Innholdsfortegnelse
Hva er GDPR?
Nå har dere sikkert alle hørt begrepet GDPR . Frem til 25. mai 2018 var retningslinjene rundt personopplysninger, i forhold til personvern, litt uønskede. Databeskyttelsesdirektivet (1995) ga noen grunnleggende retningslinjer, men det var rett og slett ikke godt nok.
Vi har alltid vært interessert i GDPR, da mange av VPN-ene vi har gjennomgått har måttet gjøre alvorlige endringer i måten de opererer på, inkludert noen av de store aktørene som Avast og NordVPN .
Overvåking og deling av informasjon er nå dekket av General Data Protection Regulation (GDPR). Dette har som mål å sikre at informasjon håndteres ansvarlig, av ethvert selskap som driver med personlig informasjon og personvern.
I følge ICO er det 7 nøkkelprinsipper som GDPR fastsetter . Disse er:
- Lovlighet, rettferdighet og åpenhet
- Formålsbegrensning
- Dataminimering
- Nøyaktighet
- Lagringsbegrensning
- Integritet og konfidensialitet (sikkerhet)
- Ansvarlighet
Prinsippene som er skissert er ikke regler som sådan, men mer en oversikt over grunnleggende prinsipper som bør følges når man skaper god databeskyttelsespraksis. Hvis enkeltpersoner eller selskaper ikke overholder prinsippene, kan de bli bøtelagt med opptil €20 millioner, eller 4 % av din totale årlige omsetning på verdensbasis (det som er høyest).
Hva var før GDPR?
GDPR brukes i hele Europa , og hvert land har sin egen kontroll med hensyn til visse aspekter av reguleringen. Storbritannia har implementert Data Protection Act (2018) som erstatter 1998 Data Protection Act.
Den nye loven ble vedtatt gjennom House of Commons og House of Lords kort før GDPR trådte i kraft .
Innvirkning på virksomheter
Enten du er en enkeltperson, organisasjon eller bedrift, kan du bli stemplet som en “kontrollør” eller “behandler” av personopplysninger. Informasjonskommissæren (ICO) skisserer nøyaktig hva forskjellen er mellom kontrollører og prosessorer.
Bedrifter som overvåker eller innhenter personopplysninger i stor skala, bør ansette en databeskyttelsesansvarlig (DPO). Offiserens rolle bør sikre at det aktuelle selskapet overholder GDPR. Eventuelle spørsmål eller forespørsler angående databeskyttelse bør rettes til dem.
GDPR gjelder for virksomheter som behandler personopplysninger om EU-borgere. Dette er tilfellet selv med virksomheter som sysselsetter mindre enn 250 ansatte. Som tidligere nevnt, bør ethvert brudd som kan påvirke rettighetene til registrerte personer rapporteres til Information Commissioner’s Office (ICO).
Hvis det er mulig, bør et brudd loggføres og rapporteres innen 24 timer, eller maksimalt 72 timer. Detaljer om bruddet og hvordan det skal inneholdes og løses, må skisseres til ICO.
GDPR vil gi enkeltpersoner kontroll over hvordan bedrifter bruker dataene deres. Dette gjelder også for virksomheter som allerede har dataene dine. For eksempel vil enkeltpersoner ha ‘rett til å bli glemt’. Så hvis du er en kunde og ikke lenger ønsker at en bedrift skal holde dine personopplysninger, har du en juridisk rett til å trekke tilbake dataene dine.
Nyttig sjekkliste for små bedrifter
GDPR er utvilsomt forvirrende, og forståelig nok ganske stressende! Jeg tenkte det ville være relevant å sette sammen en sjekkliste for britiske småbedrifter slik at du vet hva du kan forvente, og hva som forventes av deg.
Din GDPR-sjekkliste for småbedrifter bør vurdere tidligere og nåværende ansatte, leverandører og kunder. Den bør også vurdere alle data som du behandler, samler inn, lagrer eller registrerer og bruker på noen måte.
1| Forstå dataene dine
Du må forstå og demonstrere din forståelse av typene personopplysninger du og/eller din bedrift har. For eksempel navn, adresser, IP-adresser, bankdetaljer osv. Dette inkluderer også sensitive data som religiøse synspunkter og helsedetaljer. Du må demonstrere at du forstår hvor de kommer fra og hvordan du vil bruke slike data.
2| Tenk på samtykke
Krever virksomheten din samtykke for å behandle personopplysninger? Noen markedsføringsteknikker krever samtykke, noe som gjør ting mye vanskeligere under GDPR. Samtykke må være ekstremt klart og spesifikt, så med mindre du vet 100 % hva du gjør, kan det være verdt å unngå behovet for å stole på samtykke med mindre det er avgjørende for forretningsmodellen din.
3| Vurder sikkerhetstiltak
Dine sikkerhetstiltak og retningslinjer som er på plass må oppdateres for å være i samsvar med GDPR. Dessuten, hvis du ikke har noen på plass allerede, bør du få dem ganske raskt! Selv om det er mer spesifikke krav til sikkerhet , kan du bruke kryptering som en generell forholdsregel.
