disse data.
Dog kan analyseudbyderen have et hvilket som helst antal andre datasæt, måske som den bruger i sine analyseværktøjer. Hvis analyseudbyderen er berettiget til at bestemme, hvordan de yderligere data bruges, vil den være den dataansvarlige for disse data.
Dine GDPR-forpligtelser vil afhænge af, om du er dataansvarlig, databehandler eller fælles dataansvarlig. Derfor er det vigtigt, at du nøje overvejer din rolle og ansvar vedrørende dine databehandlingsaktiviteter for at afgøre, om du er dataansvarlig, databehandler eller fælles dataansvarlige.
Selvom du ikke er direkte involveret i indsamlingen af data, er du stadig potentielt ansvarlig for manglende overholdelse af GDPR. Derfor er du selv ansvarlig for at sikre dig påvise overensstemmelse med forordningens databeskyttelsesprincipper.
ISMS.online vil spare dig tid og penge til ISO 27001-certificering og gøre det nemt at vedligeholde.
Informationssikkerhedschef, Honeysuckle Health
Den generelle databeskyttelsesforordning skelner mellem en 'dataansvarlig' og en 'databehandler' i Storbritannien.
Dette er med til at identificere, at ikke alle organisationer, der er involveret i behandlingen af Personlig data har samme grad af ansvar. UK GDPR definerer disse termer som:
Den person eller organisation, der bestemmer "hvorfor" og "hvordan" personoplysninger skal behandles, er kendt som den dataansvarlige.
Antag, at en virksomhed behandler personoplysninger for at hjælpe en bestemt person (som en medarbejder) med at udføre deres opgaver. I så fald fungerer den pågældende medarbejder som databehandler.
En 'databehandler' er enhver virksomhed eller person, der behandler personoplysninger på vegne af en anden. Sammenfattende er de agent for den dataansvarlige.
De seks kerneprincipper i det generelle databeskyttelsesordningen er fastlagt i artikel 5 i den britiske GDPR omrids:
Det første princip om privatlivets fred er rimeligt indlysende. En organisation bør sikre, at dens dataindsamlingspraksis er lovlig og ikke skjuler noget for dens registrerede. For at overholde det skal du som dataansvarlig grundigt forstå GDPR og dens regler for dataindsamling. Derudover bør du offentliggøre din privatlivspolitik, der præcist angiver, hvilke data du indsamler, og hvorfor du indsamler dem.
Organisationer bør begrænse mængden af personlige data, de indsamler, til det, der er nødvendigt for at opfylde deres formål. De bør også sikre, at de data, de indsamler, er nøjagtige, ajourførte og ikke opbevares i længere tid end nødvendigt for at opfylde disse formål. En dataansvarlig vil få større spillerum, hvis din behandling sker til arkivering, offentlig interesse, videnskabelige, historiske eller statistiske formål.
En organisation må kun behandle personoplysninger, der er nødvendige for at nå sit formål. Dette har to væsentlige fordele. I tilfælde af at et databrud opstår, vil en person kun have adgang til en lille mængde data. Det er også nemmere at holde data nøjagtige.
Datanøjagtighed er afgørende for databeskyttelse. GDPR hævder, at "ethvert rimeligt skridt" skal tages for at rette, slette eller ødelægge data, der ikke er nøjagtige eller fuldstændige. Enkeltpersoner har ret til at anmode om, at unøjagtige eller ufuldstændige data bliver rettet eller opdateret inden for 30 dage. Det kan dog være umuligt at rette eller opdatere dataene i andre tilfælde, og dataene skal muligvis fjernes.
Alle organisationer skal slette personlige data, når det ikke længere er nødvendigt. Hvor længe skal en organisation opbevare kundedata? Det varierer mellem brancher og årsagerne til, at dataene indsamles. Enhver organisation, der er usikker på, hvor længe den skal opbevare personlige data, bør konsultere en juridisk professionel.
GDPR kræver, at persondata er sikret. Data skal beskyttes mod tab, ødelæggelse eller beskadigelse. Det bør også beskyttes mod uautoriseret behandling og mod utilsigtet tab ved hjælp af passende tekniske eller organisatoriske foranstaltninger. GDPR er bevidst vag om, hvad organisationer skal gøre, fordi teknologiske og organisatoriske bedste praksisser konstant ændrer sig.
Download din gratis guide
at strømline din Infosec
Nedenstående tjekliste hjælper dig med at finde ud af, hvad du skal gøre, hvis du er dataansvarlig.
Din virksomhed har udfyldt en information revision for at finde ud af, hvor dataene i din virksomhed er placeret.
Din virksomhed har dokumenteret og identificeret dit lovlige grundlag for behandling af data.
Den britiske databeskyttelsesforordning sætter en meget høj standard for samtykke. Du behøver dog ikke altid samtykke. I nogle tilfælde vil det at give folk ægte valg og kontrol over, hvordan du bruger deres data, forbedre dit omdømme og skabe mere tillid. GDPR bygger på 1998-lovens standard for samtykke på flere områder og indeholder flere detaljer om, hvad der udgør gyldigt samtykke og andre lovlige grundlag for behandling af personers data.
