ljusblå och lite blå GDPR-efterlevnadsguide

Download

ljusblå och lite blå GDPR-efterlevnadsguide

Vanderbilts lösningar och produkter gör det möjligt för kunder att hantera och behandla personuppgifter på ett sådant sätt att de uppfyller kraven i GDPR. Denna guide är avsedd att hjälpa och stödja våra kunder att bedöma deras egen beredskap att uppfylla sina skyldigheter och skyldigheter gentemot de nya reglerna.

Översikt

Dataskydd är en grundläggande rättighet där var och en har rätt till skydd av personuppgifter som rör honom eller henne. Dataskyddsförordningen (GDPR) gäller från och med den 25 maj 2018 och är utformad för att ge individer större kontroll över sina personuppgifter. Det finns en uppsättning regler för hela EU, som på vissa områden kan kompletteras med nationell lagstiftning.

GDPR ålägger företag eller organisationer som samlar in, använder och behandlar personuppgifter skyldigheter. I centrum för GDPR är kravet på organisationer och företag att vara helt transparenta om hur de använder och skyddar personuppgifter och att kunna visa ansvar för sina databehandlingsaktiviteter. Sådana uppgifter måste behandlas på ett rättvist sätt för angivna ändamål och på grundval av den berörda personens samtycke eller någon annan legitim grund som fastställs i lag.

Medan Vanderbilt erbjuder kunderna flexibel och intuitiv produktfunktionalitet för att underlätta efterlevnaden av de nya reglerna, samlar Vanderbilt-organisationen inte in, kontrollerar, använder eller behandlar personuppgifter som finns inom Vanderbilts lokala produkter. Därför är det den personuppgiftsansvariges och personuppgiftsbiträdets roll och ansvar att se till att de skyldigheter som anges i GDPR uppfylls.

Om du är osäker eller är osäker på identiteten på den personuppgiftsansvarige och/eller personuppgiftsbiträdet bör du i vilket fall som helst kontakta din juridiska rådgivare.

Vad är personuppgifter?

Med ”personuppgifter” avses all information som rör en levande person som är identifierad eller identifierbar.

En person är identifierbar om de direkt eller indirekt kan identifieras med hjälp av en ”identifierare”. GDPR ger exempel på identifierare, inklusive namn, identifikationsnummer och platsdata. En person kan också identifieras med hänvisning till faktorer som är specifika för deras identitet, såsom fysiska, genetiska eller kulturella faktorer.

Personuppgifter som har avidentifierats, krypterats eller pseudonymiserats men som kan användas för att omidentifiera en person förblir personuppgifter och omfattas av GDPR. Om personuppgifter har anonymiserats på ett sådant sätt att individen inte längre kan identifieras betraktas detta inte som personuppgifter. För att data ska vara verkligt anonymiserade måste anonymiseringen vara oåterkallelig.

Lagen skyddar personuppgifter oavsett vilken teknik eller metod som används för att behandla uppgifterna - den gäller både automatiserad och manuell behandling. Det spelar ingen roll hur personuppgifterna lagras - i ett IT-system, via videoövervakning eller på papper; i alla fall omfattas personuppgifter av de skyddskrav som anges i GDPR.

Vad innebär databehandling?

Behandlingen omfattar ett brett spektrum av operationer som utförs på personuppgifter, inklusive manuellt eller automatiserat sätt. Det omfattar insamling, registrering, organisering, strukturering, lagring, anpassning eller ändring, hämtning, konsultation, användning, avslöjande genom överföring, spridning eller på annat sätt tillgängliggörande, anpassning eller kombination, begränsning, radering eller förstörelse av personuppgifter.

Dataskyddsförordningen (GDPR) gäller för behandling av personuppgifter helt eller delvis med automatiserade medel samt för icke-automatiserad behandling, om den ingår i ett strukturerat registersystem.

Är jag personuppgiftsansvarig eller personuppgiftsbiträde?

En personuppgiftsansvarig är en fysisk person eller juridisk person som kontrollerar och ansvarar för lagring och användning av personuppgifter på en dator eller i strukturerade manuella filer. Att vara personuppgiftsansvarig har sitt juridiska ansvar, så du bör vara helt tydlig om dessa skyldigheter gäller dig eller din organisation.

