Rekisterinpitäjä on yritys tai henkilö, jolla on valtuudet määrätä, mitä tiedoillesi tapahtuu.
Monissa maissa tiedon "haltija" on tiedot kerännyt yritys. Kuitenkin muissa paikoissa, kuten Euroopan unionissa, tiedon "haltija" voi olla valtion virasto tai jokin muu taho.
Rekisterinpitäjä päättää, mihin tarkoitukseen ja menettelyihin miten ja miksi yritys/verkkosivusto käyttää tietoja. Yleensä tämä on verkkosivuston omistaja tai ylläpitäjä. Jos sinulla on verkkosivusto, sinun on oltava sellainen GDPR-vaatimusten mukainen. Sinun on ryhdyttävä erillisiin vaiheisiin noudattaaksesi uusia säännöksiä, mukaan lukien EU:n edellyttämät määräykset.
Rekisterinpitäjä on henkilö tai yritys, joka päättää, mihin tarkoituksiin ja miten tietoja käsitellään. Siksi, jos yrityksesi päättää "miksi" ja "miten" tietoja tulee käsitellä, se on rekisterinpitäjä.
Rekisterinpitäjänä henkilö tai organisaatio on vastuussa siitä, että käsittelysi noudattaa Yleinen tietosuojadirektiivi (GDPR).
Tämä sisältää sen, että kaikki puolestasi käsitellyt tiedot ovat riittäviä, tarkkoja, oikea-aikaisia ja turvallisia.
Rekisterinpitäjien velvollisuudet: Sinun (yksittäisten rekisterinpitäjien) on sovittava, kuka täyttää tietyt rekisterinpitäjän velvollisuudet. GDPR, koska jokainen rekisterinpitäjä on vastuussa noudattamisesta kaikkien GDPR-velvollisuuksien kanssa.
26 artiklassa todetaan, että jos osapuolet määrittävät yhdessä käsittelyn tarkoituksen ja keinot, molempia pidetään yhteisinä rekisterinpitäjinä. GDPR ei mene tämän prosessin yksityiskohtiin, vaan mainitsee sen vain ohimennen artikloissa 30 ja 36.
Artiklan 26 (GDPR) yhteistä valvontaa koskevat lausekkeet ovat hyvin lyhyitä, mutta ne ovat aiheuttaneet organisaatioille paljon keskustelua ja epävarmuutta.
Yhteisen rekisterinpitäjän käsite ei ole erityisen uusi, mutta sen GDPR:n jälkeinen sovellus nykyaikaisessa tietojenkäsittelyekosysteemissä on monimutkainen. Selventämällä, miten osapuolia pidetään yhteisinä rekisterinpitäjinä, määritellään niiden noudattamista koskevat vastuut ja jaettu vastuu yksilöiden ja tietosuoja viranomaiset.
Yhteisö/organisaatio voi olla rekisterinpitäjä tai a tietojen käsittelijä, tai molemmat. Sama organisaatio voi olla sekä rekisterinpitäjä että tietojen käsittelijä. Jos analytiikkatoimittajamme esimerkiksi käyttää asiakkaan tietoja järjestelmiensä kautta, palveluntarjoaja on näiden tietojen käsittelijä.
Analytiikkatoimittaja voi kuitenkin pitää hallussaan mitä tahansa muita tietojoukkoja, joita se ehkä käyttää analytiikkatyökaluissaan. Jos analytiikan tarjoajalla on oikeus päättää, miten kyseisiä lisätietoja käytetään, se on kyseisten tietojen rekisterinpitäjä.
GDPR-velvollisuutesi riippuvat siitä, oletko rekisterinpitäjä, käsittelijä vai yhteinen rekisterinpitäjä. Siksi on erittäin tärkeää, että harkitset omaasi huolellisesti rooli ja vastuut tietojenkäsittelytoimistasi sen määrittämiseksi, oletko rekisterinpitäjä, käsittelijä vai yhteinen rekisterinpitäjä.
Vaikka et olisi suoraan mukana tietojen keräämisessä, olet silti mahdollisesti vastuussa GDPR:n noudattamatta jättämisestä. Siksi olet vastuussa turvaamisestasi osoittaa asetuksen noudattamisen tietosuojaperiaatteita.
ISMS.online säästää aikaa ja rahaa ISO 27001 -sertifikaatin saamiseksi ja tekee sen ylläpidosta helppoa.
Tietoturvapäällikkö, Honeysuckle Health
Yleinen tietosuoja-asetus erottaa Yhdistyneessä kuningaskunnassa "rekisterinpitäjän" ja "tietojen käsittelijän".
Tämä auttaa tunnistamaan, että kaikki organisaatiot eivät ole mukana käsittelyssä henkilökohtaiset tiedot on sama vastuu. Yhdistyneen kuningaskunnan GDPR määrittelee nämä termit seuraavasti:
Rekisterinpitäjänä kutsutaan henkilöä tai organisaatiota, joka päättää, miksi ja miten henkilötietoja tulee käsitellä.
