Omnis GDPR-efterlevnadsguide

Download

Omnis GDPR-efterlevnadsguide

Vanderbilts lösningar och produkter gör det möjligt för kunder att hantera och behandla personuppgifter på ett sådant sätt att de uppfyller kraven i GDPR. Denna guide är avsedd att hjälpa och stödja våra kunder att bedöma deras egen beredskap att uppfylla sina skyldigheter och skyldigheter gentemot de nya reglerna.

Översikt

Dataskydd är en grundläggande rättighet där var och en har rätt till skydd av personuppgifter som rör honom eller henne. Dataskyddsförordningen (GDPR) gäller från och med den 25 maj 2018 och är utformad för att ge individer större kontroll över sina personuppgifter. Det finns en uppsättning regler för hela EU, som på vissa områden kan kompletteras med nationell lagstiftning.

GDPR ålägger företag eller organisationer som samlar in, använder och behandlar personuppgifter skyldigheter. I centrum för GDPR är kravet på organisationer och företag att vara helt transparenta om hur de använder och skyddar personuppgifter och att kunna visa ansvar för sin databehandling. Sådana uppgifter måste behandlas rättvist för angivna ändamål och på grundval av den berörda personens samtycke eller någon annan legitim grund som fastställs i lag.

Medan Vanderbilt erbjuder kunderna flexibel och intuitiv produktfunktionalitet för att underlätta efterlevnaden av de nya reglerna, samlar Vanderbilt-organisationen inte in, kontrollerar, använder eller behandlar personuppgifter som finns inom Vanderbilts lokala produkter. Därför är det den personuppgiftsansvariges och personuppgiftsbiträdets roll och ansvar att se till att de skyldigheter som anges i GDPR uppfylls.

Om du är osäker eller är osäker på identiteten på den personuppgiftsansvarige och/eller personuppgiftsbiträdet bör du i vilket fall som helst kontakta din juridiska rådgivare.

Vad är personuppgifter?

Med ”personuppgifter” avses all information som rör en levande person som är identifierad eller identifierbar.

En person är identifierbar om de direkt eller indirekt kan identifieras med hjälp av en ”identifierare”. GDPR ger exempel på identifierare, inklusive namn, identifikationsnummer och platsdata. En person kan också identifieras med hänvisning till faktorer som är specifika för deras identitet, såsom fysiska, genetiska eller kulturella faktorer.

Personuppgifter som har avidentifierats, krypterats eller pseudonymiserats men som kan användas för att omidentifiera en person förblir personuppgifter och omfattas av GDPR. Om personuppgifter har anonymiserats på ett sådant sätt att individen inte längre kan identifieras betraktas detta inte som personuppgifter. För att data ska vara verkligt anonymiserade måste anonymiseringen vara oåterkallelig.

Lagen skyddar personuppgifter oavsett vilken teknik eller metod som används för att behandla uppgifterna - den gäller både automatiserad och manuell behandling. Det spelar ingen roll hur personuppgifterna lagras - i ett IT-system, via videoövervakning eller på papper; i alla fall omfattas personuppgifter av de skyddskrav som anges i GDPR.

Vad innebär databehandling?

Behandlingen omfattar ett brett spektrum av operationer som utförs på personuppgifter, inklusive manuellt eller automatiserat sätt. Det omfattar insamling, registrering, organisering, strukturering, lagring, anpassning eller ändring, hämtning, sökning, användning, utlämnande genom överföring, spridning eller på annat sätt tillgängliggörande, anpassning eller kombination, begränsning, radering eller förstörelse av personuppgifter.

Dataskyddsförordningen (GDPR) gäller för behandling av personuppgifter helt eller delvis med automatiserade medel samt för icke-automatiserad behandling, om den ingår i ett strukturerat registersystem.

Är jag personuppgiftsansvarig eller personuppgiftsbiträde?

En personuppgiftsansvarig är en fysisk person eller juridisk person som kontrollerar och ansvarar för lagring och användning av personuppgifter på en dator eller i strukturerade manuella filer. Att vara personuppgiftsansvarig har sitt juridiska ansvar, så du bör vara helt tydlig om dessa skyldigheter gäller dig eller din organisation.

