Rekisterinpitäjän määrittelemä

Mitä se tarkoittaa, jos olet rekisterinpitäjä?

Rekisterinpitäjä on henkilö tai yritys, joka päättää, mihin tarkoituksiin ja miten tietoja käsitellään. Siksi, jos yrityksesi päättää "miksi" ja "miten" tietoja tulee käsitellä, se on rekisterinpitäjä.

Rekisterinpitäjänä henkilö tai organisaatio on vastuussa siitä, että käsittelysi noudattaa Yleinen tietosuojadirektiivi (GDPR).

Tämä sisältää sen, että kaikki puolestasi käsitellyt tiedot ovat riittäviä, tarkkoja, oikea-aikaisia ​​ja turvallisia.

Rekisterinpitäjien velvollisuudet: Sinun (yksittäisten rekisterinpitäjien) on sovittava, kuka täyttää tietyt rekisterinpitäjän velvollisuudet. GDPR, koska jokainen rekisterinpitäjä on vastuussa noudattamisesta kaikkien GDPR-velvollisuuksien kanssa.

Mitä se tarkoittaa, jos olet yhteinen rekisterinpitäjä?

26 artiklassa todetaan, että jos osapuolet määrittävät yhdessä käsittelyn tarkoituksen ja keinot, molempia pidetään yhteisinä rekisterinpitäjinä. GDPR ei mene tämän prosessin yksityiskohtiin, vaan mainitsee sen vain ohimennen artikloissa 30 ja 36.

• Kun kaksi tai useampi rekisterinpitäjä yhdessä päättää käsittelyn tarkoituksesta ja keinoista, he ovat yhteisiä rekisterinpitäjiä.
• Kunkin rekisterinpitäjän on määriteltävä avoimesti vastuunsa tämän asetuksen mukaisten velvoitteiden noudattamisesta, erityisesti rekisteröidyn oikeuksien käyttämisestä (13 artikla), paitsi jos se ei ole mahdollista, jolloin niiden on sovittava keskenään asianmukaiset järjestelyt.
• Järjestelyssä voidaan nimetä rekisteröidyille yhteyspiste.

Oletko yhteisen valvojan tarkistuslista:

• Meillä on yhteinen tavoite muiden markkinoijien kanssa tietojen käsittelyssä.
• Käsittelemme henkilötietoja samaan tarkoitukseen kuin toinen yritys.
• Toinen rekisterinpitäjä käyttää samoja henkilötietoja, joita käytämme tähän käsittelyyn.
• Olemme suunnitelleet tämän prosessin toisen ohjaimen kanssa.
• Jaamme yhteiset tiedonhallintasäännöt toisen rekisterinpitäjän kanssa.

Artiklan 26 (GDPR) yhteistä valvontaa koskevat lausekkeet ovat hyvin lyhyitä, mutta ne ovat aiheuttaneet organisaatioille paljon keskustelua ja epävarmuutta.

Yhteisen rekisterinpitäjän käsite ei ole erityisen uusi, mutta sen GDPR:n jälkeinen sovellus nykyaikaisessa tietojenkäsittelyekosysteemissä on monimutkainen. Selventämällä, miten osapuolia pidetään yhteisinä rekisterinpitäjinä, määritellään niiden noudattamista koskevat vastuut ja jaettu vastuu yksilöiden ja tietosuoja viranomaiset.

Voitko olla sekä rekisterinpitäjä että tietojen käsittelijä?

Oletko ohjain, prosessori vai molemmat?

Yhteisö/organisaatio voi olla rekisterinpitäjä tai a tietojen käsittelijä, tai molemmat. Sama organisaatio voi olla sekä rekisterinpitäjä että tietojen käsittelijä. Jos analytiikkatoimittajamme esimerkiksi käyttää asiakkaan tietoja järjestelmiensä kautta, palveluntarjoaja on näiden tietojen käsittelijä.

Analytiikkatoimittaja voi kuitenkin pitää hallussaan mitä tahansa muita tietojoukkoja, joita se ehkä käyttää analytiikkatyökaluissaan. Jos analytiikan tarjoajalla on oikeus päättää, miten kyseisiä lisätietoja käytetään, se on kyseisten tietojen rekisterinpitäjä.

Kuinka määrität, oletko rekisterinpitäjä vai henkilötietojen käsittelijä?

