Tietojen käsittelijä käsittelee vain tunnistettavissa olevia henkilötietoja hänen puolestaan rekisterinpitäjä. Tietojen käsittelijä on yleensä yrityksen ulkopuolinen kolmas osapuoli.
Sopimuksessa tai muussa säädöksessä tulee määritellä käsittelijän velvollisuudet rekisterinpitäjää kohtaan, kuten tiedottaminen rekisterinpitäjälle, mitä henkilötiedoille tapahtuu yksityisen sopimuksen päätyttyä.
Tietojen käsittelijöihin kuuluu koneita, jotka suorittavat dataa koskevia toimintoja, kuten laskimia tai tietokoneita, ja nyt pilvipalveluntarjoajat voidaan nimetä tietojenkäsittelijöiksi.
Kolmannen osapuolen tietojen käsittelijä ei omista tai hallitse käsittelemiään tietoja. Tietojen käsittelijä ei voi muuttaa tietojen tarkoitusta tai käyttötapaa.
Tietojen käsittelijät suorittavat yritykselle erilaisia tietojenkäsittelytehtäviä, kuten tietojen tallentamista, tiedonhakua, palkanlaskennan suorittamista, markkinointitoimintoja tai tietojen turvaamista.
Käsittelyllä määritellään mikä tahansa henkilötiedoille tai yksittäisten henkilötietojen joukoille suoritettu toiminto tai toimenpidekokonaisuus, joko automatisoidulla tai ei, kuten kerääminen, tallentaminen, järjestäminen, jäsentäminen, tallentaminen, mukauttaminen tai muuttaminen, kuuleminen, käyttö, luovuttaminen siirtämällä, levittäminen.
In Yleinen tietosuojadirektiivi (GDPR), rekisterinpitäjällä ja tietojen käsittelijällä on samanlaiset vastuut, ja ne noudattavat myös GDPR:n mukaisesti samanlaisia periaatteita. Verrattuna edeltäjään GDPR:ään tietojenkäsittelijä ei ole juurikaan muuttunut.
Tietojen käsittelijöiden on autettava rekisterinpitäjiä tietyissä olosuhteissa, esimerkiksi mahdollisessa henkilötietojen tietoturvaloukkausilmoituksessa tai harkitessaan Tietosuojavaikutusten arviointi (DPIA).
Organisaatiosi HR-osaston rekisterinpitäjällä on käytössään menetelmät hakijoiden ja työntekijöiden suojaamisen tarpeessa olevien henkilötietojen käsittelyyn. On mahdollista, että osan HR-tietojen käsittelystä voi suorittaa kolmas osapuoli. Prosessori on yritys, jolle ulkoistat.
Markkinointitiimisi käsittelee potentiaalisten asiakkaiden ja olemassa olevien asiakkaiden henkilötietoja. Jälkimmäiset ovat käsittelijöitä, kun ne työskentelevät sähköpostimarkkinointiyrityksen tai -toimiston kanssa, joka käyttää näitä tietoja kampanjoissa.
Kun haluat potentiaalisen asiakkaan soittavan tiettyyn numeroon esimerkiksi TV-kampanjan puitteissa, olet saattanut ulkoistaa organisaatiosi saapuvan yhteydenottokeskuksen toiminnot tai käyttää puhelinkeskusta.
Rekisteröidyt ovat henkilöt, jotka soittavat, ja yhteyskeskuksesta tulee käsittelijä.
Käsittelijä ei koskaan omista henkilötietoja. Rekisterinpitäjä ei omista asiakkaidensa, mahdollisten henkilöiden, työntekijöiden tai kenenkään muun henkilötietoja. Luonnollinen henkilö omistaa henkilötiedot.
Jos henkilötietojen käsittelijä käyttää alikäsittelijää auttamaan rekisterinpitäjän henkilötietojen käsittelyssä, sinun on tehtävä kirjallinen sopimus kyseisen alikäsittelijän kanssa. Alikäsittelijä on yleensä toinen organisaatio.
Suosittelisin ehdottomasti ISMS.onlinea, sillä se tekee ISMS:n määrittämisestä ja hallinnasta niin helppoa kuin mahdollista.
