Ny persondataforordning igennem EU. - Global Data Protection Regulation. (GDPR)

Hvordan GDPR vil påvirke din databeskyttelsespolitik

TAKE THE COMPLIANCE CHECK HENT GRATIS GUIDE

Er du GDPR-kompatibel?

I maj 2018 træder en ny EU-dækkende databeskyttelsesforordning i kraft.

Hvis det påvirker dig, skal du begynde at tænke over overholdelse nu. Denne webside er taget frem for at hjælpe dig med at forstå GDPR, kvantificere kravene og tilbyde løsninger. Den generelle databeskyttelsesforordning (GDPR) vil påvirke enhver organisation i Europa, der håndterer personoplysninger af enhver art. Det vil også påvirke enhver virksomhed, der driver forretning i EU. Reglerne er komplekse og bøder for manglende overholdelse er betydelige (op til 20 millioner euro).

Du er på rette sted for at lære mere!

https://encryption.eset.com/dk/wp-content/themes/twentysixteen/img/images/calendar.png

Få din gratis GDPR-guide

ESET og dets juridiske rådgivere har udarbejdet denne dybtgående vejledning for at undersøge, hvordan den nye EU-forordning vil påvirke dig.

https://encryption.eset.com/dk/wp-content/themes/twentysixteen/img/images/guide_general_data_protection_regulation.png

Online kompabilitetscheck

Overholder din organisation forordningen?

Sådan overholder du GDPR, trin for trin

Konsekvenserne af GDPR er indviklede, så vi har brudt processen op i tre grupper af forberedelser som du bør overveje, opdelt i forskellige områder med mere detaljeret forklaring. Bare klik på søjlerne i diagrammet nedenfor for at se disse områder mere indgående.

+Sammenfattende

Nogle af principperne i GDPR er en videreførelse af dem, der er fastlagt i det eksisterende databeskyttelsesdirektiv, nemlig: retfærdighed, lovlighed og gennemsigtighed; intension, dataminimering; datakvalitet; sikkerhed, integritet og fortrolighed.

GDPR etablerer et nyt ansvarlighedspraksis ved at gøre en datastyrere ansvarlig for overholdelse af principperne . Derudover tilføjer GDPR nye aspekter til de eksisterende databeskyttelsesprincipper som følger

Lovlighed, retfærdighed og gennemsigtighed – Personoplysninger skal nu behandles på en transparent måde i forhold til den registrerede.

Begrænsning af formål – Med visse forbehold vil arkivering af personlige data, der er af almen interesse, ikke betragtes som uforenelig med de oprindelige forarbejdningsformål.

Opbevaring – Personlige data skal opbevares i en form, der tillader identifikation af den fysiske person Registrering skal ikke vare længere end nødvendigt for de formål for hvilke personoplysningerne behandles.

Ansvarlighed – Den registeransvarlige er skyldig at kunne anskueliggøre overholdelse af principperne.

+Organisatoriske krav på struktur

Under GDPR skal du gennemføre en bred vifte af foranstaltninger for at sikre, at du reducerer risikoen for at overtræde GDPR og give dig mulighed for at bevise, at du tager dataefterfølgelse
seriøst. Blandt de nødvendige ansvarlige foranstaltninger er: Konsekvensanalyser, revisioner, policyanmeldelser, aktivitetsoptegnelser og (potentielt) udpegelse af en databeskyttelsesansvarlig (DPO).

GDPR indfører forpligtelse for visse organisationer til at udpege en databeskyttelsesansvarlig (DPO). Organisationer skal udpege en medarbejder eller en ekstern konsulent som sin DPO.

Hvis du er en marketingmedarbejder med en stor database over forbrugere vil du sandsynligvis være nødt til at udpege en DPO; De nationale databeskyttelsesmyndigheder forventes at give vejledning om, hvem der kvalificerer sig.

Din DPO vil være ansvarlig for at overvåge overholdelse af GDPR, rådgive dig om dine forpligtelser, rådgive om hvornår og hvordan en konsekvensvurdering skal gennemføres og være kontaktpunkt for henvendelser fra nationale databeskyttelsesmyndigheder og enkeltpersoner.

