Databehandleren behandler kun identificerbare personoplysninger på vegne af dataansvarlig. Databehandleren er normalt en tredjepart, der er ekstern i forhold til virksomheden.
I en kontrakt eller en anden retsakt skal databehandlerens pligter over for den dataansvarlige specificeres, såsom at lade dataansvarlige vide, hvad der sker med personoplysninger, når en privat kontrakt er opsagt.
Databehandlere omfatter maskiner, der udfører operationer på data, såsom lommeregnere eller computere, og nu kan cloud-tjenesteudbydere betegnes som databehandlere.
En tredjeparts databehandler ejer eller kontrollerer ikke de data, de behandler. Databehandleren kan ikke ændre formålet med dataene eller hvordan de bruges.
Databehandlere udfører forskellige databehandlingsopgaver for en virksomhed, såsom lagring af data, indhentning af data, afvikling af løn, markedsføringsaktiviteter eller sikkerhed for data.
Behandling definerer enhver operation eller et sæt af operationer, der udføres på personlige data eller sæt af individuelle private data, uanset om det er automatiseret eller ej, såsom indsamling, registrering, organisering, strukturering, lagring, tilpasning eller ændring, konsultation, brug, videregivelse ved transmission, formidling.
I Generel databeskyttelsesforordning (GDPR), den dataansvarlige og databehandleren har lignende ansvar, og under GDPR overholder de også lignende principper. Sammenlignet med forgængeren for GDPR, er der ikke så meget ændringer i forhold til, hvad en databehandler er.
Databehandlere skal bistå dataansvarlige under visse omstændigheder, for eksempel i forbindelse med en potentiel meddelelse om brud på persondatasikkerheden eller overvejer en Data Protection Impact Assessment (DPIA).
Den registeransvarlige for din organisations HR-afdeling har metoder til at behandle personoplysninger om ansøgere og medarbejdere, der skal beskyttes. Det er muligt, at nogle af HR-databehandlingsaktiviteterne kan udføres af en tredjepart. En processor er en virksomhed, som du vil outsource til.
Dit marketingteam behandler personlige data om potentielle kunder og eksisterende kunder. Sidstnævnte er databehandlere, når de arbejder sammen med et e-mail-marketingfirma eller et bureau, der bruger disse data til kampagner.
Når du ønsker, at en potentiel kunde skal ringe til et bestemt nummer inden for rammerne af en kampagne på tv og så videre, kan du have outsourcet de indgående kontaktcenteraktiviteter i din organisation eller brugt et callcenter.
De registrerede er de personer, der ringer ind, og kontaktcentret bliver behandler.
Databehandleren ejer aldrig personoplysningerne. Den registeransvarlige ejer ikke personlige data om sine kunder, kundeemner, medarbejdere eller nogen anden. Den fysiske person ejer personoplysningerne.
Hvis en databehandler bruger en underdatabehandler til at hjælpe med behandlingen af personoplysninger for en dataansvarlig, skal din databehandler have en skriftlig kontrakt med denne underdatabehandler. En underdatabehandler er normalt en anden organisation.
Jeg vil bestemt anbefale ISMS.online, det gør opsætning og administration af dit ISMS så nemt som det kan blive.
For eksempel er der rigtig mange ansatte på bryggeriet. Virksomheden underskriver en kontrakt med et lønfirma om at betale løn.
Når en medarbejder får lønstigning eller går, fortæller bryggeriet lønselskabet, hvornår lønnen skal eller ikke skal betales.
Bryggeriet bliver dataansvarlig, og lønselskabet vil være databehandler.
Den generelle databeskyttelsesforordning har skitseret de forskellige roller og ansvar, der forventes af en dataansvarlig eller en databehandler.
Du kan være sikker på, at du har opnået alt, hvad der skal gøres fra din side, ved at sikre dig, at du overholder loven.
Behandlere har mindre uafhængighed i forhold til de data, de behandler, men de har juridisk ansvar i henhold til den britiske GDPR-lovgivning og er underlagt regulering fra myndighederne.
Hvis du er databehandler, har du nogle ansvar og forpligtelser, såsom:
Du skal føre optegnelser og vedligeholde og udpege en databeskyttelsesansvarlig for at overholde visse GDPR ansvarsforpligtelser.
Det Forenede Kongeriges forbud mod at overføre personoplysninger til andre mennesker stemmer overens med EU's forbud mod at overføre personoplysninger til andre mennesker. Du skal sikre dig, at enhver overførsel uden for Storbritannien er godkendt af den registeransvarlige og overholder UK GDPR's overførselsbestemmelser.
Du er forpligtet til at hjælpe myndighederne med at udføre deres opgaver ved at samarbejde med dem, som f.eks Informationskommissærens kontor (ICO).