Esimerkiksi panimolla on paljon työntekijöitä. Yritys tekee sopimuksen palkanlaskentayhtiön kanssa palkanmaksusta.
Kun työntekijän palkankorotus tai hän lähtee, panimo ilmoittaa palkkayhtiölle, milloin palkka pitäisi maksaa tai ei.
Panimo toimii rekisterinpitäjänä ja palkkayhtiö tietojen käsittelijänä.
Yleisessä tietosuoja-asetuksessa on hahmoteltu rekisterinpitäjän tai tietojenkäsittelijän erilaiset roolit ja vastuut.
Voit olla varma, että olet saavuttanut kaiken, mitä sinun on tehtävä, varmistamalla, että noudatat lakia.
Käsittelijillä on vähemmän riippumattomuutta käsittelemiensä tietojen suhteen, mutta heillä on Yhdistyneen kuningaskunnan GDPR-lain mukainen oikeudellinen vastuu, ja he ovat viranomaisten sääntelyn alaisia.
Jos olet käsittelijä, sinulla on joitain velvollisuuksia ja velvollisuuksia, kuten:
Sinun on pidettävä kirjaa sekä ylläpidettävä ja nimitettävä a tietosuojavastaava noudattaa tiettyjä GDPR-vaatimuksia vastuuvelvollisuudet.
Yhdistyneen kuningaskunnan kielto siirtää henkilötietoja muille ihmisille on yhdenmukainen EU:n kiellon kanssa siirtää henkilötietoja muille ihmisille. Sinun on varmistettava, että rekisterinpitäjä hyväksyy kaikki siirron Yhdistyneen kuningaskunnan ulkopuolelle ja että se on Yhdistyneen kuningaskunnan GDPR:n siirtomääräysten mukainen.
Olet velvollinen auttamaan viranomaisia heidän tehtäviensä suorittamisessa tekemällä yhteistyötä heidän kanssaan, esim Tiedotuskomissaarin toimisto (ICO).
Rekisterinpitäjien on varmistettava, että he työskentelevät sellaisten tietojen käsittelijöiden kanssa, jotka tarjoavat takeet kyvystään käsitellä henkilötietoja ja noudattaa GDPR:ää ja rekisteröidyn oikeuksien suojaa.
Yhdistyneen kuningaskunnan GDPR koskee Yhdistyneessä kuningaskunnassa olevien organisaatioiden suorittamaa tietojenkäsittelyä. Se koskee Yhdistyneen kuningaskunnan ulkopuolella olevia organisaatioita, jotka tarjoavat tavaroita tai palveluita Yhdistyneessä kuningaskunnassa oleville henkilöille.
GDPR:n mukaan tiettyihin toimintoihin ei sovelleta tietosuojalainsäädäntöä, mukaan lukien käsittely kansalliseen turvallisuuteen liittyvissä tarkoituksissa, yksityishenkilöiden yksinomaan henkilökohtaiseen/kotitaloustoimintoihin liittyvä käsittely ja käsittely, jota sovelletaan Lainvalvontadirektiivi.
Brexit-siirtymäkausi päättyi joulukuussa 2020. Henkilötietoja käsittelevien Yhdistyneen kuningaskunnan organisaatioiden on noudatettava:
Yhdistyneen kuningaskunnan GDPR:n ja EU:n vastaavan asetuksen välillä on minimaaliset erot. Britannia on nostanut EU:n rakenteen, ja se on sisällytetty maan lainsäädäntöön.
Räätälöity käytännön istunto tarpeidesi ja tavoitteidesi mukaan
Käsittelijöillä on vähemmän velvollisuuksia, mutta heidän on huolehdittava siitä, että henkilötietoja käsitellään vain rekisterinpitäjän ohjeiden mukaisesti.
- Tietosuojaseloste Toimihenkilö, jonka yritys on mahdollisesti nimennyt, on vastuussa henkilötietojen käsittelyn valvonnasta sekä henkilötietoja käsittelevien työntekijöiden ilmoittamisesta ja neuvomisesta.
