Entro GDPR-efterlevnadsguide

Vanderbilts lösningar och produkter gör det möjligt för kunder att hantera och behandla personuppgifter på ett sådant sätt att de uppfyller kraven i GDPR. Denna guide är avsedd att hjälpa och stödja våra kunder att bedöma deras egen beredskap att uppfylla sina skyldigheter och skyldigheter gentemot de nya reglerna.

Översikt

Dataskydd är en grundläggande rättighet där var och en har rätt till skydd av personuppgifter som rör honom eller henne. Dataskyddsförordningen (GDPR) gäller från och med den 25 maj 2018 och är utformad för att ge individer större kontroll över sina personuppgifter. Det finns en uppsättning regler för hela EU, som på vissa områden kan kompletteras med nationell lagstiftning.

GDPR ålägger företag eller organisationer som samlar in, använder och behandlar personuppgifter skyldigheter. I centrum för GDPR är kravet på organisationer och företag att vara helt transparenta om hur de använder och skyddar personuppgifter och att kunna visa ansvar för sin databehandling. Sådana uppgifter måste behandlas rättvist för angivna ändamål och på grundval av den berörda personens samtycke eller någon annan legitim grund som fastställs i lag.

Medan Vanderbilt erbjuder kunderna flexibel och intuitiv produktfunktionalitet för att underlätta efterlevnaden av de nya reglerna, samlar Vanderbilt-organisationen inte in, kontrollerar, använder eller behandlar personuppgifter som finns inom Vanderbilts lokala produkter. Därför är det den personuppgiftsansvariges och personuppgiftsbiträdets roll och ansvar att se till att de skyldigheter som anges i GDPR uppfylls.

Om du är osäker eller är osäker på identiteten på den personuppgiftsansvarige och/eller personuppgiftsbiträdet bör du i vilket fall som helst kontakta din juridiska rådgivare.

Vad är personuppgifter?

Med ”personuppgifter” avses all information som rör en levande person som är identifierad eller identifierbar.

En person är identifierbar om de direkt eller indirekt kan identifieras med hjälp av en ”identifierare”. GDPR ger exempel på identifierare, inklusive namn, identifikationsnummer och platsdata. En person kan också identifieras med hänvisning till faktorer som är specifika för deras identitet, såsom fysiska, genetiska eller kulturella faktorer.

Personuppgifter som har avidentifierats, krypterats eller pseudonymiserats men som kan användas för att omidentifiera en person förblir personuppgifter och omfattas av GDPR. Om personuppgifter har anonymiserats på ett sådant sätt att individen inte längre kan identifieras betraktas detta inte som personuppgifter. För att data ska vara verkligt anonymiserade måste anonymiseringen vara oåterkallelig.

Lagen skyddar personuppgifter oavsett vilken teknik eller metod som används för att behandla uppgifterna - den gäller både automatiserad och manuell behandling. Det spelar ingen roll hur personuppgifterna lagras - i ett IT-system, via videoövervakning eller på papper; i alla fall omfattas personuppgifter av de skyddskrav som anges i GDPR.

Vad innebär databehandling?

Behandlingen omfattar ett brett spektrum av operationer som utförs på personuppgifter, inklusive manuellt eller automatiserat sätt. Det omfattar insamling, registrering, organisering, strukturering, lagring, anpassning eller ändring, hämtning, sökning, användning, utlämnande genom överföring, spridning eller på annat sätt tillgängliggörande, anpassning eller kombination, begränsning, radering eller förstörelse av personuppgifter.

Dataskyddsförordningen (GDPR) gäller för behandling av personuppgifter helt eller delvis med automatiserade medel samt för icke-automatiserad behandling, om den ingår i ett strukturerat registersystem.

Är jag personuppgiftsansvarig eller personuppgiftsbiträde?

En personuppgiftsansvarig är en fysisk person eller juridisk person som kontrollerar och ansvarar för lagring och användning av personuppgifter på en dator eller i strukturerade manuella filer. Att vara personuppgiftsansvarig har sitt juridiska ansvar, så du bör vara helt tydlig om dessa skyldigheter gäller dig eller din organisation.