GDPR-velvollisuutesi riippuvat siitä, oletko rekisterinpitäjä, käsittelijä vai yhteinen rekisterinpitäjä. Siksi on erittäin tärkeää, että harkitset omaasi huolellisesti rooli ja vastuut tietojenkäsittelytoimistasi sen määrittämiseksi, oletko rekisterinpitäjä, käsittelijä vai yhteinen rekisterinpitäjä.

Oletko rekisterinpitäjä?

• On välttämätöntä kerätä tai käsitellä henkilötietoja.
• Mikä käsittelyn tarkoitus tai tulos oli.
• Päätimme, mitä henkilötietoja haluamme kerätä.
• Valitsimme henkilöt, joista aiomme kerätä henkilötietoja.
• Kaupallinen hyöty tai hyöty käsittelystä, lukuun ottamatta maksuja palveluista toiselta rekisterinpitäjältä.
• Meidän ja rekisteröidyn välisen sopimuksen seurauksena käsittelemme hänen henkilötietojaan.
• "Rekisteröityjämme" ovat työntekijämme.
• Teemme päätöksiä henkilöistä, jotka ovat mukana käsittelyssä tai sen seurauksena.
• Ammattimainen harkinta "rekisteröityjen" henkilötietojen käsittelyssä.
• Meidän ja rekisteröityjen välillä on suora suhde.
• Meillä on täysi valta siihen, miten tietoja käsitellään.
• Olemme valtuuttanut käsittelijät käsittelemään henkilötietoja puolestamme.

Vaikka et olisi suoraan mukana tietojen keräämisessä, olet silti mahdollisesti vastuussa GDPR:n noudattamatta jättämisestä. Siksi olet vastuussa turvaamisestasi osoittaa asetuksen noudattamisen tietosuojaperiaatteita.

GDPR:n noudattaminen ja rekisterinpitäjien vastuut

Mitä GDPR määrittelee rekisterinpitäjäksi?

Yleinen tietosuoja-asetus erottaa Yhdistyneessä kuningaskunnassa "rekisterinpitäjän" ja "tietojen käsittelijän".

Tämä auttaa tunnistamaan, että kaikki organisaatiot eivät ole mukana käsittelyssä henkilökohtaiset tiedot on sama vastuu. Yhdistyneen kuningaskunnan GDPR määrittelee nämä termit seuraavasti:

Rekisterinpitäjänä kutsutaan henkilöä tai organisaatiota, joka päättää, miksi ja miten henkilötietoja tulee käsitellä.

Oletetaan, että yritys käsittelee henkilötietoja auttaakseen tiettyä henkilöä (kuten työntekijää) suorittamaan velvollisuutensa. Tällöin kyseinen työntekijä toimii tietojen käsittelijänä.

"Tietojen käsittelijä" on mikä tahansa yritys tai henkilö, joka käsittelee henkilötietoja toisen puolesta. Yhteenvetona he ovat rekisterinpitäjän edustaja.

Kuusi tietosuojaperiaatetta

Yleisen kuusi ydinperiaatetta tietosuojajärjestelmä on määritelty Yhdistyneen kuningaskunnan GDPR:n artiklassa 5 hahmotella:

Ensimmäinen tietosuojaperiaate

Ensimmäinen yksityisyyden periaate on kohtuullisen itsestään selvä. Organisaation tulee varmistaa, että sen tiedonkeruukäytännöt ovat laillisia, eivätkä ne saa salata mitään rekisteröidyiltä. Noudattaaksesi sitä, sinun on rekisterinpitäjänä ymmärrettävä perusteellisesti GDPR ja sen tiedonkeruusäännöt. Lisäksi sinun tulee julkaista tietosuojakäytäntösi, jossa kerrotaan tarkalleen, mitä tietoja keräät ja miksi keräät niitä.

Toinen tietosuojaperiaate

Organisaatioiden tulee rajoittaa keräämiensä henkilötietojen määrä siihen, mikä on tarpeen niiden tarkoitusten toteuttamiseksi. Niiden olisi myös varmistettava, että heidän keräämänsä tiedot ovat tarkkoja, ajan tasalla ja että niitä ei säilytetä pidempään kuin on tarpeen näiden tarkoitusten saavuttamiseksi. Rekisterinpitäjälle annetaan enemmän liikkumavaraa, jos käsittely tapahtuu arkistointi-, yleishyödyllisiin, tieteellisiin, historiallisiin tai tilastollisiin tarkoituksiin.