Om du eller din organisation kontrollerar och ansvarar för de personuppgifter som den innehar, dvs. bestämmer vilken personlig information som ska sparas och till vilken användning informationen ska användas, är du eller din organisation personuppgiftsansvarig.

Exempel på fall där personuppgiftsansvarig är en individ är allmänläkare, apotekare, politiker och enskilda näringsidkare, där dessa personer behåller personuppgifter om sina patienter, klienter, väljare etc.

Om du eller din organisation innehar personuppgifterna, men någon annan individ eller organisation bestämmer och ansvarar för vad som händer med uppgifterna, då är den andra personen eller organisationen personuppgiftsansvarig, och du eller din organisation är en ”personuppgiftsbiträde”.

Exempel på personuppgiftsbiträden är löneföretag, revisorer och marknadsundersökningsföretag, som alla kan inneha eller behandla personuppgifter på uppdrag av någon annan.

Vad är datameddelande och måste jag överväga det?

För att kunna behandla personuppgifter lagligt måste organisationer och företag identifiera och dokumentera den rättsliga grunden för att göra det från början. Några av de lagliga sätten att behandla data inkluderar:

  • Samtycke från individenSamtycke är lämpligt om individer erbjuds verkligt val och kontroll över hur deras data används.
  • Viktiga intressen: Behandlingen är nödvändig för att skydda individens vitala intressen, t.ex. om det är nödvändigt för att skydda någons liv.
  • Överensstämmelse som har en rättslig skyldighet: Uppgifter kan behandlas om det till exempel krävs enligt EU-lagstiftningen för ett visst ändamål.
  • Ett avtal med individen: Behandlingen är nödvändig för att fullgöra ett avtal med en individ, t.ex. för att leverera varor eller tjänster som har begärts

Om du är osäker på om du har fått tillräckligt samtycke för att behandla personuppgifter bör du kontakta din juridiska rådgivare.

Vad är ett databehandlingsavtal och måste jag överväga det?

Om du innehar eller behandlar (anger, redigerar, underhåller) personuppgifter (personuppgiftsbiträde) på uppdrag av din kund (personuppgiftsansvarig) behöver du ett databehandlingsavtal. Vi rekommenderar att du får juridisk rådgivning för att på bästa sätt säkerställa att avtalet behandlar lämpliga säkerhets- och andra dataskyddsåtgärder. Som en del rekommenderar vi kunderna att ha en checklista för datahantering och överlämnande av säkerhetssystemet.

Känn din roll och ansvar

Det är tydligt att lagen ändras till GDPR och detta måste beaktas i planeringen av säkerhetssystem. Områden måste identifieras och åtgärdas som kan orsaka efterlevnadsproblem enligt GDPR. Enligt GDPR har individer rätt att få tydlig information om användningen av deras uppgifter.

Det första praktiska steget är att identifiera din roll och ditt ansvar med avseende på GDPR. Är du personuppgiftsansvarig eller personuppgiftsbiträde eller båda? Om du är osäker eller är osäker på identiteten på den personuppgiftsansvarige och/eller personuppgiftsbiträdet bör du i vilket fall som helst kontakta din juridiska rådgivare.

Det andra steget är att bli ansvarig. Tänk på alla personuppgifter du hanterar när du arbetar med säkerhetssystemet och granska dem under följande rubriker:

  • Vilka personuppgifter lagras?
  • Vilken är den rättsliga grunden för behandlingen av personuppgifter?
  • Var lagras uppgifterna?
  • Hur skyddas uppgifterna?
  • Hur länge sparas uppgifterna?
  • Vad är policyn för hantering av enskilda förfrågningar om dataåtkomst?
  • Vad är processen om någon ber om att tas bort från systemet?
  • Vem har tillgång till uppgifterna?
  • Överförs personuppgifter utanför EES?

ljusblå/lite blå & GDPR

Följande information beskriver Vanderbilts ljusblå/lite blå v5.x-systemfunktionalitet i förhållande till GDPR-efterlevnad.