Tietosuojavastaava myös kommunikoi ja tekee yhteistyötä Tietosuojaseloste viranomainen (DPA).
Yrityksesi on nimitettävä tietosuojavastaava, kun:
Tietosuojavastaava voi olla organisaatiosi jäsen tai hänen kanssaan voidaan tehdä sopimus palvelusopimuksen perusteella.
Tietojen käsittelijä on luonnollinen henkilö, virasto, viranomainen tai muu elin, joka säilyttää henkilötietoja rekisterinpitäjän puolesta.
Henkilökuntasi käsittelee tietoja ohjeidesi mukaisesti. Tiimiäsi ei pidetä laillisessa mielessä kolmansina osapuolina, ja siksi heidän suorittamansa käsittely on osa rekisterinpitäjän toimintaa.
Jos käytät henkilöstöä, sinulla ei ole suoraa työsopimusta esimerkiksi viraston palkkaamien toimistohenkilöstön kanssa. Virasto toimii tietojen käsittelijänä.
Seuraava luettelo selittää tietojen käsittelijän tyypilliset tehtävät:
Markkinointitiimisi kerää henkilötietoja potentiaalisista ja nykyisistä asiakkaista. Kun organisaatiosi tekee yhteistyötä sähköpostimarkkinointiyrityksen tai -toimiston kanssa, joka käyttää näitä tietoja, viimeksi mainitut ovat käsittelijöitä.
ISMS.online tekee ISMS:n määrittämisestä ja hallinnasta niin helppoa kuin mahdollista.
GDPR-periaatteiden artiklassa 5 hahmotellaan selkeästi, mitä rekisteröity odottaa käsitellessään henkilötietojaan.
Henkilökohtaiset tunnistetiedot on mitä tahansa tietoa, jonka avulla voidaan tunnistaa henkilö. Tämä sisältää nimet, osoitteet, puhelinnumerot, luottokorttitiedot ja vastaavat.
Se, mikä yksilöi henkilön, voi olla yhtä yksinkertaista kuin nimi tai numero, tai se voi sisältää muita tekijöitä, kuten Internet-protokollan osoitteen tai evästetunnisteen.
Jos pystyt tunnistamaan henkilön suoraan käsittelemistäsi tiedoista, kyseiset tiedot voivat olla henkilötietoja.
Sinun on pohdittava, onko henkilö edelleen tunnistettavissa, jos et pysty suoraan tunnistamaan häntä. Kaikki resurssit, joita voidaan kohtuudella käyttää kyseisen henkilön tunnistamiseen, sekä käsittelemäsi tiedot tulee ottaa huomioon.
Sinun on otettava huomioon useat tekijät, mukaan lukien tietojen sisältö, käsittelyn tarkoitus tai tarkoitukset sekä käsittelyn todennäköinen vaikutus yksilöön, kun harkitset, liittyvätkö tiedot henkilöön. .
On mahdollista, että samat tiedot ovat henkilökohtaisesti tunnistettavissa yhden rekisterinpitäjän tarkoituksiin, mutta eivät ole tunnistettavissa toisen rekisterinpitäjän tarkoituksiin.
Tiedot, jotka on poistettu tai korvattu tietojen salaamiseksi, ovat edelleen henkilötietoja Yhdistyneen kuningaskunnan GDPR:n tarkoituksissa.
Aidosti nimettömät tiedot eivät kuulu Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen piiriin.
Tiedot, jotka näyttävät liittyvän tiettyyn henkilöön, ovat edelleen henkilötietoja, koska ne liittyvät kyseiseen henkilöön, vaikka ne eivät olisikaan tarkkoja.
On erittäin tärkeää varmistaa, että yrityksesi on GDPR:n mukainen. Erinomainen tapa aloittaa tämä on suorittaa tietotarkastus ja/tai tietojen kartoitus varmistaaksesi, että tiedät, mitä henkilötietoja organisaatiosi säilyttää ja missä.
Yritykselle määrätään sakkoja, jos ne eivät pidä kirjaa käsittelytoimista tai toimita täydellistä hakemistoa viranomaisille. Tämä on GDPR-asetuksen artiklan 83.4.a mukaista.