Det är svårt att tro att vi närmar oss ettårsdagen för GDPR. Efter en tvåårig övergångsperiod trädde GDPR i kraft den 25 maj 2018 och förändrade helt och hållet hur organisationer hanterar dataskydd.
Lagstiftningen infördes för att återspegla vår alltmer digitaliserade värld och erkänna individers rättigheter när det gäller användningen av deras personuppgifter.
Många organisationer har lagt ner mycket tid och arbete på att se till att de följer den nya lagstiftningen, men för andra har det varit en svårare och mer mödosam resa. Att visa att man följer GDPR är en pågående process och det finns många aspekter av lagstiftningen som fortfarande behöver klargöras och som kan vara förvirrande för organisationer.
Två termer som vi ständigt hör i samband med GDPR är "personuppgiftsansvariga" och "personuppgiftsbiträden". Det är viktigt att förstå skillnaden mellan dessa två termer eftersom det kommer att avgöra ditt ansvar enligt lagstiftningen.
Skillnaden mellan en personuppgiftsansvarig och en personuppgiftsbiträde kan få betydande konsekvenser i verkligheten. Om en organisation är involverad i databehandling är det viktigt att fastställa roller och ansvarsområden i ett tidigt skede för att undvika förvirring om ett dataintrång skulle inträffa. Detta kommer att bidra till att säkerställa att det inte finns några luckor i ansvarsfördelningen och att organisationer kan hantera dessa frågor på ett effektivt sätt.
Vad är personuppgifter?
Om din organisation behandlar personuppgifter gäller GDPR för dig. EU definierar "personuppgifter" som all information som direkt eller indirekt kan användas för att identifiera en person (den registrerade). Detta inkluderar allt från namn, e-postadress, IP-adress och bilder. Det omfattar även känsliga personuppgifter som biometriska uppgifter eller genetiska uppgifter som kan behandlas för att identifiera en person.
Är du personuppgiftsansvarig eller personuppgiftsbiträde?
Om din organisation bestämmer syftet med och sättet på vilket personuppgifter behandlas anses den vara personuppgiftsansvarig.
Datakontrollanter spelar en nyckelroll i GDPR-efterlevnaden på grund av de personuppgifter om kunder och anställda som de lagrar och samlar in.
Uppgifterna som datakontrollant omfattar:
- Underlätta ökad insyn i hanteringen av integritetsuppgifter i samband med förfrågningar från den registrerade.
- Säkerställa att de registrerade behandlas inom de tidsramar som anges i GDPR.
- Utföra bedömningar av sekretess och utse dataskyddsombud.
- Meddela tillsynsmyndigheter om dataintrång inom 72 timmar efter att intrånget upptäckts.
- Övervaka och reagera på förändringar i efterlevnadskraven.
- Ersättning av identifierande datafält med pseudonymer och kryptering av personuppgifter.
- Upprätthållande av register över behandlingen av personuppgifter via ett register över personuppgifter.
- Hantera och styra samverkan med tredje part i samband med behandling och hantering av personuppgifter.
Vem är en personuppgiftsbiträde och vilket ansvar har de?
Om en person, organisation, byrå eller annat organ agerar på uppdrag av en personuppgiftsansvarig anses de vara personuppgiftsbiträden.
Exempel på en databehandlare är:
- Ett externt organ (t.ex. ett företag som ansvarar för att ta hand om kundinformation).
- En molnleverantör som lagrar personuppgifter
- Alla tjänsteleverantörer som agerar för din räkning och som har tillgång till kunders eller anställdas personuppgifter.
Läs också Dummies guide till ePrivacy-förordningen
Arbetsuppgifterna för databehandlaren omfattar:
- Beslut om vilka IT-system eller andra metoder som ska användas för att samla in personuppgifter.
- Hur man lagrar personuppgifter
- Uppgifternas säkerhet
- Medel som används för att överföra uppgifter från en organisation till en annan.
- Medel som används för att hämta personuppgifter om vissa personer.
- Säkerställa att metoden bakom lagringsplanen följs.
- Metoder som används för att radera/avyttra uppgifter
Personuppgiftsbiträden har flera nya skyldigheter enligt GDPR, bland annat att upprätthålla åtgärder som ger en adekvat säkerhetsnivå för personuppgifter i förhållande till den potentiella risken.
Personuppgiftsbiträden är skyldiga att följa de instruktioner som de personuppgiftsansvariga ger om inte dessa instruktioner strider mot själva dataskyddsförordningen.
Kan en personuppgiftsansvarig också vara personuppgiftsbiträde?
Det finns vissa gråzoner där situationer kan överlappa varandra, vilket gör det svårt att skilja på om du är personuppgiftsansvarig eller personuppgiftsbiträde. ICO är dock tydlig i sina råd och säger följande: "En organisation kan inte vara både registeransvarig och registerförare för samma databehandlingsverksamhet, utan måste vara den ena eller den andra.
Detta innebär att för att fastställa vilken organisation som har dataskyddsansvaret för vilka uppgifter måste man titta på behandlingen i fråga och på de organisationer som är inblandade. Det är också viktigt att systemen och förfarandena, så långt det är praktiskt möjligt, skiljer mellan organisationens "egna" uppgifter och de uppgifter som den behandlar på uppdrag av de andra uppgifterna."
Lär dig också vad som är giltigt GDPR-medgivande
För att säkerställa fullständig efterlevnad av GDPR måste organisationer tydligt definiera roller och ansvarsområden för att undvika att bryta mot lagstiftningen. Om du är osäker på var din organisation står bör du rådfråga juridisk rådgivning för ytterligare klargöranden.
MetaPrivacy har utformats för att erbjuda bästa praxis för att uppfylla kraven på dataskydd. Kontakta oss för mer information om hur vi kan hjälpa din organisation att förbättra sin struktur för efterlevnad.
ANSVAR: Innehållet och åsikterna i den här bloggen är endast för informationsändamål. De är inte avsedda att utgöra juridisk eller annan professionell rådgivning och bör inte förlitas på eller behandlas som en ersättning för specifik rådgivning som är relevant för särskilda omständigheter, dataskyddslagen eller annan nuvarande eller framtida lagstiftning. MetaCompliance tar inget ansvar för eventuella fel, utelämnanden eller vilseledande uttalanden, eller för eventuella förluster som kan uppstå till följd av att man förlitar sig på material som finns i denna blogg.