Om du eller din organisation kontrollerar och ansvarar för de personuppgifter som den innehar, dvs. bestämmer vilken personlig information som ska sparas och till vilken användning informationen ska användas, är du eller din organisation personuppgiftsansvarig.

Exempel på fall där personuppgiftsansvarig är en individ är allmänläkare, apotekare, politiker och enskilda näringsidkare, där dessa personer behåller personuppgifter om sina patienter, klienter, väljare etc.

Om du eller din organisation innehar personuppgifterna, men någon annan individ eller organisation bestämmer och ansvarar för vad som händer med uppgifterna, är den andra personen eller organisationen personuppgiftsansvarig och du eller din organisation är ett ”personuppgiftsbiträde”.

Exempel på personuppgiftsbiträden är löneföretag, revisorer och marknadsundersökningsföretag, som alla kan inneha eller behandla personuppgifter på uppdrag av någon annan.

Vad är datameddelande och måste jag överväga det?

För att kunna behandla personuppgifter lagligt måste organisationer och företag identifiera och dokumentera den rättsliga grunden för att göra det från början. Några av de lagliga sätten att behandla data inkluderar:

  • Samtycke från individenSamtycke är lämpligt om individer erbjuds verkligt val och kontroll över hur deras data används.
  • Viktiga intressen: Behandlingen är nödvändig för att skydda individens vitala intressen, t.ex. om det är nödvändigt för att skydda någons liv.
  • Överensstämmelse som har en rättslig skyldighet: Uppgifter kan behandlas om det till exempel krävs enligt EU-lagstiftningen för ett visst ändamål.
  • Ett avtal med individen: Behandlingen är nödvändig för att fullgöra ett avtal med en individ, t.ex. för att leverera varor eller tjänster som har begärts

Om du är osäker på om du har fått tillräckligt samtycke för att behandla personuppgifter bör du kontakta din juridiska rådgivare.

Vad är ett databehandlingsavtal och måste jag överväga det?

Om du innehar eller behandlar (anger, redigerar, underhåller) personuppgifter (personuppgiftsbiträde) på uppdrag av din kund (personuppgiftsansvarig) behöver du ett databehandlingsavtal. Vi rekommenderar att du får juridisk rådgivning för att på bästa sätt säkerställa att avtalet behandlar lämpliga säkerhets- och andra dataskyddsåtgärder. Som en del rekommenderar vi kunderna att ha en checklista för datahantering och överlämnande av säkerhetssystemet.

Känn din roll och ansvar

Det är tydligt att lagen ändras till GDPR och detta måste beaktas i planeringen av säkerhetssystem. Områden måste identifieras och åtgärdas som kan orsaka efterlevnadsproblem enligt GDPR. Enligt GDPR har individer rätt att få tydlig information om användningen av deras uppgifter.

Det första praktiska steget är att identifiera din roll och ditt ansvar med avseende på GDPR. Är du personuppgiftsansvarig eller personuppgiftsbiträde eller båda? Om du är osäker eller är osäker på identiteten på den personuppgiftsansvarige och/eller personuppgiftsbiträdet bör du i vilket fall som helst kontakta din juridiska rådgivare.

Det andra steget är att bli ansvarig. Tänk på alla personuppgifter du hanterar när du arbetar med säkerhetssystemet och granska dem under följande rubriker:

  • Vilka personuppgifter lagras?
  • Vilken är den rättsliga grunden för behandlingen av personuppgifter?
  • Var lagras uppgifterna?
  • Hur skyddas uppgifterna?
  • Hur länge sparas uppgifterna?
  • Vad är policyn för hantering av enskilda förfrågningar om dataåtkomst?
  • Vad är processen om någon ber om att tas bort från systemet?
  • Vem har tillgång till uppgifterna?
  • Överförs personuppgifter utanför EES?

All & GDPR

Följande information beskriver hur Vanderbilt Omnis V6.3-systemet kan användas för att underlätta efterlevnad av GDPR.

Vilka personuppgifter lagras?

Inga personuppgifter är obligatoriska att lagras för att systemet ska fungera korrekt.

Bild, namn, e-postadress och telefonnummer är fördefinierade fält i systemet, men användardefinierade fält kan användas för att ange olika personuppgifter.