Oletetaan, että yritys käsittelee henkilötietoja auttaakseen tiettyä henkilöä (kuten työntekijää) suorittamaan velvollisuutensa. Tällöin kyseinen työntekijä toimii tietojen käsittelijänä.
"Tietojen käsittelijä" on mikä tahansa yritys tai henkilö, joka käsittelee henkilötietoja toisen puolesta. Yhteenvetona he ovat rekisterinpitäjän edustaja.
Yleisen kuusi ydinperiaatetta tietosuojajärjestelmä on määritelty Yhdistyneen kuningaskunnan GDPR:n artiklassa 5 hahmotella:
Ensimmäinen yksityisyyden periaate on kohtuullisen itsestään selvä. Organisaation tulee varmistaa, että sen tiedonkeruukäytännöt ovat laillisia, eivätkä ne saa salata mitään rekisteröidyiltä. Noudattaaksesi sitä, sinun on rekisterinpitäjänä ymmärrettävä perusteellisesti GDPR ja sen tiedonkeruusäännöt. Lisäksi sinun tulee julkaista tietosuojakäytäntösi, jossa kerrotaan tarkalleen, mitä tietoja keräät ja miksi keräät niitä.
Organisaatioiden tulee rajoittaa keräämiensä henkilötietojen määrä siihen, mikä on tarpeen niiden tarkoitusten toteuttamiseksi. Niiden olisi myös varmistettava, että heidän keräämänsä tiedot ovat tarkkoja, ajan tasalla ja että niitä ei säilytetä pidempään kuin on tarpeen näiden tarkoitusten saavuttamiseksi. Rekisterinpitäjälle annetaan enemmän liikkumavaraa, jos käsittely tapahtuu arkistointi-, yleishyödyllisiin, tieteellisiin, historiallisiin tai tilastollisiin tarkoituksiin.
Organisaatio saa käsitellä henkilötietoja vain, jotka ovat tarpeen sen tarkoituksen saavuttamiseksi. Tästä on kaksi merkittävää etua. Jos tietomurto tapahtuu, henkilöllä on pääsy vain pieneen määrään tietoja. Tietojen tarkkuuden pitäminen on myös helpompaa.
Tietojen tarkkuus on olennaista tietosuojan kannalta. GDPR:n mukaan "kaikkiin kohtuullisiin toimiin" on ryhdyttävä sellaisten tietojen korjaamiseksi, poistamiseksi tai tuhoamiseksi, jotka eivät ole tarkkoja tai täydellisiä. Henkilöllä on oikeus pyytää virheellisten tai puutteellisten tietojen oikaisemista tai päivittämistä 30 päivän kuluessa. Tietojen korjaaminen tai päivittäminen voi kuitenkin olla mahdotonta muissa tapauksissa ja tiedot voidaan joutua poistamaan.
Kaikkien organisaatioiden on poistettava henkilötiedot, kun niitä ei enää tarvita. Kuinka kauan organisaation tulee säilyttää asiakastietoja? Se vaihtelee toimialoittain ja tietojen keräämisen syistä. Organisaation, joka ei ole varma, kuinka kauan sen tulisi säilyttää henkilötietoja, tulee kääntyä lakimiehen puoleen.
GDPR edellyttää, että henkilötiedot on suojattu. Tiedot on suojattava katoamista, tuhoutumista tai vaurioita vastaan. Se on myös suojattava luvattomalta käsittelyltä ja vahingossa tapahtuvalta katoamiselta asianmukaisin teknisin tai organisatorisin keinoin. GDPR on tarkoituksella epämääräinen siitä, mitä organisaatioiden tulisi tehdä, koska tekniset ja organisaation parhaat käytännöt muuttuvat jatkuvasti.
Alla oleva tarkistuslista auttaa sinua selvittämään, mitä tehdä, jos olet rekisterinpitäjä.
Yrityksesi on täyttänyt tiedot tilintarkastus saadaksesi selville, missä yrityksesi tiedot sijaitsevat.
Yrityksesi on dokumentoinut ja tunnistanut lailliset perusteesi tietojen käsittelylle.
Yhdistyneen kuningaskunnan yleinen tietosuoja-asetus asettaa erittäin korkeat standardit suostumukselle. Aina ei kuitenkaan tarvitse suostumusta. Joissakin tapauksissa aidon valinnanvaran ja hallinnan tarjoaminen ihmisille heidän tietojensa käytön suhteen parantaa mainettasi ja lisää luottamusta. GDPR perustuu vuoden 1998 lain suostumusstandardiin useilla alueilla ja sisältää yksityiskohtaisempaa tietoa siitä, mikä on pätevä suostumus ja muut lailliset perusteet ihmisten tietojen käsittelylle.
Sinulla tulee olla laillinen peruste alaikäisen henkilötietojen käsittelylle. Jos olet riippuvainen suostumuksesta tietojen käsittelyn laillisena perustana ja tarjoat verkkopalveluita lapsille, sinun on pyrittävä kohtuullisin keinoin varmistamaan, että jokainen, joka antaa suostumuksensa, on riittävän vanha siihen. Siksi sinun on varmistettava, että jokainen, joka antaa sinulle suostumuksensa, on yli 13-vuotias.
