Die databeheerder is die maatskappy of persoon wat die mag het om te bepaal wat met jou data gebeur.
In baie lande is die "besitter" van data die maatskappy wat dit ingesamel het. Op ander plekke, soos die Europese Unie, kan die data "besitter" egter 'n regeringsagentskap of 'n ander entiteit wees.
Die databeheerder bepaal die besluite oor die doeleindes en prosedures van hoe en waarom 'n maatskappy/webwerf die data sal gebruik. Tipies is dit die eienaar of bestuurder van die webwerf. As jy 'n webwerf het, moet jy dit wees GDPR voldoen. Daar is duidelike stappe wat u moet neem om aan die nuwe regulasies te voldoen, insluitend dié wat deur die EU vereis word.
Die databeheerder is die persoon of maatskappy wat bepaal vir watter doeleindes en hoe die data verwerk sal word. Daarom, as jou maatskappy besluit 'waarom' en 'hoe' die data verwerk moet word, is dit die databeheerder.
As 'n databeheerder is 'n individu of organisasie verantwoordelik om te verseker dat jou verwerking aan die Algemene databeskermingsregulasie (GDPR).
Dit sluit in om te verseker dat alle data wat namens jou verwerk word, voldoende, akkuraat, tydig en veilig is.
Verpligtinge van beheerders: U (die individuele beheerders) moet ooreenkom wie spesifieke beheerderverpligtinge per GDPR aangesien elke kontroleerder verantwoordelik is vir voldoening met al die GDPR-verantwoordelikhede.
Artikel 26 bepaal dat indien die partye gesamentlik die doel en manier van verwerking bepaal, albei as gesamentlike beheerders geag word. Die GDPR gaan nie in meer besonderhede oor hierdie proses in nie en noem dit net terloops in artikels 30 en 36.
Die klousules in Artikel 26 (GDPR) oor gesamentlike beheerderskap is baie kort, maar dit het baie besprekings en onsekerheid vir organisasies veroorsaak.
Die konsep van gesamentlike beheerderskap is nie besonder nuut nie, maar die toepassing daarvan na die GDPR in die moderne dataverwerking-ekosisteem is kompleks. Om te verduidelik hoe partye as gesamentlike beheerders beskou word, definieer hul onderskeie voldoeningsverantwoordelikhede en gedeelde aanspreeklikheid met betrekking tot individue en die beskerming van data owerhede.
'n Entiteit/organisasie kan 'n databeheerder wees, of a data verwerker, of albei. Dieselfde organisasie kan beide 'n databeheerder en 'n dataverwerker wees. Byvoorbeeld, as ons ontledingsverskaffer 'n kliënt se data deur sy stelsels laat loop, sal die verskaffer die verwerker van daardie data wees.
Die ontledingsverskaffer kan egter enige aantal ander datastelle hou, miskien wat dit in sy ontledingsinstrumente gebruik. As die ontledingsverskaffer geregtig is om te bepaal hoe daardie bykomende data gebruik word, sal dit die beheerder van daardie data wees.
Jou GDPR-verpligtinge sal afhang van of jy 'n kontroleerder, verwerker of gesamentlike beheerders is. Daarom is dit noodsaaklik dat jy jou aandag noukeurig oorweeg rol en verantwoordelikhede rakende jou dataverwerkingsaktiwiteite om te bepaal of jy 'n kontroleerder, 'n verwerker of gesamentlike beheerders is.
Selfs al is jy nie direk betrokke by die insameling van enige data nie, is jy steeds moontlik aanspreeklik vir nie-nakoming van die GDPR. Daarom is jy verantwoordelik om jou te verseker voldoening aan die regulasies te demonstreer databeskermingsbeginsels.
ISMS.online sal jou tyd en geld spaar vir ISO 27001-sertifisering en dit maklik maak om te onderhou.
Bestuurder van inligtingsekuriteit, Kamperfoelie Gesondheid
Die Algemene Databeskermingsregulasie onderskei tussen 'n 'databeheerder' en 'n 'dataverwerker' in die VK.
Dit help om te identifiseer dat nie alle organisasies betrokke by die verwerking van persoonlike data dieselfde mate van verantwoordelikheid het. Die Britse GDPR definieer hierdie terme as:
Die persoon of organisasie wat bepaal 'waarom' en 'hoe' persoonlike data verwerk moet word, staan bekend as die databeheerder.
Gestel 'n maatskappy verwerk persoonlike data om 'n spesifieke individu (soos 'n werknemer) te help om hul pligte uit te voer. In daardie geval tree daardie werknemer as 'n dataverwerker op.