Om du eller din organisation kontrollerar och ansvarar för de personuppgifter som den innehar, dvs. bestämmer vilken personlig information som ska sparas och till vilken användning informationen ska användas, är du eller din organisation personuppgiftsansvarig.

Exempel på fall där personuppgiftsansvarig är en individ är allmänläkare, apotekare, politiker och enskilda näringsidkare, där dessa personer behåller personuppgifter om sina patienter, klienter, väljare etc.

Om du eller din organisation innehar personuppgifterna, men någon annan individ eller organisation bestämmer och ansvarar för vad som händer med uppgifterna, är den andra personen eller organisationen personuppgiftsansvarig och du eller din organisation är ett ”personuppgiftsbiträde”.

Exempel på personuppgiftsbiträden är löneföretag, revisorer och marknadsundersökningsföretag, som alla kan inneha eller behandla personuppgifter på uppdrag av någon annan.

Vad är datameddelande och måste jag överväga det?

För att kunna behandla personuppgifter lagligt måste organisationer och företag identifiera och dokumentera den rättsliga grunden för att göra det från början. Några av de lagliga sätten att behandla data inkluderar:

• Samtycke från individenSamtycke är lämpligt om individer erbjuds verkligt val och kontroll över hur deras data används.
• Viktiga intressen: Behandlingen är nödvändig för att skydda individens vitala intressen, t.ex. om det är nödvändigt för att skydda någons liv.
• Överensstämmelse som har en rättslig skyldighet: Uppgifter kan behandlas om det till exempel krävs enligt EU-lagstiftningen för ett visst ändamål.
• Ett avtal med individen: Behandlingen är nödvändig för att fullgöra ett avtal med en individ, t.ex. för att leverera varor eller tjänster som har begärts

Om du är osäker på om du har fått tillräckligt samtycke för att behandla personuppgifter bör du kontakta din juridiska rådgivare.

Vad är ett databehandlingsavtal och måste jag överväga det?

Om du innehar eller behandlar (anger, redigerar, underhåller) personuppgifter (personuppgiftsbiträde) på uppdrag av din kund (personuppgiftsansvarig) behöver du ett databehandlingsavtal. Vi rekommenderar att du får juridisk rådgivning för att på bästa sätt säkerställa att avtalet behandlar lämpliga säkerhets- och andra dataskyddsåtgärder. Som en del rekommenderar vi kunderna att ha en checklista för datahantering och överlämnande av säkerhetssystemet.

Känn din roll och ansvar

Det är tydligt att lagen ändras till GDPR och detta måste beaktas i planeringen av säkerhetssystem. Områden måste identifieras och åtgärdas som kan orsaka efterlevnadsproblem enligt GDPR. Enligt GDPR har individer rätt att få tydlig information om användningen av deras uppgifter.

Det första praktiska steget är att identifiera din roll och ditt ansvar med avseende på GDPR. Är du personuppgiftsansvarig eller personuppgiftsbiträde eller båda? Om du är osäker eller är osäker på identiteten på den personuppgiftsansvarige och/eller personuppgiftsbiträdet bör du i vilket fall som helst kontakta din juridiska rådgivare.

Det andra steget är att bli ansvarig. Tänk på alla personuppgifter du hanterar när du arbetar med säkerhetssystemet och granska dem under följande rubriker:

• Vilka personuppgifter lagras?
• Vilken är den rättsliga grunden för behandlingen av personuppgifter?
• Var lagras uppgifterna?
• Hur skyddas uppgifterna?
• Hur länge sparas uppgifterna?
• Vad är policyn för hantering av enskilda förfrågningar om dataåtkomst?
• Vad är processen om någon ber om att tas bort från systemet?
• Vem har tillgång till uppgifterna?
• Överförs personuppgifter utanför EES?

Entry & GDPR

Följande information beskriver hur Vanderbilt Entro V6.7-systemet kan användas för att underlätta efterlevnad av GDPR.

Vilka personuppgifter lagras?

Insamling av personuppgifter är inte obligatorisk inom Entro, även om det har kapacitet att lagra vissa användardefinierbara fält som kan användas för att lagra personuppgifter.