Konceptet med en one-stop-shop gør det muligt for en organisation, der er etableret i flere EU-lande, kun at beskæftige sig med en national databeskyttelsesmyndighed , faste regler for bestemmelse af DPA til at tage denne rolle, og hvordan de ville behandle klager, i nogle tilfælde kompleks.

+Processer, procedurer og policies

GDPR omdefinerer et datatyveri som “brud på sikkerhed, der fører til utilsigtet eller ulovlig destruktion, tab, ændring, uautoriseret offentliggørelse eller adgang til overførte personoplysninger, lagret eller på anden måde behandlet”.

Dette er en bredere definition end før og tager ikke højde for, om overtrædelsen skaber skade for den enkelte. Hvis du bliver offer for et brud på datasikkerheden, skal du straks informere din nationale databeskyttelsesmyndighed eller senest 72 timer efter at overtrædelsen er konstateret .

Du er imidlertid fritaget for at underrette personer, hvis du har gennemført passende tekniske og organisatoriske foranstaltninger til beskyttelse af personlige data, som f.eks. kryptering.

En vigtig del af at overholde GDPR er privatlivets fred gennem design, dvs. design af hver ny proces eller produkt med privatlivets fred i fokus. Mens den tidligere bestod af bedste praksis, er denne indfaldsvinkel nu et eksplicit krav.

En konsekvensvurdering for databeskyttelse, også kendt som konsekvensanalyseparametre (PIA), har til formål at identificere og minimere risikoen for manglende overholdelse.

GDPR gør PIA til et formelt krav; specifikt kontrollere skal sikre, at PIA er blevet udført før påbegyndelsen af enhver behandling aktivitet af “høj risiko”.

Hvis du opererer internationalt, er dine regler og processer for overførsel af personlige data til ikke-EU-jurisdiktioner vil være en betydelig over-vægtning, fordi overholdelse eller overførsel af data til jurisdiktioner, der ikke genkender (Europa-Kommissionen) for at have en lämpling forordning om databeskyttelse blevet meget mere alvorlig i GDPR.

+Bevidsthed om datasikkerhed

Nu er tiden inde til at begynde at forklare behovet for GDPR-overholdelse for dine egne medarbejdere. Du skal muligvis allerede nu planlægge reviderede arbejdsmetoder for at håndtere GDPRs nye transparens og de individuelle rettigheder. Dette kan have betydelige økonomiske, IT- og uddannelsesmæssige konsekvenser.

+Forpligtigelser - tekniske foranstaltninger

GDPR gør ansvarlig for at demonstrere overholdelse af sine databeskyttelsesprincipper, så du skal sørge for, at du har klare policies for at bevise, at du opfylder de krævede standarder ved regelmæssigt at overvåge, gennemgå og vurdere dine databehandlingsprocedurer, opbygge sikkerhedsforanstaltninger og sikre, at dine medarbejdere er uddannet til at forstå deres forpligtelser – og være klar til at påvise det til enhver tid, når det kræves af din nationale databeskyttelsesmyndighed.

+Brud på datasikkerhed - tekniske foranstaltninger

Du skal forberede dig til brud på datasikkerhed (defineret som ” et brud på sikkerheden, der fører til utilsigtet eller ulovlig destruktion, tab, ændring, uautoriseret offentliggørelse af eller adgang til overførte personoplysninger, lagret ellers behandlet ” ) Ved at indføre klare policies og gennemprøvede procedurer for at sikre, at du kan reagere på og give besked om ethvert brud på data, hvor det er nødvendigt.

Manglende indberetning af en overtrædelse, når det kræves, kan resultere i en bøde, samt en bøde for databruddet selv.

+Sikre datarettigheder - teknisk

GDPR styrker rettighederne til en person , for eksempel ved at tilføje retten til at kræve oplysninger om data, der behandles om sig selv, adgang til data under visse omstændigheder og korrektion af data, der er forkert.

Et af hovedmålene med GDPR er at styrke individernes rettigheder. Som følge heraf ændres reglerne for håndtering af anmodninger om emneadgang, og du skal opdatere dine procedurer for at afspejle dette.

Generelt vil du ikke få tilladelse til at indkræve betaling for at overholde en anmodning; desuden vil du typisk kun have en måned at efterkomme (den nuværende grænse er 40 dage).

