Ny databeskyttelseregulering i EU. - Global Data Protection Regulation. (GDPR)

Hvordan GDPR vil påvirke databeskyttelsespolitikken din

Ta gjennomgangskontroll LAST NED GRATIS GUIDE

Er du GDPR-klar?

I mai 2018, vil en ny EU-og EØS personvernforordning tre i kraft.

Hvis dette påvirker deg og din bedrift bør du planlegge mot GDPR allerede i dag. Denne siden er for å bistå deg i bedre å forstå GDPR, summere kravene, og tilby løsninger som kan bistå deg i å nå dine mål. General Data Protection Regulation (GDPR) vil påvirke samtlige organisasjoner i Europa som håndterer persondata i hvilken som helst form. Den vil også påvirke bedrifter som driver handel med EU og EØS- land. Reglene er komplekse og bøtene kan være svært kostbare (opp til €20- millioner) for bedrifter som ikke overholder regelverket.

Du er kommet til rett sted for å lære mer!

https://encryption.eset.com/no/wp-content/themes/twentysixteen/img/images/calendar.png

Få din gratis GDPR guide

ESET og våre juridiske rådgivere har laget denne guiden for deg som går i dybden på hvordan de nye EU- reglene vil påvirke deg.

https://encryption.eset.com/no/wp-content/themes/twentysixteen/img/images/guide_general_data_protection_regulation.png

Online kompatibilitetssjekk

Møter din organisasjon kravene til regelverket?

Imøtekommelse av GDPR, steg for steg

Implikasjonene av GDPR er svært kompleks, så vi har delt prosessen i tre underkategorier med tiltak du bør vurdere. Hver av gruppene har ytterligere trinnvise forklaringer og råd. Klikk på stolpene under for å undersøke disse i detalj.

+Sammendrag

Noen av prinsippene i GDPR er en videreføring av de same reglene som finnes i personverndirektivet, nemlig: rettferdighet, åpenhet; begrensing av formål; minimalistisk innsamling av data; datakvalitet; sikkerhet, integritet og konfidensialitet.

GDPR introduserer et nytt ansvarlighetsprinsipp ved å gjøre Kontrollere vil være ansvarlig for å kunne presentere og demonstrere at organisasjonen overholder reglene i samsvar med direktivet Samtidig, legges det til nye aspekter til det eksisterende personverndirektivet som følger

Lovlighet, rettferdighet og åpenhet – Personopplysninger må nå bli behandlet i en åpen relasjon ovenfor personen(e) dette måtte angå.

Begrensning av formålet – Med noen begrensninger anses arkivering av personlige data som er i offentlighetens interesse ikke å være i overenstemmelse med de opprinnelige formålene for databehandling.

Lagring – Personopplysninger må bli lagret i en slik form at det er mulig å identifisere et individ lenger enn nødvendig for hensikten til behandling eller bearbeiding av nevnte personopplysninger.

Ansvarlighet – Behandlingsansvarlige er ansvarlig for, og må kunne demonstrere samsvarighet med nevnte prinsipper.

+Krav til organisasjonsstruktur

Etter innførsel av GDPR, må du ha implementert en rekke tiltak for å sikre at du reduserer risikoen for brudd på GDPR, slik at du kan bevise at du tar databehandling på alvorlig. Blant nødvendig ansvarlighet er: konsekvensutredninger for personvern, revisjoner, vurderinger, aktivitet poster og (potensielt) utpeke en behandlingsansvarlig.

GDPR gjør det obligatorisk for enkelte organisasjoner å utpeke en databehandlingsansvarlig. Organisasjonen må enten finne en internt ansatt, eller innhente en ekstern konsulent som sin behandlingsansvarlige.

Hvis du er en markedsfører med store kundedatabaser, trenger du sannsynligvis å utnevne en behandlingsansvarlig; lokale myndigheter som Datatilsynet vil kunne gi deg veiledning og råd i prosessen.

Den behandlingsansvarlige vil være ansvarlig for monitorering av overholdelse av GPDR regelverket, rådgi deg om dine forpliktelser, rådgi når og hvor et tiltak som vil påvirke personvernet vil finne sted og bli utført, og være kontaktpunktet for henvendelser fra offentlige myndigheter og enkeltpersoner.

Konseptet bak begrepet ‘one-stop shop’ gjør det mulig for en organisasjon som har forretninger i flere EU-land, å forholde seg til kun et medlemslands myndigheter , selv om reglene for å avgjøre reglene for hvilken myndighet som har ansvaret og hvordan dette håndteres, kan i noen tilfeller være svært kompleks.

+Prosesser, prosedyrer og retningslinjer

GDPR definerer datalekkasje som “et sikkerhetsbrudd som (har) fører til tilfeldig eller ulovlig ødeleggelse, tap, endring, uautorisert avsløring av, eller tilgang til, personlige data overført, lagret eller behandlet”.

