Få tillgång till det! GDPR-efterlevnadsguide

Download

Få tillgång till det! GDPR-efterlevnadsguide

Acres lösningar och produkter gör det möjligt för kunder att hantera och behandla personuppgifter på ett sådant sätt att de uppfyller kraven i GDPR. Denna guide är avsedd att hjälpa och stödja våra kunder i att bedöma deras egen beredskap att uppfylla sina skyldigheter och skyldigheter gentemot de nya reglerna.

Översikt

Dataskydd är en grundläggande rättighet där var och en har rätt till skydd av personuppgifter som rör honom eller henne. Dataskyddsförordningen (GDPR) gäller från och med den 25 maj 2018 och är utformad för att ge individer större kontroll över sina personuppgifter. Det finns en uppsättning regler för hela EU, som på vissa områden kan kompletteras med nationell lagstiftning.

GDPR ålägger företag eller organisationer som samlar in, använder och behandlar personuppgifter skyldigheter. I centrum för GDPR är kravet på organisationer och företag att vara helt transparenta om hur de använder och skyddar personuppgifter och att kunna visa ansvar för sin databehandling. Sådana uppgifter måste behandlas rättvist för angivna ändamål och på grundval av den berörda personens samtycke eller någon annan legitim grund som fastställs i lag.

Medan Acre erbjuder kunderna flexibel och intuitiv produktfunktionalitet för att underlätta efterlevnaden av de nya reglerna, samlar Acre organisationen inte in, kontrollerar, använder eller behandlar personuppgifter som finns inom Acres lokala produkter. Därför är det den personuppgiftsansvariges och personuppgiftsbiträdets roll och ansvar att se till att de skyldigheter som anges i GDPR uppfylls.

Om du är osäker eller är osäker på identiteten på den personuppgiftsansvarige och/eller personuppgiftsbiträdet bör du i vilket fall som helst kontakta din juridiska rådgivare.

Vad är personuppgifter?

Med ”personuppgifter” avses all information som rör en levande person som är identifierad eller identifierbar.

En person är identifierbar om de direkt eller indirekt kan identifieras med hjälp av en ”identifierare”. GDPR ger exempel på identifierare, inklusive namn, identifikationsnummer och platsdata. En person kan också identifieras med hänvisning till faktorer som är specifika för deras identitet, såsom fysiska, genetiska eller kulturella faktorer.

Personuppgifter som har avidentifierats, krypterats eller pseudonymiserats men som kan användas för att omidentifiera en person förblir personuppgifter och omfattas av GDPR. Om personuppgifter har anonymiserats på ett sådant sätt att individen inte längre kan identifieras betraktas detta inte som personuppgifter. För att data ska vara verkligt anonymiserade måste anonymiseringen vara oåterkallelig.

Lagen skyddar personuppgifter oavsett vilken teknik eller metod som används för att behandla uppgifterna - den gäller både automatiserad och manuell behandling. Det spelar ingen roll hur personuppgifterna lagras - i ett IT-system, via videoövervakning eller på papper; i alla fall omfattas personuppgifter av de skyddskrav som anges i GDPR.

Vad innebär databehandling?

Behandlingen omfattar ett brett spektrum av operationer som utförs på personuppgifter, inklusive manuellt eller automatiserat sätt. Det omfattar insamling, registrering, organisering, strukturering, lagring, anpassning eller ändring, hämtning, sökning, användning, utlämnande genom överföring, spridning eller på annat sätt tillgängliggörande, anpassning eller kombination, begränsning, radering eller förstörelse av personuppgifter.

Dataskyddsförordningen (GDPR) gäller för behandling av personuppgifter helt eller delvis med automatiserade medel samt för icke-automatiserad behandling, om den ingår i ett strukturerat registersystem.

Är jag personuppgiftsansvarig eller personuppgiftsbiträde?

En personuppgiftsansvarig är en fysisk person eller juridisk person som kontrollerar och ansvarar för lagring och användning av personuppgifter på en dator eller i strukturerade manuella filer. Att vara personuppgiftsansvarig har sitt juridiska ansvar, så du bör vara helt tydlig om dessa skyldigheter gäller dig eller din organisation.