'n 'dataverwerker' is enige besigheid of individu wat persoonlike data namens 'n ander verwerk. Opgesom, hulle is 'n agent vir die databeheerder.
Die ses kernbeginsels van die algemene databeskermingsregime word uiteengesit in artikel 5 van die Britse GDPR buitelyn:
Die eerste beginsel van privaatheid is redelik vanselfsprekend. 'n Organisasie moet verseker dat sy data-insamelingspraktyke wettig is en niks vir sy data-onderwerpe wegsteek nie. Om daaraan te voldoen, as 'n databeheerder, moet jy die GDPR en sy reëls vir data-insameling deeglik verstaan. Daarbenewens moet jy jou privaatheidsbeleid publiseer wat presies aandui watter data jy insamel en hoekom jy dit insamel.
Organisasies moet die hoeveelheid persoonlike data wat hulle insamel beperk tot wat nodig is om hul doeleindes te vervul. Hulle moet ook verseker dat die data wat hulle insamel akkuraat, op datum is en nie langer gehou word as wat nodig is om aan daardie doeleindes te voldoen nie. ’n Databeheerder sal meer speelruimte kry as jou verwerking vir argief-, openbare belang, wetenskaplike, historiese of statistiese doeleindes gedoen word.
'n Organisasie moet slegs persoonlike data verwerk wat nodig is om sy doel te bereik. Dit het twee beduidende voordele. In die geval dat 'n data-oortreding plaasvind, sal 'n individu slegs toegang hê tot 'n klein hoeveelheid data. Dit is ook makliker om data akkuraat te hou.
Data akkuraatheid is noodsaaklik vir data privaatheid. Die GDPR beweer dat “elke redelike stap” gedoen moet word om enige data wat nie akkuraat of volledig is nie, reg te stel, uit te vee of te vernietig. Individue het die reg om te versoek dat onakkurate of onvolledige data binne 30 dae reggestel of bygewerk word. Dit kan egter onmoontlik wees om die data in ander gevalle reg te stel of op te dateer, en die data moet dalk verwyder word.
Alle organisasies moet persoonlike data uitvee wanneer dit nie meer nodig is nie. Hoe lank moet 'n organisasie klantdata behou? Dit verskil tussen bedrywe en die redes waarom die data ingesamel word. Enige organisasie wat onseker is hoe lank dit persoonlike data moet hou, moet 'n regspersoon raadpleeg.
GDPR vereis dat persoonlike data beveilig word. Data moet beskerm word teen verlies, vernietiging of skade. Dit moet ook beskerm word teen ongemagtigde verwerking en teen toevallige verlies, deur toepaslike tegniese of organisatoriese maatreëls te gebruik. GDPR is doelbewus vaag oor wat organisasies moet doen omdat tegnologiese en organisatoriese beste praktyke voortdurend verander.
Laai jou gratis gids af
om jou Infosec te stroomlyn
Die onderstaande kontrolelys sal jou help om uit te vind wat om te doen as jy 'n databeheerder is.
Jou besigheid het 'n inligting voltooi oudit om uit te vind waar die data in jou besigheid geleë is.
Jou besigheid het jou wettige basisse vir die verwerking van data gedokumenteer en geïdentifiseer.
Die Britse algemene databeskermingsregulasie stel 'n baie hoë standaard vir toestemming. Jy het egter nie altyd toestemming nodig nie. In sommige gevalle verbeter dit jou reputasie en skep meer vertroue om mense opregte keuse en beheer te bied oor hoe jy hul data gebruik. Die GDPR bou op die 1998 Wet-standaard van toestemming op verskeie gebiede en bevat meer besonderhede oor wat geldige toestemming en ander wettige basisse vir die verwerking van mense se data uitmaak.
Jy moet 'n wettige basis hê om 'n minderjarige se persoonlike data te verwerk. As jy afhanklik is van toestemming as die wettige basis vir die verwerking van data en jy bied aanlyndienste aan kinders, moet jy redelike pogings aanwend om te verifieer dat enigiemand wat hul eie toestemming gee, oud genoeg is om dit te doen. Daarom sal jy moet verseker dat enigiemand wat hul toestemming aan jou verskaf, ouer as 13 is.
As jy ’n aanlyndiens vir kinders onder die ouderdom van 13 lewer, moet jy eers die toestemming kry van wie ook al ouerlike verantwoordelikheid vir die kind dra. Jy moet dan redelike pogings aanwend om te verifieer dat die persoon wat toestemming gee vir die kind wel ouerlike verantwoordelikheid het.
