Die dataverwerker verwerk slegs identifiseerbare persoonlike data namens die data kontroleerder. Die dataverwerker is gewoonlik 'n derde party wat buite die maatskappy is.
In 'n kontrak of 'n ander regshandeling moet die pligte van die verwerker teenoor die beheerder gespesifiseer word, soos om databeheerders te laat weet wat met persoonlike data gebeur sodra 'n private kontrak beëindig is.
Dataverwerkers sluit masjiene in wat bewerkings op data uitvoer, soos sakrekenaars of rekenaars, en nou kan wolkdiensverskaffers as dataverwerkers bestempel word.
'n Derdeparty-dataverwerker besit of beheer nie die data wat hulle verwerk nie. Die dataverwerker kan nie die doel van die data of hoe dit gebruik word verander nie.
Dataverwerkers voer verskeie dataverwerkingstake vir 'n besigheid uit, soos die stoor van data, die herwinning van data, die bestuur van die betaalstaat, bemarkingsaktiwiteite of die verskaffing van sekuriteit vir data.
Verwerking definieer enige bewerking of stel bewerkings wat op persoonlike data of stelle individuele private data uitgevoer word, hetsy op geoutomatiseerde wyse of nie, soos insameling, optekening, organisasie, strukturering, berging, aanpassing of verandering, konsultasie, gebruik, openbaarmaking deur oordrag, verspreiding.
In die Algemene databeskermingsregulasie (GDPR), die beheerder en die dataverwerker het soortgelyke verantwoordelikhede, en onder die GDPR voldoen hulle ook aan soortgelyke beginsels. In vergelyking met die voorganger van GDPR, is daar nie soveel verandering met betrekking tot wat 'n dataverwerker is nie.
Dataverwerkers moet beheerders in sekere omstandighede bystaan, byvoorbeeld in 'n moontlike kennisgewing oor persoonlike dataskending of die oorweging van 'n Databeskermingsimpakbepaling (DPIA).
Die beheerder van jou organisasie se MH-afdeling het metodes om die persoonlike data van aansoekers en werknemers te verwerk wat beskerm moet word. Dit is moontlik dat sommige van die HR-dataverwerkingsdataaktiwiteite deur 'n derde party gedoen kan word. 'n Verwerker is 'n maatskappy aan wie jy sal uitkontrakteer.
Jou bemarkingspan verwerk persoonlike data van potensiële kliënte en bestaande kliënte. Laasgenoemde is verwerkers wanneer dit met 'n e-posbemarkingsmaatskappy of -agentskap werk wat hierdie data vir veldtogte gebruik.
Wanneer jy wil hê dat 'n potensiële kliënt 'n spesifieke nommer in die bestek van 'n veldtog op TV moet inbel, ensovoorts, het jy dalk die inkomende kontaksentrumaktiwiteite van jou organisasie uitgekontrakteer of 'n oproepsentrum gebruik.
Die datasubjekte is die mense wat inbel, en die kontaksentrum word die verwerker.
Die verwerker besit nooit die persoonlike data nie. Die beheerder besit nie die persoonlike data van sy kliënte, vooruitsigte, werknemers of enigiemand anders nie. Die natuurlike persoon besit die persoonlike data.
As 'n verwerker 'n subverwerker gebruik om die proses van persoonlike data vir 'n beheerder te help help, moet jou dataverwerker 'n skriftelike kontrak met daardie subverwerker hê. 'n Subverwerker is gewoonlik 'n ander organisasie.
Ek sal beslis ISMS.online aanbeveel, dit maak die opstel en bestuur van jou ISMS so maklik as wat dit kan kry.
Daar is byvoorbeeld baie werknemers by die brouery. Die maatskappy teken 'n kontrak met 'n betaalstaatmaatskappy om lone te betaal.
Wanneer 'n werknemer 'n salarisverhoging het of vertrek, vertel die brouery die betaalstaatmaatskappy wanneer die lone betaal moet word of nie.
Die brouery sal die databeheerder wees, en die betaalstaatmaatskappy sal die dataverwerker wees.
Die Algemene Databeskermingsregulasie het die verskillende rolle en verantwoordelikhede uiteengesit wat van 'n databeheerder of 'n dataverwerker verwag word.
Jy kan vol vertroue wees dat jy alles bereik het wat van jou kant af gedoen moet word deur seker te maak jy hou by die wet.
Verwerkers het minder onafhanklikheid oor die data wat hulle verwerk, maar hulle het wel wetlike verantwoordelikhede onder die Britse GDPR-wet en is onderhewig aan regulering deur die owerhede.
As jy 'n verwerker is, het jy sekere verantwoordelikhede en verpligtinge, soos:
Jy moet rekord hou en byhou en aanstel a databeskermingsbeampte om aan sekere GDPR te voldoen aanspreeklikheidsverpligtinge.
Die VK se verbod op die oordrag van persoonlike data aan ander mense strook met die EU se verbod op die oordrag van persoonlike data aan ander mense. U moet verseker dat enige oordrag buite die VK deur die kontroleerder goedgekeur word en aan die VK se GDPR se oordragbepalings voldoen.
Jy is verplig om die owerhede te help om hul pligte uit te voer deur met hulle saam te werk, soos die Inligtingskommissaris se kantoor (ICO).