Om du eller din organisation kontrollerar och ansvarar för de personuppgifter som den innehar, dvs. bestämmer vilken personlig information som ska sparas och till vilken användning informationen ska användas, är du eller din organisation personuppgiftsansvarig.

Exempel på fall där personuppgiftsansvarig är en individ är allmänläkare, apotekare, politiker och enskilda näringsidkare, där dessa personer behåller personuppgifter om sina patienter, klienter, väljare etc.

Om du eller din organisation innehar personuppgifterna, men någon annan individ eller organisation bestämmer och ansvarar för vad som händer med uppgifterna, är den andra personen eller organisationen personuppgiftsansvarig och du eller din organisation är ett ”personuppgiftsbiträde”.

Exempel på personuppgiftsbiträden är löneföretag, revisorer och marknadsundersökningsföretag, som alla kan inneha eller behandla personuppgifter på uppdrag av någon annan.

Vad är datameddelande och måste jag överväga det?

För att kunna behandla personuppgifter lagligt måste organisationer och företag identifiera och dokumentera den rättsliga grunden för att göra det från början. Några av de lagliga sätten att behandla data inkluderar:

  • Samtycke från individenSamtycke är lämpligt om individer erbjuds verkligt val och kontroll över hur deras data används.
  • Viktiga intressen: Behandlingen är nödvändig för att skydda individens vitala intressen, t.ex. om det är nödvändigt för att skydda någons liv.
  • Överensstämmelse som har en rättslig skyldighet: Uppgifter kan behandlas om det till exempel krävs enligt EU-lagstiftningen för ett visst ändamål.
  • Ett avtal med individen: Behandlingen är nödvändig för att fullgöra ett avtal med en individ, t.ex. för att leverera varor eller tjänster som har begärts

Om du är osäker på om du har fått tillräckligt samtycke för att behandla personuppgifter bör du kontakta din juridiska rådgivare.

Vad är ett databehandlingsavtal och måste jag överväga det?

Om du innehar eller behandlar (anger, redigerar, underhåller) personuppgifter (personuppgiftsbiträde) på uppdrag av din kund (personuppgiftsansvarig) behöver du ett databehandlingsavtal. Vi rekommenderar att du får juridisk rådgivning för att på bästa sätt säkerställa att avtalet behandlar lämpliga säkerhets- och andra dataskyddsåtgärder. Som en del rekommenderar vi kunderna att ha en checklista för datahantering och överlämnande av säkerhetssystemet.

Känn din roll och ansvar

Det är tydligt att lagen ändras till GDPR och detta måste beaktas i planeringen av säkerhetssystem. Områden måste identifieras och åtgärdas som kan orsaka efterlevnadsproblem enligt GDPR. Enligt GDPR har individer rätt att få tydlig information om användningen av deras uppgifter.

Det första praktiska steget är att identifiera din roll och ditt ansvar med avseende på GDPR. Är du personuppgiftsansvarig eller personuppgiftsbiträde eller båda? Om du är osäker eller är osäker på identiteten på den personuppgiftsansvarige och/eller personuppgiftsbiträdet bör du i vilket fall som helst kontakta din juridiska rådgivare.

Det andra steget är att bli ansvarig. Tänk på alla personuppgifter du hanterar när du arbetar med säkerhetssystemet och granska dem under följande rubriker:

  • Vilka personuppgifter lagras?
  • Vilken är den rättsliga grunden för behandlingen av personuppgifter?
  • Var lagras uppgifterna?
  • Hur skyddas uppgifterna?
  • Hur länge sparas uppgifterna?
  • Vad är policyn för hantering av enskilda förfrågningar om dataåtkomst?
  • Vad är processen om någon ber om att tas bort från systemet?
  • Vem har tillgång till uppgifterna?
  • Överförs personuppgifter utanför EES?

AccessIt! & DATASKYDDSFÖRORDNING

Följande information beskriver hur Acre AccessIT! Systemet kan användas för att underlätta GDPR-efterlevnad.

Vilka personuppgifter lagras?

Inga personuppgifter är obligatoriska att lagras för att kunna komma tillträdesit! systemet för att fungera korrekt.

Bild, namn, e-postadress och telefonnummer är fördefinierade fält i systemet, men användardefinierbara fält kan användas för att ange olika personuppgifter.