Retten til at blive glemt (‘sletning’ i GDPR’s terminologi) tillader enkeltpersoner at kræve din gør det muligt for enkeltpersoner at kræve controllere til deres data eller personlige oplysninger slettet uden unødig forsinkelse i visse situationer, for eksempel hvis der er et problem med behandlingen underliggende lovligheden, eller hvis de tilbagekalder deres samtykke.

Tredjeparter, som du deler enkeltpersoners data med, er også omfattet af disse regler.

GDPR definerer profilering som “ enhver form for automatiseret behandling af personoplysninger, der består af brug af personoplysninger til vurdering af visse personlige forhold vedrørende en fysisk person, især for at analysere eller forudsige visse aspekter vedrørende den fysiske persons præstation på arbejdspladsen, økonomiske situationer, helbred, personlige præferencer, interesser, pålidelighed, adfærd, placering eller bevægelse “; Der er dog en vis tvetydighed om, hvorvidt de registrerede har krav på at træffe beslutninger baseret på profilering, vil blive håndhævet.

GDPR introducerer en ny ret til dataportabilitet, som går ud over enkeltpersoners ret til at kræve, at du leverer deres data i en almindeligt anvendt elektronisk form lokalt og kræver, at den registeransvarlige giver oplysninger i en struktureret, almindeligt anvendt og maskinlæsbar formular.

Der er nogle begrænsninger for denne regel, for eksempel gælder det kun personoplysninger behandlet med automatiserede midler.

Som en del af sit mål om at styrke individernes rettigheder giver Europakommissionen også ret til at begrænse visse former for behandling og en ret til at gøre indsigelse mod personoplysninger, der behandles til direkte markedsføring, herunder profileringsaktiviteter med intention til direkte markedsføring.

Når en person gør indsigelse, må dennes data ikke behandles yderligere til direkte markedsføring, og individets kontaktoplysninger skal tilføjes til en intern fil.

Organisationer skal informere enkeltpersoner om deres ret til at gøre indsigelse mod behandlingen af deres data på en måde, der er eksplicit og adskilt fra andre oplysninger, som de også skal give til enkeltpersoner.

+Kommunikation af personlige oplysninger (godkendelser, fair behandlingsmeddelelser)

Det kan være nødvendigt at besigtige, hvordan du søger, indhenter og registrerer samtykke.  En registreret er samtykke til behandling af deres personoplysninger skal være lige så nem at trække tilbage som at give, og skal også være en positiv indikation af, at personoplysninger behandles det kan ikke udledes af tavshed, forkrydsede kasser eller inaktivitet .

Online er forældrenes forudgående samtykke påkrævet for brug af personoplysninger for alle under 13 år; Medlemsstaterne kan fastsætte deres egne regler for personer i alderen 13-15 år. Hvis de vælger at ikke gøre det, kræves forældrenes samtykke til børn under 16 år.

Som følge heraf bør du begynde at tænke på, hvordan man implementerer robuste systemer for at verificere enkeltpersoners aldre og indsamle forældres eller værgeres samtykke til at behandle sådanne data.

Samtykke skal være verificerbare, og når du indsamler børns data skal dine oplysninger om privatlivets fred være skrevet på et sprog, som børnene vil forstå.

GDPR vil sandsynligvis udvide udvalget af oplysninger, du har at give til de berørte personer , så som din retsgrundlag for behandlingen af deres data, dine dataopbevaringsperioder perioder og deres ret til at klage til deres nationale databeskyttelsesmyndighed. Hvis de mener, der er et problem med, hvordan man forvalter deres data, at bemærke, at GDPR kræver, at disse oplysninger gives i en kortfattet og klart sprog.