Kolmas tietosuojaperiaate

Organisaatio saa käsitellä henkilötietoja vain, jotka ovat tarpeen sen tarkoituksen saavuttamiseksi. Tästä on kaksi merkittävää etua. Jos tietomurto tapahtuu, henkilöllä on pääsy vain pieneen määrään tietoja. Tietojen tarkkuuden pitäminen on myös helpompaa.

Neljäs tietosuojaperiaate

Tietojen tarkkuus on olennaista tietosuojan kannalta. GDPR:n mukaan "kaikkiin kohtuullisiin toimiin" on ryhdyttävä sellaisten tietojen korjaamiseksi, poistamiseksi tai tuhoamiseksi, jotka eivät ole tarkkoja tai täydellisiä. Henkilöllä on oikeus pyytää virheellisten tai puutteellisten tietojen oikaisemista tai päivittämistä 30 päivän kuluessa. Tietojen korjaaminen tai päivittäminen voi kuitenkin olla mahdotonta muissa tapauksissa ja tiedot voidaan joutua poistamaan.

Viides tietosuojaperiaate

Kaikkien organisaatioiden on poistettava henkilötiedot, kun niitä ei enää tarvita. Kuinka kauan organisaation tulee säilyttää asiakastietoja? Se vaihtelee toimialoittain ja tietojen keräämisen syistä. Organisaation, joka ei ole varma, kuinka kauan sen tulisi säilyttää henkilötietoja, tulee kääntyä lakimiehen puoleen.

Kuudes tietosuojaperiaate

GDPR edellyttää, että henkilötiedot on suojattu. Tiedot on suojattava katoamista, tuhoutumista tai vaurioita vastaan. Se on myös suojattava luvattomalta käsittelyltä ja vahingossa tapahtuvalta katoamiselta asianmukaisin teknisin tai organisatorisin keinoin. GDPR on tarkoituksella epämääräinen siitä, mitä organisaatioiden tulisi tehdä, koska tekniset ja organisaation parhaat käytännöt muuttuvat jatkuvasti.

Rekisterinpitäjän tarkistuslista

Alla oleva tarkistuslista auttaa sinua selvittämään, mitä tehdä, jos olet rekisterinpitäjä.

Hallussasi olevat tiedot

Yrityksesi on täyttänyt tiedot tilintarkastus saadaksesi selville, missä yrityksesi tiedot sijaitsevat.

Tietojen käsittely laillisin perustein

Yrityksesi on dokumentoinut ja tunnistanut lailliset perusteesi tietojen käsittelylle.

Suostumus ja valvonta

Yhdistyneen kuningaskunnan yleinen tietosuoja-asetus asettaa erittäin korkeat standardit suostumukselle. Aina ei kuitenkaan tarvitse suostumusta. Joissakin tapauksissa aidon valinnanvaran ja hallinnan tarjoaminen ihmisille heidän tietojensa käytön suhteen parantaa mainettasi ja lisää luottamusta. GDPR perustuu vuoden 1998 lain suostumusstandardiin useilla alueilla ja sisältää yksityiskohtaisempaa tietoa siitä, mikä on pätevä suostumus ja muut lailliset perusteet ihmisten tietojen käsittelylle.

Lasten henkilötietojen käsittely verkkopalveluita ja suostumusta varten

Sinulla tulee olla laillinen peruste alaikäisen henkilötietojen käsittelylle. Jos olet riippuvainen suostumuksesta tietojen käsittelyn laillisena perustana ja tarjoat verkkopalveluita lapsille, sinun on pyrittävä kohtuullisin keinoin varmistamaan, että jokainen, joka antaa suostumuksensa, on riittävän vanha siihen. Siksi sinun on varmistettava, että jokainen, joka antaa sinulle suostumuksensa, on yli 13-vuotias.

Jos tarjoat verkkopalvelua alle 13-vuotiaille lapsille, sinun on ensin hankittava lapsen huoltajalta suostumus. Sinun on tämän jälkeen käytettävä kohtuullisia ponnisteluja varmistaaksesi, että lapselle suostumuksen antavalla henkilöllä on huoltajuus.