Vilken är den rättsliga grunden för behandlingen av personuppgifter?

Inmatningen av uppgifter och underhållet av data kontrolleras av den personuppgiftsansvarige och databehandlaren på webbplatsen. Som sådan är det den personuppgiftsansvariges och/eller personuppgiftsbiträdets ansvar att se till att den rättsliga grunden för behandlingen av personuppgifterna erhålls.

Det finns inga uttryckliga procedurer inbyggda i AccessIT! programvara för att erhålla användarens samtycke eller registrera det.

Var lagras uppgifterna?

Uppgifterna lagras i AccessIT! databas som finns på servern och i säkerhetskopior. Det kan finnas vissa personuppgifter lagrade i systemansvariga (namn) men detta kan stängas av av systemägaren.

Hur skyddas uppgifterna?

För att komma åt innehållet i AccessIT! databas, klientprogramvaran används. Inloggningen och programvaran skyddas av ett lösenord.

Vi krypterar inte personuppgifter. Slutanvändaren kan välja att själv införa kryptering på databasnivå (SQL Server eller SQL Compact).

Acre personal har ingen tillgång till kundens system såvida de inte beviljas via fjärrinloggning.

Hur länge sparas uppgifterna?

I AccessIT! , kortinnehavarens uppgifter sparas så länge personen behöver ett kort. Slutdatum för kortets giltighet kan definieras, men det är upp till systemanvändaren att ordna att kortinnehavarens data raderas när de löper ut. Acre erbjuder en kortutgångsrapport för att göra denna process enkel.

Vi har en funktion för att rensa logghändelser som är äldre än en viss period på månader, som kan anpassas av användaren. Som standard hålls händelser i evighet.

När du tar bort en kortinnehavare raderar systemet som standard inte deras relaterade logghändelser. Men detta kan ändras för att ta bort logghändelserna när användaren raderas.

Vad är policyn för hantering av enskilda förfrågningar om dataåtkomst?

Om en begäran görs är det den personuppgiftsansvarige och/eller personuppgiftsbiträdets ansvar att beskriva policyn och att tillhandahålla uppgifterna i tid i enlighet med GDPR-bestämmelserna.

Det finns flera rapporter tillgängliga i AccessIT! för detaljerad information om den information som finns om en individ, till exempel senaste logghändelser, inklusive ett sätt att exportera dessa data till vanliga PDF-rapporter eller CSV-filer.

Vad är processen om någon ber om att tas bort från systemet?

Om en begäran görs är det den personuppgiftsansvarige och/eller databehandlarens ansvar att beskriva policyn och att ta bort uppgifterna i tid i enlighet med GDPR-reglerna.

Kortinnehavardata kan raderas manuellt från AccessIT! systemet av slutanvändaren. Systemet tar som standard inte bort tillhörande logghändelsedata. Men det finns en inställning som kan ändra denna standard så att logghändelserna för raderade användare också raderas med dem.

Vem har tillgång till uppgifterna?

Det åligger den personuppgiftsansvarige och/eller personuppgiftsbiträdet att avslöja vem som har tillgång till personuppgifterna på AccessIT! system installerat på plats. Den personuppgiftsansvarige och/eller personuppgiftsbiträdet ansvarar för att skapa och verkställa dessa processer.

AccessIt! har ett system för att bevilja rättigheter till klientprogramvaran till specifika personer. All åtkomst till systemet granskas, inklusive inloggningar, ändringar av användardata och åtgärder.

Överförs personuppgifter utanför EES?

I normalt driftläge, AccessIT! Användardata delas inte utanför systemet. Det är den personuppgiftsansvarige och/eller personuppgiftsbiträdets ansvar att avslöja om systemet är konfigurerat på ett sätt som överför data utanför EES.

Mannen i en vit skjorta ler och tittar ner.
Anslut till vårt team för att utforska skalbara, framtidsklara lösningar som är utformade för att skydda dina medarbetare, lokaler och data.

Låt oss säkra vad som är nästa - tillsammans.

Anslut till vårt team för att utforska skalbara, framtidsklara lösningar som är utformade för att skydda dina medarbetare, lokaler och data.
Prata med vårt team
Sömlöst integrerad
Framtidsförberedd plattform
Byggd för val
Betrodda av Fortune 500-företag