Vilken är den rättsliga grunden för behandlingen av personuppgifter?

Inmatningen av uppgifter och underhållet av data kontrolleras av den personuppgiftsansvarige och databehandlaren på webbplatsen. Som sådan är det den personuppgiftsansvariges och/eller personuppgiftsbiträdets ansvar att se till att den rättsliga grunden för behandlingen av personuppgifterna erhålls.

Omnis-systemet har vissa programvarufunktioner som gör det möjligt för systemägaren att övervaka och hämta samtycke från personer som är inskrivna i systemet.

Var lagras uppgifterna?

Data lagras i databasen som finns på servern och i säkerhetskopior. Det finns inga personuppgifter lagrade hos de systemansvariga.

Hur skyddas uppgifterna?

För att komma åt innehållet i databasen används Omnis klientprogramvara. Inloggningen till användarprogramvaran är skyddad med lösenord. Databasen i sig kan krypteras, men är inte så som standard på grund av minskad prestanda.

Användarbehörigheter är möjliga att definiera till en hög grad av granularitet som säkerställer att åtkomsten till personuppgifter kan begränsas för en specifik funktion eller roll.

Vanderbilts personal har ingen tillgång till kundsystemet, såvida de inte beviljas via fjärrinloggning.

Hur länge sparas uppgifterna?

I Vanderbilt Omnis-systemet är detta en användardefinierbar systeminställning. Från 1 till 366 dagar. Lagringen av databassäkerhetskopieringsfiler definieras av systemägaren. Det är systemadministratörens ansvar att på ett transparent sätt kommunicera datalagringsperioden.

Vad är policyn för hantering av enskilda förfrågningar om dataåtkomst?

Om en begäran görs är det den personuppgiftsansvarige och/eller personuppgiftsbiträdets ansvar att beskriva policyn och att tillhandahålla uppgifterna i tid i enlighet med GDPR-bestämmelserna.

Det finns fördefinierade rapporter och gränssnitt i Vanderbilt Omnis-systemet som kan användas för att förse individer med sina personuppgifter i ett strukturerat, allmänt använt och maskinläsbart format.

Vad är processen om någon ber om att tas bort från systemet?

Om en begäran görs är det den personuppgiftsansvarige och/eller databehandlarens ansvar att beskriva policyn och att ta bort uppgifterna i tid i enlighet med GDPR-reglerna.

Personer och deras associerade personuppgifter kan raderas med omedelbar verkan från Omnis klientprogramvara eller via en 3rd partiansökan. Personuppgifter i någon av händelseloggfilerna raderas dock inte förrän rensningskriterierna för datalagringsregeln är uppfyllda. Antalet dagar kan ställas in till 1 till 366.

Vem har tillgång till uppgifterna?

Det åligger den personuppgiftsansvarige och/eller personuppgiftsbiträdet att avslöja vem som har tillgång till personuppgifterna i Omnis-systemet installerat på platsen. Den personuppgiftsansvarige och/eller personuppgiftsbiträdet ansvarar för att skapa och verkställa dessa processer. Detta görs inte av Omnis-systemet på ett automatiserat sätt. Vanderbilt har ingen tillgång till och/eller möjlighet att behandla personuppgifter i ett lokalt Omnis-system.

Överförs personuppgifter utanför EES?

Vanderbilt Omnis-systemet har ett gränssnitt som kan användas för att dela personuppgifter med 3rd partisystem. Det är den personuppgiftsansvarige och/eller personuppgiftsbiträdets ansvar att avslöja om systemet är konfigurerat på ett sätt som överför data utanför EES.

Mannen i en vit skjorta ler och tittar ner.
Anslut till vårt team för att utforska skalbara, framtidsklara lösningar som är utformade för att skydda dina medarbetare, lokaler och data.

Låt oss säkra vad som är nästa - tillsammans.

Anslut till vårt team för att utforska skalbara, framtidsklara lösningar som är utformade för att skydda dina medarbetare, lokaler och data.
Prata med vårt team
Sömlöst integrerad
Framtidsförberedd plattform
Byggd för val
Betrodda av Fortune 500-företag