Granta GDPR-efterlevnadsguide

Vanderbilts lösningar och produkter gör det möjligt för kunder att hantera och behandla personuppgifter på ett sådant sätt att de uppfyller kraven i GDPR. Denna guide är avsedd att hjälpa och stödja våra kunder att bedöma deras egen beredskap att uppfylla sina skyldigheter och skyldigheter gentemot de nya reglerna.

Översikt

Dataskydd är en grundläggande rättighet där var och en har rätt till skydd av personuppgifter som rör honom eller henne. Dataskyddsförordningen (GDPR) gäller från och med den 25 maj 2018 och är utformad för att ge individer större kontroll över sina personuppgifter. Det finns en uppsättning regler för hela EU, som på vissa områden kan kompletteras med nationell lagstiftning.

GDPR ålägger företag eller organisationer som samlar in, använder och behandlar personuppgifter skyldigheter. I centrum för GDPR är kravet på organisationer och företag att vara helt transparenta om hur de använder och skyddar personuppgifter och att kunna visa ansvar för sin databehandling. Sådana uppgifter måste behandlas rättvist för angivna ändamål och på grundval av den berörda personens samtycke eller någon annan legitim grund som fastställs i lag.

Medan Vanderbilt erbjuder kunderna flexibel och intuitiv produktfunktionalitet för att underlätta efterlevnaden av de nya reglerna, samlar Vanderbilt-organisationen inte in, kontrollerar, använder eller behandlar personuppgifter som finns inom Vanderbilts lokala produkter. Därför är det den personuppgiftsansvariges och personuppgiftsbiträdets roll och ansvar att se till att de skyldigheter som anges i GDPR uppfylls.

Om du är osäker eller är osäker på identiteten på den personuppgiftsansvarige och/eller personuppgiftsbiträdet bör du i vilket fall som helst kontakta din juridiska rådgivare.

Vad är personuppgifter?

Med ”personuppgifter” avses all information som rör en levande person som är identifierad eller identifierbar.

En person är identifierbar om de direkt eller indirekt kan identifieras med hjälp av en ”identifierare”. GDPR ger exempel på identifierare, inklusive namn, identifikationsnummer och platsdata. En person kan också identifieras med hänvisning till faktorer som är specifika för deras identitet, såsom fysiska, genetiska eller kulturella faktorer.

Personuppgifter som har avidentifierats, krypterats eller pseudonymiserats men som kan användas för att omidentifiera en person förblir personuppgifter och omfattas av GDPR. Om personuppgifter har anonymiserats på ett sådant sätt att individen inte längre kan identifieras betraktas detta inte som personuppgifter. För att data ska vara verkligt anonymiserade måste anonymiseringen vara oåterkallelig.

Lagen skyddar personuppgifter oavsett vilken teknik eller metod som används för att behandla uppgifterna - den gäller både automatiserad och manuell behandling. Det spelar ingen roll hur personuppgifterna lagras - i ett IT-system, via videoövervakning eller på papper; i alla fall omfattas personuppgifter av de skyddskrav som anges i GDPR.

Vad innebär databehandling?

Behandlingen omfattar ett brett spektrum av operationer som utförs på personuppgifter, inklusive manuellt eller automatiserat sätt. Det omfattar insamling, registrering, organisering, strukturering, lagring, anpassning eller ändring, hämtning, sökning, användning, utlämnande genom överföring, spridning eller på annat sätt tillgängliggörande, anpassning eller kombination, begränsning, radering eller förstörelse av personuppgifter.

Dataskyddsförordningen (GDPR) gäller för behandling av personuppgifter helt eller delvis med automatiserade medel samt för icke-automatiserad behandling, om den ingår i ett strukturerat registersystem.

Är jag personuppgiftsansvarig eller personuppgiftsbiträde?

En personuppgiftsansvarig är en fysisk person eller juridisk person som kontrollerar och ansvarar för lagring och användning av personuppgifter på en dator eller i strukturerade manuella filer. Att vara personuppgiftsansvarig har sitt juridiska ansvar, så du bör vara helt tydlig om dessa skyldigheter gäller dig eller din organisation.