Vilken är den rättsliga grunden för behandlingen av personuppgifter?

Inmatningen av uppgifter och underhållet av data kontrolleras av den personuppgiftsansvarige och databehandlaren på webbplatsen. Som sådan är det den personuppgiftsansvariges och/eller personuppgiftsbiträdets ansvar att se till att den rättsliga grunden för behandlingen av personuppgifterna erhålls.

Det finns inga uttryckliga procedurer inbyggda i Entro SW för att få användarens samtycke, eller registrera det.

Var lagras uppgifterna?

Data lagras både på datorn och på Entro-styrenheterna, och all data som lagras på datorn replikeras på styrenheten. För varje styrenhet i systemet finns det i huvudsak en annan fullständig säkerhetskopia av databasen, som kan dras tillbaka till datorn. IP-kommunikation mellan PC och SR, och SR -> SR är RC4-krypterad.

Hur skyddas uppgifterna?

Databasen är i ett skräddarsytt format och kan inte läsas av konventionella DB-analysverktyg som SQL Management Studio etc. Det är bara möjligt att se innehållet i en databas via Entro programvara, när du har rätt kombination av serienummer, systemnamn och giltiga inloggningsuppgifter.

Det finns ett verktyg som gör det möjligt att hämta systemnamn/serienummer och inloggningsinformation, men åtkomst till detta är begränsad. Databasen själv använder ett anpassat krypteringsprotokoll för att skydda den när den lagras på datorn.

Hur länge sparas uppgifterna?

Användardata sparas i Entro-systemet tills de tas bort av systemadministratören. Det är systemadministratörens ansvar att kommunicera på ett transparent sätt datalagringsperioden.När ett kort raderas från systemet blir kortet omedelbart ogiltigt, men den tillhörande användarinformationen kommer att behållas i Entro DB i ytterligare 3 veckor, varefter det kommer det automatiskt att raderas från databasen.

Händelsedata sparas så länge inställningen är för händelselagring eller om en specificerad begäran görs om att ta bort personuppgifter från händelseloggarna. Denna händelsedatalagring sker per programvaruanvändare, och som sådan för varje användare av programvaran kommer det att finnas en uppsättning händelsefiler.

Vad är policyn för hantering av enskilda förfrågningar om dataåtkomst?

Om en begäran görs är det den personuppgiftsansvarige och/eller personuppgiftsbiträdets ansvar att beskriva policyn och att tillhandahålla uppgifterna i tid i enlighet med GDPR-bestämmelserna.

Det är möjligt att filtrera de händelser som hålls i Entro-systemet för att se vilka individuella uppgifter som finns om en person, t.ex. senaste logghändelser eller information som rör deras individuella register. Dessa data kan exporteras i ett standardformat som CSV.

Vad är processen om någon ber om att tas bort från systemet?

Om en begäran görs är det den personuppgiftsansvarige och/eller databehandlarens ansvar att beskriva policyn och att ta bort uppgifterna i tid i enlighet med GDPR-reglerna.

Kortinnehavarens data kan raderas manuellt från Entro-systemet, på begäran. Om du tar bort en kortinnehavare raderas dock inte tillhörande händelser. Detta kommer att behållas så länge inställningen är för händelselagring eller om en specificerad begäran görs om att ta bort personuppgifter från händelseloggarna.

Vem har tillgång till uppgifterna?

Det åligger den personuppgiftsansvarige och/eller personuppgiftsbiträdet att avslöja vem som har tillgång till personuppgifterna i Entro-systemet installerat på platsen. Entro har förmågan att definiera olika användarinloggningar till klientprogramvaran. Det finns olika nivåer av inloggning tillgängliga. Vanderbilt har ingen tillgång till och/eller möjlighet att behandla personuppgifter i ett lokalt Entro-system.

Överförs personuppgifter utanför EES?

I normalt driftläge delas inte Entro användardata utanför systemet. Det är den personuppgiftsansvarige och/eller personuppgiftsbiträdets ansvar att avslöja om systemet är konfigurerat på ett sätt som överför data utanför EES.