Dataansvarlige skal sikre sig, at de arbejder med databehandlere, der tilbyder garantier vedrørende deres evne til at behandle personoplysninger og overholde GDPR og beskyttelse af den registreredes rettigheder.
UK GDPR gælder for databehandling udført af organisationer i Storbritannien. Det gælder for organisationer uden for Storbritannien, der tilbyder varer eller tjenester til enkeltpersoner i Storbritannien.
I henhold til GDPR er visse aktiviteter ikke underlagt databeskyttelseslovgivningen, herunder behandling til nationale sikkerhedsformål, behandling håndteret af enkeltpersoner udelukkende til personlige/husholdningsaktiviteter og behandling omfattet af Lovhåndhævelsesdirektivet.
Brexit-overgangsperioden sluttede i december 2020. Britiske organisationer, der behandler personoplysninger, skal overholde:
Der er minimale forskelle mellem den britiske GDPR og den tilsvarende EU. EU's struktur er blevet løftet af Storbritannien og indført i landets lovgivning.
En skræddersyet hands-on session baseret på dine behov og mål
Databehandlere har færre forpligtelser, men skal passe på kun at behandle personoplysninger i henhold til den dataansvarliges anvisninger.
Databeskyttelse Den ansvarlige, som virksomheden måtte have udpeget, er ansvarlig for at føre tilsyn med, hvordan personoplysninger behandles og for at underrette og rådgive medarbejdere, der behandler personoplysninger.
DPO'en kommunikerer og samarbejder også med Databeskyttelse Myndighed (DPA).
Der er et krav om, at din virksomhed skal udpege en DPO, når:
DPO'en kan være medlem af din organisation eller kan indgå i en kontrakt baseret på en servicekontrakt.
En databehandler er en fysisk person, et bureau, en offentlig myndighed eller ethvert andet organ, der opbevarer personoplysninger på vegne af en dataansvarlig.
Dit personale behandler dataene i henhold til dine instruktioner. Dit team anses ikke for at være tredjepart i juridisk forstand, og derfor er enhver behandling, de foretager, en del af en dataansvarligs handling.
Hvis du bruger personale, har du ikke en direkte ansættelseskontrakt med for eksempel vikarer, som bureauet betaler. Styrelsen fungerer som databehandler.
Følgende liste forklarer de typiske opgaver for en databehandler:
Dit marketingteam indsamler personlige data om potentielle og eksisterende kunder. Når din organisation arbejder med et e-mail-marketingfirma eller et bureau, der bruger disse data, er sidstnævnte databehandlere.
ISMS.online gør opsætning og administration af dit ISMS så nemt som muligt.
Artikel 5 i GDPR-principperne angiver klart, hvad en registreret ville forvente, når de behandler deres personoplysninger.
Personligt identificerbare data er enhver information, der kan bruges til at identificere en person. Dette omfatter navne, adresser, telefonnumre, kreditkortoplysninger og lignende.
Det, der identificerer en person, kan være lige så ligetil som et navn eller et nummer, eller det kan omfatte andre faktorer, såsom en internetprotokoladresse eller en cookie-id.
Hvis du kan identificere en person direkte ud fra de oplysninger, du behandler, kan disse oplysninger være personoplysninger.
Du skal tænke over, om personen stadig er identificerbar, hvis du ikke direkte kan identificere dem. Alle de ressourcer, der med rimelighed vil blive brugt til at identificere den pågældende person, bør overvejes sammen med de oplysninger, du behandler.
At tage højde for en række forskellige faktorer, herunder indholdet af dataene, formålet eller formålene med, at du behandler dem, og den sandsynlige indvirkning af denne behandling på individet er, hvad du skal overveje, når du overvejer, om oplysningerne "vedrører" en person .
Det er muligt, at de samme oplysninger er personligt identificerbare til én dataansvarligs formål, men er ikke personligt identificerbare for en anden dataansvarligs formål.
Oplysninger, der er blevet fjernet eller erstattet for at skjule dataene, er stadig personlige data i henhold til UK GDPR.
Oplysninger, der virkelig er anonyme, er ikke omfattet af Storbritanniens generelle databeskyttelsesforordning.
Oplysninger, der ser ud til at relatere til en bestemt person, er stadig personlige data, da de vedrører den pågældende person, selvom de ikke er nøjagtige.
Det er afgørende at sikre, at din virksomhed overholder GDPR. En glimrende måde at starte dette på er ved at foretage en informationsrevision og/eller datakortlægning for at sikre, at du ved, hvilke personlige data din organisation har og hvor.
Virksomheden pålægges bøder, hvis de ikke fører registre over behandlingsaktiviteter eller leverer et fuldstændigt indeks til myndighederne. Dette er i henhold til artikel 83.4.a i GDPR-forordningen.
Download din gratis guide
at strømline din Infosec