Om du eller din organisation kontrollerar och ansvarar för de personuppgifter som den innehar, dvs. bestämmer vilken personlig information som ska sparas och till vilken användning informationen ska användas, är du eller din organisation personuppgiftsansvarig.

Exempel på fall där personuppgiftsansvarig är en individ är allmänläkare, apotekare, politiker och enskilda näringsidkare, där dessa personer behåller personuppgifter om sina patienter, klienter, väljare etc.

Om du eller din organisation innehar personuppgifterna, men någon annan individ eller organisation bestämmer och ansvarar för vad som händer med uppgifterna, är den andra personen eller organisationen personuppgiftsansvarig och du eller din organisation är ett ”personuppgiftsbiträde”.

Exempel på personuppgiftsbiträden är löneföretag, revisorer och marknadsundersökningsföretag, som alla kan inneha eller behandla personuppgifter på uppdrag av någon annan.

Vad är datameddelande och måste jag överväga det?

För att kunna behandla personuppgifter lagligt måste organisationer och företag identifiera och dokumentera den rättsliga grunden för att göra det från början. Några av de lagliga sätten att behandla data inkluderar:

• Samtycke från individenSamtycke är lämpligt om individer erbjuds verkligt val och kontroll över hur deras data används.
• Viktiga intressen: Behandlingen är nödvändig för att skydda individens vitala intressen, t.ex. om det är nödvändigt för att skydda någons liv.
• Överensstämmelse som har en rättslig skyldighet: Uppgifter kan behandlas om det till exempel krävs enligt EU-lagstiftningen för ett visst ändamål.
• Ett avtal med individen: Behandlingen är nödvändig för att fullgöra ett avtal med en individ, t.ex. för att leverera varor eller tjänster som har begärts

Om du är osäker på om du har fått tillräckligt samtycke för att behandla personuppgifter bör du kontakta din juridiska rådgivare.

Vad är ett databehandlingsavtal och måste jag överväga det?

Om du innehar eller behandlar (anger, redigerar, underhåller) personuppgifter (personuppgiftsbiträde) på uppdrag av din kund (personuppgiftsansvarig) behöver du ett databehandlingsavtal. Vi rekommenderar att du får juridisk rådgivning för att på bästa sätt säkerställa att avtalet behandlar lämpliga säkerhets- och andra dataskyddsåtgärder. Som en del rekommenderar vi kunderna att ha en checklista för datahantering och överlämnande av säkerhetssystemet.

Känn din roll och ansvar

Det är tydligt att lagen ändras till GDPR och detta måste beaktas i planeringen av säkerhetssystem. Områden måste identifieras och åtgärdas som kan orsaka efterlevnadsproblem enligt GDPR. Enligt GDPR har individer rätt att få tydlig information om användningen av deras uppgifter.

Det första praktiska steget är att identifiera din roll och ditt ansvar med avseende på GDPR. Är du personuppgiftsansvarig eller personuppgiftsbiträde eller båda? Om du är osäker eller är osäker på identiteten på den personuppgiftsansvarige och/eller personuppgiftsbiträdet bör du i vilket fall som helst kontakta din juridiska rådgivare.

Det andra steget är att bli ansvarig. Tänk på alla personuppgifter du hanterar när du arbetar med säkerhetssystemet och granska dem under följande rubriker:

• Vilka personuppgifter lagras?
• Vilken är den rättsliga grunden för behandlingen av personuppgifter?
• Var lagras uppgifterna?
• Hur skyddas uppgifterna?
• Hur länge sparas uppgifterna?
• Vad är policyn för hantering av enskilda förfrågningar om dataåtkomst?
• Vad är processen om någon ber om att tas bort från systemet?
• Vem har tillgång till uppgifterna?
• Överförs personuppgifter utanför EES?

Grants & GDPR

Följande information beskriver hur Vanderbilt Vanderbilt Granta V5.3 kan användas för att underlätta efterlevnad av GDPR.

Vilka personuppgifter lagras?