Du skal have et lovligt grundlag for at behandle en mindreårigs personoplysninger. Hvis du er afhængig af samtykke som det lovlige grundlag for behandling af data, og du tilbyder onlinetjenester til børn, skal du gøre en rimelig indsats for at verificere, at enhver, der giver deres eget samtykke, er gammel nok til at gøre det. Derfor skal du sikre dig, at alle, der giver deres samtykke til dig, er over 13 år.
Hvis du leverer en onlinetjeneste til børn under 13 år, skal du først indhente samtykke fra den, der har forældreansvaret for barnet. Du skal derefter gøre en rimelig indsats for at verificere, at den person, der giver samtykke til barnet, har forældreansvar.
Hvis du skal behandle nogen form for data for at beskytte en enkeltpersons interesser, skal din virksomhed dokumentere de omstændigheder, hvor det vil være relevant, og informere disse personer, hvor det er nødvendigt.
Hvis du stoler på legitime interesser som det lovlige grundlag for behandlingen, har din virksomhed vist, at den har taget hensyn til og beskyttet enkeltpersoners rettigheder og interesser.
Alle organisationer eller virksomheder, der behandler personlige oplysninger, skal betale et gebyr til ICO, medmindre de er fritaget.
Book en skræddersyet hands-on session baseret på dine behov og mål.
For at være sikker skal du altid antage, at alt, hvad du gemmer om en kunde, er personlige data og sikre dig overholde loven/databeskyttelse Handle, når det kommer til at opbevare og behandle disse data. Sørg for, at dine kunders persondatabehandling er sikker, i overensstemmelse med reglerne om databeskyttelse, og at du sletter det med det samme, når det ikke længere er nødvendigt.
Det er vigtigt at overveje at pseudonymisere og/eller kryptere personoplysninger, når det er en særlig kategori af personoplysninger. For at gøre det skal du erstatte identifikationsoplysninger med "kunstige identifikatorer". Dette vil sikre, at de personlige data forbliver sikre.
Selvom det er nævnt 15 gange i GDPR, er pseudonymisering alene ikke nok; det har sine begrænsninger, så kryptering er også nævnt i GDPR.
Kryptering forvrider eller koder oplysninger ved at erstatte dem med noget andet. Pseudonymisering giver alle med adgang til dataene i din organisation mulighed for at se dette datasæt, kryptering på den anden side giver kun "godkendte" brugere adgang det komplette datasæt.
Det er muligt at bruge både pseudonymisering og kryptering på samme tid eller separat under GDPR.
Den britiske GDPR kræver, at du udpeger en Databeskyttelsesofficer (DPO). Denne DPO er ansvarlig for at sikre din organisation overholder de nye regler. De vil også samarbejde med dig om eventuelle nødvendige ændringer af dine datahåndteringsprocedurer.
Databeskyttelsesansvarlige hjælper dig med at overvåge din overholdelse af databeskyttelseslove og yde rådgivning om databeskyttelseskonsekvensvurderinger (DPIA'er). DPO'er fungerer også som et kontaktpunkt for de registrerede og ICO'en. En DPO er en person, der allerede er ansat i din virksomhed, eller måske en person, der slet ikke har nogen tidligere forbindelse til din virksomhed.
DPO'en skal være uafhængig, ekspert i databeskyttelse, tilstrækkeligt finansieret og rapportere til højeste ledelsesniveau. Flere organisationer kan udpege en enkelt DPO i nogle tilfælde.
En af de grundlæggende principper i UK GDPR er, at du skal sikre behandlingen af personoplysninger ved at anvende passende organisatoriske foranstaltninger. Dette er 'sikkerhedsprincippet'.
Du skal træffe rimelige foranstaltninger, der er designet til at sikre fortroligheden, integriteten og tilgængeligheden af dine systemer og tjenester og de personlige data, du behandler i dem.
Som du kan se ovenfor, er økonomiske sanktioner for at bryde GDPR er ikke billigt.
Der er forskellige trin, du kan tage for at gøre din virksomhed kompatibel:
Fjern- eller fleksible arbejdsordninger er blandt de vigtigste faktorer, når man leder efter et job. De fleste arbejdsgivere har ikke en formel fjernarbejde-politik, på trods af det stigende antal virksomheder, der tilbyder fjernjobmuligheder. Dette efterlader dig sårbar.
Alle virksomheder/organisationer bør have en robust fjernarbejdepolitik på plads. Det vil hjælpe med at guide din virksomheds driftsmodel.
Det er også vigtigt for fjernudviklere at forstå, hvordan man indsamler og får adgang til data på en GDPR-kompatibel måde.
Find måder at styrke dit arbejde hjemmefra med medarbejdertræning og oplysningssessioner.
En skræddersyet hands-on session baseret på dine behov og mål