Yksilöiden elintärkeät edut

Jos sinun on käsiteltävä kaikenlaisia ​​tietoja yksilön etujen suojelemiseksi, yrityksesi on dokumentoitava olosuhteet, joissa se on olennaista, ja tiedotettava näille henkilöille tarvittaessa.

Tietojenkäsittelyn oikeutetut edut

Jos luotat oikeutettuihin etuihin käsittelyn laillisena perustana, yrityksesi on osoittanut, että se on huomioinut ja suojellut yksilöiden oikeuksia ja etuja.

Tietosuojamaksu

Kaikkien henkilökohtaisia ​​tietoja käsittelevien organisaatioiden tai yritysten on maksettava ICO:lle maksu, elleivät ne ole vapautettuja.

Mihin organisaation toimenpiteisiin voit ryhtyä tietomurtojen estämiseksi?

Mitä tämä tarkoittaa organisaatiollesi/yrityksellesi?

Varmuuden vuoksi oleta aina, että kaikki asiakkaasta tallentamasi on henkilökohtaisia ​​tietoja ja varmista noudattaa lakia/tietosuojaa Toimi näiden tietojen tallentamisessa ja käsittelyssä. Varmista, että asiakkaidesi henkilötietojen käsittely on turvallista, tietosuojamääräysten mukainen ja että poistat sen välittömästi, kun sitä ei enää tarvita.

On olennaista harkita henkilötietojen pseudonymisointia ja/tai salausta, kun kyseessä on tietty henkilötietojen luokka. Voit tehdä tämän korvaamalla tunnistetiedot "keinotekoisilla tunnisteilla". Näin varmistetaan, että henkilötiedot pysyvät turvassa.

Vaikka se mainitaan 15 kertaa GDPR:ssä, pelkkä pseudonymisointi ei riitä; sillä on rajoituksensa, joten salaus mainitaan myös GDPR:ssä.

Salaus sekoittaa tai koodaa tietoja korvaamalla sen jollain muulla. Pseudonymisoinnin avulla kuka tahansa, jolla on pääsy organisaatiosi tietoihin, voi tarkastella kyseistä tietojoukkoa, toisaalta salaus sallii pääsyn vain "hyväksytyille" käyttäjille koko tietojoukko.

On mahdollista käyttää sekä pseudonymisointia että salausta samanaikaisesti tai erikseen GDPR:n mukaisesti.

Tarvitset tietosuojavastaavan

Yhdistyneen kuningaskunnan GDPR vaatii sinua nimeämään a Tietosuojavastaava (DPO). Tämä tietosuojavastaava on vastuussa organisaatiosi varmistamisesta on uusien määräysten mukainen. He työskentelevät kanssasi myös mahdollisten tietojenhallintamenettelyjesi muutoksien osalta.

Tietosuojavastaavat auttavat sinua valvomaan tietosuojalakien noudattamista ja antamaan neuvoja tietosuojavaikutusten arvioinneissa (DPIA). Tietosuojavastaavat toimivat myös rekisteröityjen ja ICO:n yhteyspisteinä. Tietosuojavastaava on henkilö, joka on jo yrityksesi palveluksessa tai kenties joku, jolla ei ole aiempaa yhteyttä yritykseesi.

Tietosuojavastaavan on oltava riippumaton, tietosuojan asiantuntija, riittävän rahoitettu ja raportoitava korkeimmalle hallintotasolle. Useat organisaatiot voivat joissakin tapauksissa nimittää yhden tietosuojavastaavan.

Tietosuojavastaavan rooli organisaatiossasi

• Tietosuojavastaavalla on monia olennaisia ​​velvollisuuksia, mukaan lukien tietosuojan noudattamisen valvonta, uusien tietosuojasäännösten tuntemus, koulutuksen valvonta ja tarkastusten suorittaminen.
• Otamme huomioon tietosuojavastaavamme neuvot ja heidän antamansa tiedot tietosuojavelvoitteistamme.
• DPIA:n aikana pyydämme aina neuvoja tietosuojavastaavaltamme, joka myös valvoo prosessia.
• Tietosuojavastaavat neuvottelevat kaikista muista asioista ja tekevät yhteistyötä ICO:n kanssa.
• Tehtäviään suorittaessaan tietosuojavastaava ottaa huomioon käsittelyn luonteen, laajuuden, kontekstin, tarkoitukset ja näihin käsittelytoimiin liittyvät riskit.