Insamling av personuppgifter är inte obligatorisk inom Granta, även om Granta har kapacitet att lagra vissa användardefinierbara fält som kan användas för att lagra personuppgifter.

Vilken är den rättsliga grunden för behandlingen av personuppgifter?

Inmatningen av uppgifter och underhållet av data kontrolleras av den personuppgiftsansvarige och databehandlaren på webbplatsen. Som sådan är det den personuppgiftsansvariges och/eller personuppgiftsbiträdets ansvar att se till att den rättsliga grunden för behandlingen av personuppgifterna erhålls.

Det finns inga uttryckliga procedurer inbyggda i Granta SW för att få användarens samtycke, eller spela in det.

Var lagras uppgifterna?

Data lagras både på datorn och på Granta-kontrollerna. Datorn har all information som rör systemet, med styrenheten som endast innehåller data som kortnummer och åtkomstbehörigheter som unika identifierare. Det är inte möjligt att återställa namn och andra ”personuppgifter” från en personuppgiftsansvarig.

Hur skyddas uppgifterna?

Granta-databasen lagras på en specificerad SQL-server, där vissa anslutningsegenskaper kan ändras för att underlätta säkerheten för data, och begränsa åtkomsten. En del information som finns i SQL-databasen är i vanlig text, men saker som PIN-koder och lösenord är krypterade. Eftersom det är en SQL-databas skyddas den också av standardåtkomstbegränsningar som tillämpas via Microsoft.

Vanderbilts personal har ingen tillgång till kundens system såvida de inte beviljas via fjärrinloggning.

Hur länge sparas uppgifterna?

Granta-kortinnehavarens uppgifter sparas så länge en kortinnehavare finns i systemet. Även om giltigheten för den kortinnehavaren kan ställas in på specifika start- och slutdatum.

Vi har en funktion för att rensa logghändelser som är äldre än en viss period på månader, som kan anpassas av användaren. Som standard hålls händelser i evighet.

När du tar bort en kortinnehavare raderar systemet som standard inte deras relaterade logghändelser. Men detta kan ändras för att ta bort logghändelserna när användaren raderas.

Vad är policyn för hantering av enskilda förfrågningar om dataåtkomst?

Om en begäran görs är det den personuppgiftsansvarige och/eller personuppgiftsbiträdets ansvar att beskriva policyn och att tillhandahålla uppgifterna i tid i enlighet med GDPR-bestämmelserna.

Det är möjligt att filtrera de händelser som hålls i Granta-systemet för att se vilka individuella uppgifter som finns om en person, t.ex. senaste logghändelser eller information som rör deras individuella register.

Vad är processen om någon ber om att tas bort från systemet?

Om en begäran görs är det den personuppgiftsansvarige och/eller databehandlarens ansvar att beskriva policyn och att ta bort uppgifterna i tid i enlighet med GDPR-reglerna.

Som standard sparas händelseinformation i 90 dagar på Granta-systemet, om inte annat anges. Granskningsloggar sparas på obestämd tid om inte annat anges, men denna loggning måste aktiveras i första hand. När en kortinnehavare tas bort tas inte tillhörande händelser bort, men det är möjligt att göra detta via ett SQL-skript i SQL Management Studio.

Vem har tillgång till uppgifterna?

Det åligger den personuppgiftsansvarige och/eller personuppgiftsbiträdet att avslöja vem som har tillgång till personuppgifterna i Granta-systemet installerat på plats.

Granta har förmågan att definiera olika användarinloggningar till programvaran. Varje användare kan konfigureras för att ha den nödvändiga nivån av s/w-åtkomst. Det är systemägarens ansvar att definiera vem som har vilken s/w inloggningsnivå och ta bort åtkomst när den inte längre behövs.

Överförs personuppgifter utanför EES?

I normalt driftläge delas inte Granta-användardata utanför systemet. Vanderbilt har ingen tillgång till personuppgifter. Det är den personuppgiftsansvariges och/eller personuppgiftsbiträdets ansvar att avslöja om personuppgifter har överförts utanför EES.