+Datasikkerhed (integritet og fortrolighed)

GDPindeholder data sikkerhedsprincipper svarende til det nuværende direktiv, blandt andet: retfærdighed, lovlighed og gennemsigtighed; formålsbegrænsning; dataminimering; kvalitetsdata; sikkerhed, privatlivets fred og fortrolighed. Du skal sikre, at personoplysninger behandles på en måde, der sikrer dens sikkerhed, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, ødelæggelse eller skade, “organisationen og hver outsourcet tjenesteyder at iværksætte de fornødne tekniske og organisatoriske foranstaltninger for at sikre et tilstrækkeligt sikkerhedsniveau i i forhold til risikoen. ”

I forordningen foreslås en række sikkerhedsforanstaltninger, der kan bruges til at opnå beskyttelse af personoplysninger, herunder: pseudonymisering og kryptering af data; kapacitet til at sikre en løbende fortrolighed, integritet, tilgængelighed og stabilitet af de systemer og tjenester, de behandler data; evnen til at genoprette udbuddet og tilgængeligheden af personoplysninger i tide i tilfælde af naturkatastrofer og teknologiske hændelse; og en proces til regelmæssigt teste, evaluere effektiviteten af tekniske og organisatoriske foranstaltninger for at garantere sikkerheden af personoplysninger.

GDPR angiver kryptering som en mulighed, som kan bidrage til at sikre overholdelse af nogle af sine forpligtelser. For at citere fra forordningen:

Artikel 32 – Sikkerhed for behandling

‘1. I betragtning af den nyeste teknologi, implementeringsomkostninger og omfang, kontekst og formålet med behandlingen og potentialet for varierende sandsynligheden og alvoren af fysiske personer rettigheder og friheder, der skal controller og processoren til at iværksætte de fornødne tekniske og organisatoriske målinger for at sikre et tilstrækkeligt sikkerhedsniveau i forhold af risiko: (a) pseudonymisering og kryptering af personoplysninger […] ”

Artikel 34 – meddelelse om overtrædelse af personoplysninger til den registrerede

‘3. Der kræves ikke meddelelsen til den person, der er nævnt i punkt 1, hvis følgende betingelser er opfyldt: (a) en inspektør har implementeret passende tekniske og organisatoriske sikkerhedsforanstaltninger og anvendt de foranstaltninger af de personoplysninger, der er berørt af bruddet af personoplysninger, især dem gør den personlige data forbliver modstandsdygtig over for enhver person, der ikke er godkendt til at få adgang til det, såsom kryptering […] “

+Datadokumentation, retsgrundlag og revision

Du skal dokumentere, hvilke personlige data du holder, hvor den kommer fra, og hvem du deler den med.

Hvis du har unøjagtige personoplysninger og har delt dette med en anden organisation, kræver GDPR, at du fortæller den anden organisation om unøjagtigheden, så den kan rette sine egne optegnelser. For at gøre dette kan der kræves en informationsrevision på tværs af din organisation eller inden for bestemte forretningsområder. Dette vil også hjælpe dig med at overholde GDPRs ansvarlighedsprincipper.

Dette er nødvendigt, fordi nogle enkeltpersoners rettigheder ændres af GDPR afhængigt af dit retsgrundlag for behandling af deres personlige data.

Et eksempel er, at folk vil have en stærkere ret til at få deres data slettet, hvor du bruger samtykke som dit retsgrundlag for behandling. Samtykke er dog kun en af en række forskellige måder at legitimere dataforarbejdningsaktivitet på og den er måske ikke være den bedste (da den kan trækkes tilbage).

Oplysningerne på denne webside udgør ikke en juridisk anskuelse, og brugerne bør ikke fæste lid til nøjagtigheden, når de træffer økonomiske eller forretningsmæssige beslutninger. ESET er ikke ansvarlig for konsekvenser som følge af sådanne handlinger. Søg altid uafhængig juridisk rådgivning.

Deltag i vores GDPR-webinar

Tal med vores eksperter om, hvordan den nye generelle databeskyttelsesforordning vil påvirke din virksomhed. ESET er vært for webinars som forklarer problemerne omkring GDPR. Disse webinars er gratis at deltage i: Bare tilmeld dig nedenunder og vi inviterer dig til det næste webinar.

Nearly 80% of companies are not ready for GDPR

A new survey conducted by independent analysts IDC has found that most European SMBs are unprepared for the GDPR. IDC surveyed IT professionals at more than 700 businesses. It found that understanding of the new regulation remains low.

For more details- and to find out more about the GDPR for yourself – get the full IDC report, courtesy of ESET:

Understanding of GDPR impact

25% none | 52% limited | 22% full

Vi bruger cookies for at sikre, at du får den bedste oplevelse på vores hjemmeside. Mere info.

OK