Vilka personuppgifter lagras?

De enda personuppgifter som krävs för en kortinnehavares post i ljus/lite blått är efternamn och kodat märkes-ID, även om ytterligare data sannolikt samlas in. Förnamn och mellannivå är valfria. Användardefinierbara fält kan användas för att ange olika personuppgifter som definieras av slutanvändaren (kunden).

Vilken är den rättsliga grunden för behandlingen av personuppgifter?

Den rättsliga grunden på vilken personuppgifterna erhålls och behandlas definieras av slutanvändarens policyer och förfaranden.

Var lagras uppgifterna?

Uppgifterna matas in och ägs av slutanvändaren och lagras lokalt på styrenheten, eller i säkerhetskopior och arkiv som kan sparas någon annanstans och hanteras av slutanvändaren. Systemet tillåter inte dubblettkodade ID:n.

Hur skyddas uppgifterna?

Det ljus/lite blå systemet kräver en lösenordsskyddad inloggning för att komma åt databasen.

Åtkomstbehörigheter kan begränsas till tre nivåer, varigenom databasrättigheter kan beviljas per roll för administratör, chef och operatör.

Vanderbilt har inte tillgång till kunddata om det inte ges särskilt tillstånd och fjärråtkomst för teknisk support.

Hur länge sparas uppgifterna?

Databasverktyget i ljus/lite blått sparar automatiskt 5 säkerhetskopior (1 per dag) till styrenheten. Säkerhetskopior är FIFO och kan laddas ner och sparas någon annanstans av användaren om så önskas. Förutom säkerhetskopior lagras arkiv också på brädet. För varje 1M transaktioner/logghändelse skapas och lagras ett arkiv. Max arkivfiler som kan lagras är 12.

Kortinnehavarens register och tillhörande personuppgifter kan omedelbart ”raderas” (dvs. flaggas för radering/döljas) från programvaran, men kortinnehavarens data raderas inte helt förrän deras senaste associerade transaktion (logghändelse) har rensats. Transaktioner rensas efter att databasen når 1 miljon transaktioner (och sedan rensas tillbaka till 500 000). Arkiv (upp till 12) är FIFO där lagringstiden beror på storleken på- och aktiviteten på systemet.

Vad är policyn för hantering av enskilda förfrågningar om dataåtkomst?

Det finns fördefinierade kortinnehavare-, Access- och granskningsrapporter som kan köras och skrivas ut och/eller exporteras i CSV och visas i strukturerade format som Excel och PDF.

Vad är processen om någon ber om att tas bort från systemet?

Kortinnehavares register med tillhörande personuppgifter kan raderas i programvaran. Databaskopior av säkerhetskopior skulle också behöva raderas om inte mer än fem dagar har förflutit (varvid de fem dagliga säkerhetskopiorna redan skulle skrivas över). Arkiverar och kan tas bort/raderas genom att kontakta Vanderbilts tekniska support.

Personuppgifter i säkerhetskopior som sparats någon annanstans (utanför styrenheten) måste raderas manuellt av slutanvändaren.

Vem har tillgång till uppgifterna?

Dessa detaljer definieras och drivs enligt företagspolicyer som är specifika för och inställda av varje slutanvändare. bright/lite blue tillåter radering av kortinnehavarens personuppgifter från databasen. Datakopior hanteras helt av slutanvändaren när de sparats någon annanstans (utanför styrenheten).

Överförs personuppgifter utanför EES?

All överföring av data skulle hanteras och initieras av slutanvändaren.

Mannen i en vit skjorta ler och tittar ner.
Anslut till vårt team för att utforska skalbara, framtidsklara lösningar som är utformade för att skydda dina medarbetare, lokaler och data.

Låt oss säkra vad som är nästa - tillsammans.

Anslut till vårt team för att utforska skalbara, framtidsklara lösningar som är utformade för att skydda dina medarbetare, lokaler och data.
Prata med vårt team
Sömlöst integrerad
Framtidsförberedd plattform
Byggd för val
Betrodda av Fortune 500-företag