4| Emnets tilgangsrettigheter
Enkeltpersoner har rett til tilgang til sine personopplysninger . Du må sørge for at bedriften din er klar til å gi denne informasjonen innen kort tid om nødvendig. Enkeltpersoner kan ønske å innhente sine personlige data for å rette opp eventuelle problemer, ganske enkelt for å ha dem, eller de kan ønske å slette dem helt. Alle forespørsler har en tidsramme på én måned.
5| Lær opp ansatte
Ansatte i virksomheten din bør få opplæring i personopplysninger. De må forstå hva som utgjør personopplysninger, samt prosesser for å identifisere eventuelle datainnbrudd. Ansatte bør være klar over hvem din Data Protection Officer (DPO) er, og eventuelle team eller enkeltpersoner som er relatert til eller responsive for overholdelse av databeskyttelse.
6| Forsyningskjede
Alle leverandører og entreprenører i virksomheten din må være GDPR-kompatible. Dette er for å sikre at de ikke kommer til å forårsake brudd og gi deg straffer eller bøter. Du må sørge for at kontraktene dine med leverandørene dine også er oppdatert, så sørg for at du får en kopi av dette.
7| Rettferdig behandling
Som en del av GDPR må du nå kunne forklare enkeltpersoner hva du bruker personopplysningene deres til. Dette burde ikke være en vanskelig oppgave eller en å bekymre seg for hvis du bruker dataene deres rettferdig og riktig.
8| Databeskyttelsesansvarlig
Det er på tide å bestemme om du trenger å ansette en DPO eller ikke. Små bedrifter er sannsynligvis unntatt, men større bedrifter kanskje ikke. Det er verdt å sjekke ut for å sikre at du ikke bryter noen GDPR-regler.
Definere samtykke
Som enkeltperson er du kanskje kjent med forhåndsavkryssede bokser når du registrerer deg for nettkontoer, kjøper produkter, registrerer deg for nyhetsbrev osv. Disse boksene var ofte forhåndsavkrysset og noe skjult, noe som ga bedrifter tilgang til dine personlige data. Nå er tiden borte da vi ble bombardert av uønskede markedsførings-e-poster og tilfeldige telefonsamtaler.
Samtykke er omdefinert under de nye GDPR-reglene. Borte er dagene med liten skrift og skjulte meldinger der enkeltpersoner “tilfeldigvis” eller ufrivillig registrerer seg for markedsførings-e-poster, tekstmeldinger osv. Retningslinjer må gjøres helt klart nå og presenteres på en slik måte.
Reglene rundt forhåndseksisterende personopplysninger er litt annerledes. Du kan ikke kreve samtykke for dette, men det må være et juridisk grunnlag som er i samsvar med Data Protection Act (DPA). Det viktigste her er å huske at disse lovene gjelder for bedrifter og forbrukere!
Rett til innsyn
Rett til tilgang (eller subjekttilgang) gir en person rett til å få sine egne personopplysninger. Rett til innsyn gir enkeltpersoner muligheten til å forstå hvordan dataene deres brukes og hvorfor dataene deres brukes på en slik måte. Dette sikrer at dataene deres blir brukt på en lovlig måte.
Enkeltpersoner har rett til å innhente visse opplysninger fra selskaper, som inkluderer:
- en kopi av en persons personopplysninger
- bekreftelse på at en persons personopplysninger blir behandlet
- tilleggsinformasjon (tilsvarer hovedsakelig informasjon gitt i en personvernerklæring)
En person har som vi vet rett til sine egne personopplysninger. De har imidlertid ikke krav på informasjon om andre personer. På den annen side, hvis informasjonen de prøver å innhente handler om dem så vel som noen andre, er dette akseptabelt.
Som enkeltperson anbefales det at du undersøker om informasjonen du ber om er definert som personopplysninger eller ikke. Du kan sjekke for å se hva som er klassifisert som personopplysninger (for å være sikker) her .
Er jeg en databehandler eller databehandler?
GDPR gjelder for behandlingsansvarlige og databehandlere, men hva betyr dette egentlig? Databehandlere refererer til operasjoner utført på data, så når data lagres, samles inn, registreres, deles osv. Behandlingsansvarlige er også databehandlere, forskjellen er at de bestemmer hva formålet eller årsaken til behandlingen av dataaktiviteter faktisk er.
Databehandlere
Som databehandler er det juridiske forpliktelser som GDPR krever at du gjør:
- Hold og oppretthold oppdaterte personopplysninger. Dette inkluderer å skissere detaljene om behandlingsaktiviteter og kategorier av registrerte. Kategorier refererer til kunder, ansatte, leverandører og typer behandling – overføring, mottak, avsløring osv.
- Oppbevar og oppretthold informasjon om overføring til land som er utenfor Det europeiske økonomiske samarbeidsområdet (EØS)
- Implementere og vedlikeholde sikkerhetstiltak som er hensiktsmessige, f.eks. kryptering
Hvis en databehandler er ansvarlig for et databrudd, vil de ha mye mer juridisk ansvar sammenlignet med DPA. Enkeltpersoner kan rette et direkte krav mot databehandleren, så det er viktig at du forstår ditt ansvar som ett.
Datakontrollører
Som behandlingsansvarlig er du også av natur databehandler. De samme GDPR-kravene gjelder derfor. Imidlertid er GDPR-forpliktelsene pålagt deg og din virksomhet for å sikre at kontrakter med prosessorer er kompatible og standarder oppfylles.