Dette er en bredere definisjon enn tidligere, og tar ikke i betraktning om bruddet har skapt eller skaper harme for individer. Hvis du opplever sikkerhetsbrudd og tap av data, må du informere de lokale myndighetene umiddelbart, eller ikke senere enn 72 timer etter at oppdagelsen er gjort.

Dog, du er fritatt fra varsling av individer dersom du har implementert nødvendige tekniske og organisatoriske tiltak for å beskytte den personlige data, for eksempel kryptering av data.

En sentral del for imøtekommelse med GDPR er personvern ved design, eksempelvis designe hver ny prosess eller produkt med kravene til personvern fremst. Denne tilnærmingen som tidligere har vært å regne som ‘best practice’, er nå et eksplisitt krav.

En konsekvensutredning, eller personvern konsekvensutredning er intendert til å identifisere og minimalisere risikoer i organisasjonen.

GDPR gjør en slik konsekvensutredning til en formell nødvendighet; spesifikt, kontrollere må sørge for at en personvern konsekvensutredning er utført, før arbeidet på elementer under “høy risiko” kan påbegynnes.

Hvis du opererer internasjonalt, vil regler og prosesser for overføring av data til et ikke-EU land vil betraktes som en signifikant vurdering for bedriften, ettersom bøter og straff for manglende overholdelse eller overføring av data til jurisdiksjoner som ikke er anerkjent (av Europakommisjonen) for å ha tilstrekkelige data beskyttelse og personvernregulativer vil skjerpes under GDPR.

+Bevissthet rundt datasikkerhet

Det er kritisk at du begynne tidlig, ja allerede nå, å forklare dine ansatte om behovet for – og hvorfor din organisasjon må forholde seg til GDPR. Det kan være at du også må planlegge forhold og prosedyrer knyttet til GPDR og deres krav til åpenhet og privatpersoners rett til innsyn. Denne typen innsyn vil kunne skape en betydelig økonomisk kostnad, IT- opplæring og logistikkutfordringer.

+Ansvar - tekniske tiltak

GDPR gjør kontroller ansvarlig for enhver demonstrasjon og overenskomst med sikkerhetskravene til GDPR, med andre ord er det nødvendig for din organisasjon å sørge for at alle interne regler og policyer er på plass, slik at du kan fremvise bevis for at reglene blir fulgt etter overenstemmelse til regelverket ved regelmessig monitorering, gjennomgå og vurdere prosedyrer for databehandling, opprette og vedlikeholde sikkerhetstiltak og sørge for at ansatte er tilstrekkelig opplært til å forstå og overholde deres forpliktelser – og – være klar til å demonstrere prosedyrer og kompetanse når som helst dersom dette kreves av nasjonale myndigheter.

+Sikkerhetsbrudd - tekniske tiltak

Du må forberede tiltak knyttet til brudd på datasikkerhet (definert som “et brudd på sikkerhet som fører til tilfeldig, uheldig eller ulovlig destruering, tap, endring, uautorisert tilgang til, overføring av personlig data, lagret eller bearbeidet”) ved å ha etablert klare rutiner og testet prosedyrer slik at organisasjonen kan agere og oppdage på sikkerhetsbrudd når dette er påkrevd.

Unnlatelse av å rapportere brudd når dette kreves kan resultere i bøter, samt en bot for brudd i seg selv.

+Sikre brukers datarettigheter - teknisk

GDPR styrker rettighetene til personen det angår kan , for eksempel kreve retten til å få utlevert informasjon om dataene som behandles om seg selv, tilgang til dataene i visse tilfeller, og korrigering av data som innehar eventuelle feil.

En av de største målene for GPDR er å styrke rettighetene til enkeltpersoner. Som et resultat, regler for å håndtere anmodninger om tilgang må derfor endres eller revideres, og du må oppdatere dine prosedyrer for å etterkomme dette.

Som hovedregel er du ikke tillatt å ta betalt for en henvendelse som samsvarer med kravene som her omtalt; og, du vil normalt ha en virkemåned for å etterkomme slike krav (den nåværende grensen er 40 dager).

Retten til å bli glemt (‘slettet’ i begrepsbruken av GDPR) gir individer rettigheter til å kreve at kontrollere sletter deres personlige data uten ubegrunnet opphold i visse situasjoner, for eksempel der det måtte foreligge et problem med underliggende lovligheten av behandlingen, eller dersom en trekker ens samtykke.

Tredjeparter du eventuelt måtte dele personens data er også omfattet av disse reglene.