As jy enige soort data moet verwerk om die belange van 'n individu te beskerm, moet jou besigheid die omstandighede dokumenteer waar dit relevant sal wees en daardie individue inlig waar nodig.
As jy staatmaak op wettige belange as die wettige basis vir verwerking, het jou besigheid getoon dat dit individue se regte en belange oorweeg en beskerm het.
Alle organisasies of besighede wat enige persoonlike inligting verwerk, moet 'n fooi aan die ICO betaal, tensy hulle vrygestel is.
Bespreek 'n pasgemaakte praktiese sessie gebaseer op jou behoeftes en doelwitte.
Om veilig te wees, aanvaar altyd dat alles wat jy oor 'n kliënt stoor persoonlike data is en verseker jou voldoen aan die wet/databeskerming Tree op wanneer dit kom by die berging en verwerking van daardie data. Maak seker dat u kliënte se persoonlike dataverwerking veilig is, voldoen aan data privaatheid regulasies en dat jy dit dadelik uitvee wanneer dit nie meer nodig is nie.
Dit is noodsaaklik om te oorweeg om persoonlike data te skuilnaam en/of te enkripteer wanneer dit 'n spesifieke kategorie van persoonlike data is. Om dit te doen, vervang identifiserende inligting met "kunsmatige identifiseerders". Dit sal verseker dat die persoonlike data veilig bly.
Alhoewel dit 15 keer in die GDPR genoem word, is pseudonimisering alleen nie genoeg nie; dit het sy beperkings, so enkripsie word ook in die GDPR genoem.
Enkripsie deurmekaar of enkodeer inligting deur dit met iets anders te vervang. Skuilonimisering laat enigiemand met toegang tot die data in jou organisasie toe om daardie datastel te sien, enkripsie aan die ander kant laat slegs "goedgekeurde" gebruikers toegang toe die volledige datastel.
Dit is moontlik om beide pseudonimisering en enkripsie op dieselfde tyd of afsonderlik onder GDPR te gebruik.
Die Britse GDPR vereis dat jy 'n aanwys Databeskermingsbeampte (DPO). Hierdie DPO is verantwoordelik om jou organisasie te verseker aan die nuwe regulasies voldoen. Hulle sal ook saam met jou werk aan enige nodige veranderinge aan jou databestuursprosedures.
Databeskermingsbeamptes help jou met die monitering van jou nakoming van databeskermingswette en verskaffing van advies oor databeskermingsimpakbepalings (DPIA's). DPO's tree ook op as 'n kontakpunt vir datasubjekte en die ICO. 'n DPO is iemand wat reeds in diens van jou maatskappy is, of dalk iemand wat geen vorige verbintenis met jou besigheid het nie.
Die DPO moet onafhanklik wees, 'n deskundige in databeskerming, voldoende befonds wees, en op die hoogste bestuursvlak verslag doen. Verskeie organisasies kan in sommige gevalle 'n enkele DPO aanstel.
Een van die fundamentele beginsels van die Britse GDPR is dat jy die verwerking van persoonlike data moet beveilig deur toepaslike organisatoriese maatreëls te gebruik. Dit is die 'sekuriteitsbeginsel'.
Jy moet redelike maatreëls tref wat ontwerp is om die vertroulikheid, integriteit en beskikbaarheid van jou stelsels en dienste en die persoonlike data wat jy daarin verwerk, te verseker.
Soos u hierbo kan sien, is die finansiële boetes vir die verbreking van GDPR is nie goedkoop nie.
Daar is verskeie stappe wat jy kan neem om jou maatskappy aan te pas:
Afgeleë of buigsame werkreëlings is van die belangrikste faktore wanneer jy werk soek. Die meeste werkgewers het nie 'n formele afstandwerkbeleid nie, ten spyte van die toenemende aantal maatskappye wat afgeleë werksgeleenthede bied. Dit laat jou kwesbaar.
Alle besighede/organisasies moet 'n robuuste afstandwerkbeleid in plek hê. Dit sal help om die bedryfsmodel van jou besigheid te rig.
Dit is ook noodsaaklik vir afgeleë ontwikkelaars om te verstaan hoe om data in te samel en toegang te verkry op 'n wyse wat aan die GDPR voldoen.
Vind maniere om jou werk van die huis af-beleid te versterk met werknemersopleiding en bewusmakingsessies.
'n Pasgemaakte praktiese sessie gebaseer op jou behoeftes en doelwitte