Ajantasainen tietoturvaohjelmisto

Yksi Yhdistyneen kuningaskunnan GDPR:n perusperiaatteet ovat, että sinun on turvattava henkilötietojen käsittely käyttämällä asianmukaisia ​​organisatorisia toimenpiteitä. Tämä on "turvallisuusperiaate".

Sinun on ryhdyttävä kohtuullisiin toimenpiteisiin järjestelmien ja palveluiden sekä niissä käsittelemiesi henkilötietojen luottamuksellisuuden, eheyden ja saatavuuden varmistamiseksi.

Merkittävimmät GDPR- sakot – toistaiseksi

1. Amazon – 746 miljoonaa euroa
2. Google – 50 miljoonaa euroa
3. H&M – 35 miljoonaa euroa
4. TIM – 27.8 miljoonaa euroa
5. British Airways – 22 miljoonaa euroa
6. Marriott – 20.4 miljoonaa euroa
7. Tuuli – 17 miljoonaa euroa
8. Vodafone Italia – 12.3 miljoonaa euroa

Kuten edellä näet, taloudelliset seuraamukset GDPR:n rikkominen ei ole halpaa.

Voit tehdä yrityksesi vaatimusten mukaiseksi useilla eri vaiheilla:

• Analysoi tietojenkäsittelysi aiheuttamat riskit ja käytä näitä tietoja määrittääksesi organisaatiosi turvallisuuden tason.
• Tunnista, mitä yrityksesi tarvitsee tehdä harkitsemalla turvallisuustuloksia, jotka haluat saavuttaa.
• Ota käyttöön kaikki olennaiset tekniset säädöt, jotka on määritelty kehyksissä, kuten Cyber ​​Essentials (VAIN UK).
• Ymmärrä, että joskus sinun on otettava käyttöön lisäturvatoimia erityisolosuhteistasi ja käsittelemiesi henkilötietojen tyypistä riippuen.
• Jos se on tarkoituksenmukaista, käytä salausta ja/tai pseudonymisointia.
• Varmista, että sinulla on asianmukainen prosessi asiakkaidesi tietojen varmuuskopiointiin onnettomuuden sattuessa, esimerkiksi varmistamalla, että sinulla on sopiva ulkopuolinen varasto.
• Käyttämällä hyvämaineista tietojenkäsittelijää varmistat, että hän on toteuttanut asianmukaiset tekniset ja organisatoriset toimenpiteet.

Etätyökäytäntö ja GDPR-yhteensopivuus

Etä- tai joustavat työjärjestelyt ovat yksi tärkeimmistä tekijöistä työnhaussa. Useimmilla työnantajilla ei ole virallista etätyöpolitiikkaa huolimatta etätyömahdollisuuksia tarjoavien yritysten määrästä. Tämä jättää sinut haavoittuvaiseksi.

Kaikilla yrityksillä/organisaatioilla tulee olla vankka etätyöpolitiikka. Se auttaa ohjaamaan yrityksesi toimintamallia.

On myös tärkeää, että etäkehittäjät ymmärtävät, kuinka kerätä ja käyttää tietoja GDPR-yhteensopivalla tavalla.

Luoda etätyöpolitiikka säätelemään ja kattamaan tietojen saatavuutta

• Kehittäjän vastuut tulee hahmotella.
• Tarvitaan etäkäyttökäytäntö.
• Vahvat salasanajärjestelmät tulisi ottaa käyttöön. esim. LastPass.
• Julkisen langattoman internetin käyttö.
• Salaa kaikki etätyöntekijäsi laitteet ja pakota tietojen salaus kaikille, myös niille, jotka ovat kirjautuneet sisään henkilökohtaisilla laitteillaan.
• Työntekijöillä tulee olla selkeät ja käytännölliset menettelyt tapauksista ilmoittamiseksi.
• Voit täyttää tietoturvaaukot tarkistamalla käytäntösi ajoittain ja päivittämällä etätyöskentelykäytäntösi tarpeidesi mukaan.

Löydä tapoja vahvistaa kotoa työskentelyäsi työntekijöiden koulutuksella ja tiedotustilaisuuksilla.