GDPR definerer profiling som “enhver form for automatisk behandling av personopplysninger bestående av personopplysninger til, eksempelvis, å evaluere bestemte personlige forhold rundt en person, spesielt for å analysere eller forutse visse aspekter om naturlig personens forhold til arbeid, økonomiske situasjoner, helse, personlige preferanser, interesser, pålitelighet, atferd, plassering eller bevegelser”; men, det er noe tvetydighet rundt hvordan personenes rettigheter til å bli overvåket vil bli håndhevet.

GDPR introduserer en ny rett til mobile data, som går utover individets rett til å kreve at du gir dataene i et vanlig elektronisk format og krever at selskapets kontroller gir informasjonen i en strukturert, og maskinlesbar form.

Det er noen begrensninger knyttet til denne regelen, eksempelvis gjelder dette kun for personopplysninger som behandles av automatiske systemer.

Som del av GPDRs formål er å fremme rettigheter, EU-kommisjonen gir også visse rettigheter til å begrense behandling og retten til å påklage og hindre at deres persondata blir benyttet for direkte markedsføring, inkludert profilerings aktiviteter for direkte markedsføring.

Når et individ påklager databehandling, kan ikke dataene videre behandles for direkte markedsføring ytterligere og individets kontaktinformasjon må så videre legges til en egen intern unntaksliste.

Organisasjoner må informere individene om deres rett til å klage behandling av data på en slik måte som er eksplisitt og atskilt fra andre opplysninger de ellers må gi.

+Kommunisere informasjon om personvern (samtykker og informasjon om rettferdig behandling)

Det kan hende at du må revidere hvordan du søker, innhenter og lagrer samtykker; et individs samtykke til behandling av persondata må være lett å trekke, og må også være en bekreftende indikasjon på en avtale hvor personopplysninger blir behandlet – det kan ikke innhentes samtykke fra stillhet, pre avmerkede bokser eller inaktivitet.

GDPR gir ekstra beskyttelse og rettigheter når det kommer til håndtering av personinformasjon relatert til barn, spesielt i relasjon til kommersielle tjenester som sosiale nettverk.

Online, er foreldres eller foresattes samtykke påkrevd for bruk av personinformasjon for enhver under 13 år; Medlemsland kan sette sine egne regler for de mellom 13-15. Hvis de velger å ikke gjøre dette, er foreldre eller foresattes samtykke påkrevd for barn under 16 år.

Som et følge av GPDR, bør du og din organisasjon vurdere en implementasjon av robuste systemer å bekrefte individenes alder og for å innhente samtykke fra foreldre eller foresatte tillatelse til å behandle slike data.

Et samtykke må kunne verifiseres, og når en innhenter personopplysninger om barn, må personvernerklæringen være fattet med et språk som barn vil kunne forstå.

GDPR trolig vil øke omfanget av elementer du må informere om individuelt , for eksempel dine rettslige grunnlag for å behandle deres data, oppbevaringsperiodene for data og deres rett til å klage til myndighetene hvis de har mistanke om ulovlig eller feilaktig bruk og håndterer data; Merk at GDPR krever denne informasjonen angis i kortfattet, tydelig språk.

+Datasikkerhet (integritet og konfidensialitet)

GDPR iverksetter og pålegger bedrifter å følge sikkerhetsprinsipper som samsvarer med eksisterende direktivet, herunder: rettferdighet, lovligheten til aktiviteten og åpenhet; formåls begrensning for datainnsamling; minimering av data; kvalitetssikring av data; sikkerhet, integritet og konfidensialitet.

Du må forsikre at personopplysninger er behandlet på en slik måte og som sikrer sikkerheten, inkludert beskyttelse mot uautorisert eller ulovlig behandling av data og mot utilsiktet tap, destruksjon eller skade: “Organisasjonen og enkelte utenforstående tjenesteleverandører pliktes å iverksette hensiktsmessige tekniske og organisatoriske tiltak, for å sikre et sikkerhetsnivå tilpasset risikoen”.

Reguleringen foreslår flere sikkerhetstiltak som kan implementeres for å oppnå tilstrekkelig databeskyttelse, inkludert: pseudonymisering og kryptering av personopplysninger; muligheten til å sikre konfidensialitet, integritet, tilgjengelighet og fleksibilitet av systemer og tjenestebehandling av personopplysninger; muligheten til å gjenopprette tilgjengeligheten av og tilgang til personlige data tidsnok i tilfelle en fysisk eller teknisk hendelse; og en prosess for regelmessig testing, vurdere og evaluere effektiviteten av tekniske og organisatoriske tiltak for å sikre sikkerheten for behandling av persondata.