Jos tarjoat verkkopalvelua alle 13-vuotiaille lapsille, sinun on ensin hankittava lapsen huoltajalta suostumus. Sinun on tämän jälkeen käytettävä kohtuullisia ponnisteluja varmistaaksesi, että lapselle suostumuksen antavalla henkilöllä on huoltajuus.
Jos sinun on käsiteltävä kaikenlaisia tietoja yksilön etujen suojelemiseksi, yrityksesi on dokumentoitava olosuhteet, joissa se on olennaista, ja tiedotettava näille henkilöille tarvittaessa.
Jos luotat oikeutettuihin etuihin käsittelyn laillisena perustana, yrityksesi on osoittanut, että se on huomioinut ja suojellut yksilöiden oikeuksia ja etuja.
Kaikkien henkilökohtaisia tietoja käsittelevien organisaatioiden tai yritysten on maksettava ICO:lle maksu, elleivät ne ole vapautettuja.
Varaa räätälöity käytännönläheinen istunto tarpeidesi ja tavoitteidesi mukaan.
Varmuuden vuoksi oleta aina, että kaikki asiakkaasta tallentamasi on henkilökohtaisia tietoja ja varmista noudattaa lakia/tietosuojaa Toimi näiden tietojen tallentamisessa ja käsittelyssä. Varmista, että asiakkaidesi henkilötietojen käsittely on turvallista, tietosuojamääräysten mukainen ja että poistat sen välittömästi, kun sitä ei enää tarvita.
On olennaista harkita henkilötietojen pseudonymisointia ja/tai salausta, kun kyseessä on tietty henkilötietojen luokka. Voit tehdä tämän korvaamalla tunnistetiedot "keinotekoisilla tunnisteilla". Näin varmistetaan, että henkilötiedot pysyvät turvassa.
Vaikka se mainitaan 15 kertaa GDPR:ssä, pelkkä pseudonymisointi ei riitä; sillä on rajoituksensa, joten salaus mainitaan myös GDPR:ssä.
Salaus sekoittaa tai koodaa tietoja korvaamalla sen jollain muulla. Pseudonymisoinnin avulla kuka tahansa, jolla on pääsy organisaatiosi tietoihin, voi tarkastella kyseistä tietojoukkoa, toisaalta salaus sallii pääsyn vain "hyväksytyille" käyttäjille koko tietojoukko.
On mahdollista käyttää sekä pseudonymisointia että salausta samanaikaisesti tai erikseen GDPR:n mukaisesti.
Yhdistyneen kuningaskunnan GDPR vaatii sinua nimeämään a Tietosuojavastaava (DPO). Tämä tietosuojavastaava on vastuussa organisaatiosi varmistamisesta on uusien määräysten mukainen. He työskentelevät kanssasi myös mahdollisten tietojenhallintamenettelyjesi muutoksien osalta.
Tietosuojavastaavat auttavat sinua valvomaan tietosuojalakien noudattamista ja antamaan neuvoja tietosuojavaikutusten arvioinneissa (DPIA). Tietosuojavastaavat toimivat myös rekisteröityjen ja ICO:n yhteyspisteinä. Tietosuojavastaava on henkilö, joka on jo yrityksesi palveluksessa tai kenties joku, jolla ei ole aiempaa yhteyttä yritykseesi.
Tietosuojavastaavan on oltava riippumaton, tietosuojan asiantuntija, riittävän rahoitettu ja raportoitava korkeimmalle hallintotasolle. Useat organisaatiot voivat joissakin tapauksissa nimittää yhden tietosuojavastaavan.
Yksi Yhdistyneen kuningaskunnan GDPR:n perusperiaatteet ovat, että sinun on turvattava henkilötietojen käsittely käyttämällä asianmukaisia organisatorisia toimenpiteitä. Tämä on "turvallisuusperiaate".
Sinun on ryhdyttävä kohtuullisiin toimenpiteisiin järjestelmien ja palveluiden sekä niissä käsittelemiesi henkilötietojen luottamuksellisuuden, eheyden ja saatavuuden varmistamiseksi.
Kuten edellä näet, taloudelliset seuraamukset GDPR:n rikkominen ei ole halpaa.
Voit tehdä yrityksesi vaatimusten mukaiseksi useilla eri vaiheilla:
Etä- tai joustavat työjärjestelyt ovat yksi tärkeimmistä tekijöistä työnhaussa. Useimmilla työnantajilla ei ole virallista etätyöpolitiikkaa huolimatta etätyömahdollisuuksia tarjoavien yritysten määrästä. Tämä jättää sinut haavoittuvaiseksi.
Kaikilla yrityksillä/organisaatioilla tulee olla vankka etätyöpolitiikka. Se auttaa ohjaamaan yrityksesi toimintamallia.
On myös tärkeää, että etäkehittäjät ymmärtävät, kuinka kerätä ja käyttää tietoja GDPR-yhteensopivalla tavalla.
Löydä tapoja vahvistaa kotoa työskentelyäsi työntekijöiden koulutuksella ja tiedotustilaisuuksilla.
Räätälöity käytännön istunto tarpeidesi ja tavoitteidesi mukaan