Databeheerders moet seker maak dat hulle saam met dataverwerkers werk wat waarborge bied aangaande hul vermoë om persoonlike data te verwerk en in ooreenstemming met die GDPR en die beskerming van die regte van die datasubjek te voldoen.
UK GDPR is van toepassing op dataverwerking wat deur organisasies in die VK uitgevoer word. Dit is van toepassing op organisasies buite die VK wat goedere of dienste aan individue in die VK bied.
Onder GDPR is sekere aktiwiteite nie onderhewig aan databeskermingswetgewing nie, insluitend verwerking vir nasionale sekuriteitsdoeleindes, verwerking wat deur individue hanteer word bloot vir persoonlike/huishoudelike aktiwiteite en verwerking wat deur die Wetstoepassingsvoorskrif.
Die Brexit-oorgangstydperk het in Desember 2020 geëindig. Britse organisasies wat persoonlike data verwerk, moet voldoen aan:
Daar is minimale verskille tussen die Britse GDPR en die EU-ekwivalent. Die EU se struktuur is deur die VK opgehef en in die land se wet in plek gestel.
'n Pasgemaakte praktiese sessie gebaseer op jou behoeftes en doelwitte
Verwerkers het minder verpligtinge maar moet versigtig wees om slegs persoonlike data volgens die beheerder se instruksies te verwerk.
Die data Protection Beampte, wat die maatskappy moontlik aangewys het, is verantwoordelik om toesig te hou oor hoe persoonlike data verwerk word en om werknemers wat persoonlike data verwerk in kennis te stel en te adviseer.
Die DPO kommunikeer en werk ook saam met die data Protection Owerheid (DPA).
Daar is 'n vereiste vir jou maatskappy om 'n DPO aan te stel wanneer:
Die DPO kan 'n lid van jou organisasie wees of kan gekontrakteer word op grond van 'n dienskontrak.
'n Dataverwerker is 'n natuurlike persoon, agentskap, openbare owerheid of enige ander liggaam wat persoonlike data namens 'n kontroleerder hou.
Jou personeel verwerk die data volgens jou instruksies. Jou span word nie as derde partye in die wetlike sin beskou nie, en daarom is enige verwerking wat hulle doen deel van die optrede van 'n databeheerder.
As jy personeel gebruik, het jy nie 'n direkte dienskontrak met byvoorbeeld agentskappersoneel wat die agentskap betaal nie. Die agentskap tree as 'n dataverwerker op.
Die volgende lys verduidelik die tipiese take van 'n dataverwerker:
Jou bemarkingspan samel persoonlike data van potensiële en bestaande kliënte in. Wanneer jou organisasie met 'n e-posbemarkingsmaatskappy of -agentskap werk wat hierdie data gebruik, is laasgenoemde verwerkers.
ISMS.online maak die opstel en bestuur van jou ISMS so maklik as wat dit kan kry.
Artikel 5 van die GDPR-beginsels beskryf duidelik wat 'n datasubjek sou verwag wanneer hulle hul persoonlike data verwerk.
Persoonlik identifiseerbare data is enige inligting wat gebruik kan word om 'n individu te identifiseer. Dit sluit name, adresse, telefoonnommers, kredietkaartbesonderhede en dies meer in.
Wat 'n individu identifiseer, kan so eenvoudig soos 'n naam of 'n nommer wees, of dit kan ander faktore insluit soos 'n internetprotokoladres of 'n koekie-identifiseerder.
As jy 'n individu direk kan identifiseer uit die inligting wat jy verwerk, kan daardie inligting persoonlike data wees.
Jy moet dink of die individu steeds identifiseerbaar is as jy hulle nie direk kan identifiseer nie. Al die hulpbronne wat redelik waarskynlik gebruik sal word om daardie individu te identifiseer, moet oorweeg word, saam met die inligting wat jy verwerk.
Verantwoording vir 'n verskeidenheid faktore, insluitend inhoud van die data, die doel of doeleindes waarvoor jy dit verwerk, en die waarskynlike impak van daardie verwerking op die individu is wat jy in ag moet neem wanneer jy oorweeg of inligting "verwant" is aan 'n individu .
Dit is moontlik dat dieselfde inligting persoonlik identifiseerbaar is vir een beheerder se doeleindes, maar nie persoonlik identifiseerbaar is vir die doeleindes van 'n ander beheerder nie.
Inligting wat verwyder of vervang is om die data te verberg, is steeds persoonlike data vir die doeleindes van die Britse GDPR.
Inligting wat werklik anoniem is, word nie deur die Verenigde Koninkryk se Algemene Databeskermingsregulasie gedek nie.
Inligting wat blykbaar met 'n spesifieke individu verband hou, is steeds persoonlike data, aangesien dit met daardie individu verband hou, selfs al is dit nie akkuraat nie.
Dit is van kardinale belang om seker te maak dat jou besigheid aan GDPR voldoen. 'n Uitstekende manier om dit te begin is deur 'n inligtingsoudit en/of datakartering te onderneem om te verseker dat jy weet watter persoonlike data jou organisasie hou en waar.
Die maatskappy is onderhewig aan boetes as hulle nie rekords van verwerkingsaktiwiteite byhou of 'n volledige indeks aan owerhede verskaf nie. Dit is volgens artikel 83.4.a van die GDPR-regulasie.
Laai jou gratis gids af
om jou Infosec te stroomlyn