GDPR angir kryptering som en tilnærming for å bidra til å sikre etterlevelse av noen av disse forpliktelsene.
For å sitere reguleringen sier artikkel 32: – sikkerheten for databehandling

“1. Taking into account the state of the art, the costs of implementation and the nature, scope, context and purposes of processing as well as the risk of varying likelihood and severity for the rights and freedoms of natural persons[…]

En kontroller en person eller organsom alene eller sammen, bestemmer formål og middel for behandling av persondata. GDPR definerer en kontroller som:

“den fysiske eller juridiske personen, offentlig myndighet, byrå eller andre enheter som alene eller sammen med andre, bestemmer formål og middel til behandling av personopplysninger; hvor formål og middel for slik behandling bestemmes av Unionen eller medlemsstatens lov, kontrolleren eller de bestemte kriterier for sin nominasjon kan gies av Unionen eller av medlemslandets lov.”

Kontrolleren og databehandleren er en enhet som behandler data på vegne av en eier. GDPR definerer en databehandler som:

“En fysisk eller juridisk person, offentlig myndighet, byrå eller annet organ som behandler personopplysninger på vegne av kontrolleren”.

En domenekontroller (kontroller for et domene i organisasjonen) er en person eller organ som utelukkende eller kollektivt, bestemmer formål og middel for behandling av persondata.

behandleren skal iverksette passende tekniske og organisatoriske tiltak for å sikre et sikkerhetsnivå samsvarer med den gjeldende risikoen, inkludert blant annet: (a) pseudonomisering og kryptering av personopplysninger […]»

Artikkel 34 – Informering om databrudd til berørte individer
“3. Kommunikasjonen med individer omtalt i avsnitt 1 er ikke være nødvendig dersom en eller flere av følgende betingelser er oppfylt:

(a) En kontroller er en person eller organ som utelukkende eller kollektivt, bestemmer formål og middel for behandling av persondata.

GDPR definerer en kontroller som:

“en person eller organ som alene eller sammen, bestemmer formål og middel for behandling av persondata. GDPR definerer en kontroller som: “den fysiske eller juridiske personen, offentlig myndighet, byrå eller andre enheter som alene eller sammen med andre, bestemmer formål og middel til behandling av personopplysninger; hvor formål og middel for slik behandling bestemmes av Unionen eller medlemsstatens lov, kontrolleren eller de bestemte kriterier for sin nominasjon kan gies av Unionen eller av medlemslandets lov. kontrolleren har implementert nødvendige tekniske og organisatoriske sikkerhetstiltak, og disse tiltakene ble brukt til personopplysningene påvirket av bruddet, særlig de som gjør personopplysningene uforståelige for enhver person som ikke er autorisert tilgang til den, som eksempelvis kryptering […]»

+Data dokumentasjon, juridiske detaljer og revidering

Du bør dokumentere hvilke persondata du har lagret, bearbeider, hvor den kom fra og med hvem du deler denne informasjonen med.

Hvis du har unøyaktig personopplysninger og har delt dette med en annen organisasjon, krever GDPR at du fortelle disse om den oppdagede feilen slik at også disse kan rette sine egne kopier av dataene. Dette kan kreve revidering av informasjonslageret i hele organisasjonen eller for definerte områder. Dette vil også bistå din organisasjon i å overholde ansvarlighetsprinsippet i GDPRS.

Under GDPR regelverket bør du undersøke hvordan organisasjonen behandler personopplysninger og kunne vise til det rettslige grunnlaget for hvordan du dokumenterer og utfører disse prosessene.
Dette er nødvendig ettersom andres rettigheter blir med GDPR, avhengig av din organisasjons rettslige grunnlag for behandling av deres persondata. Et eksempel er at folk vil ha sterkere rett til å ha sine data slettet der du bruker samtykke som din hjemmel for behandling. Imidlertid er det viktig å huske at samtykke er bare ett av en rekke forskjellige måter å legitimere behandling og kan være den minst egnede metoden (ettersom samtykket kan trekkes).

The information presented on this webpage does not constitute a legal opinion, and users should not rely on its accuracy when making financial or business decisions. ESET will not be liable for outcomes resulting from such actions. Always seek independent legal advice.

Bli med på vårt GDPR webinar

Snakk med våre eksperter om hvordan de nye GPDR reglene vil påvirke din bedrift. ESET arrangerer webinarer som forklarer utfordringene rundt GDPR. Webinarene er helt gratis, bare registrer deg under og vi sender deg en invitasjon.

Nearly 80% of companies are not ready for GDPR

A new survey conducted by independent analysts IDC has found that most European SMBs are unprepared for the GDPR. IDC surveyed IT professionals at more than 700 businesses. It found that understanding of the new regulation remains low.

For more details- and to find out more about the GDPR for yourself – get the full IDC report, courtesy of ESET:

Understanding of GDPR impact

25% none | 52% limited | 22% full

Vi bruker cookies for å gi deg den beste opplevelsen på våre nettsider. Mer informasjon.

OK