Tjekliste for overholdelse af GDPR – IBM Blog

Den generelle databeskyttelsesforordning (GDPR) er en EU-lov, der regulerer, hvordan organisationer indsamler og bruger Personlig data. Enhver virksomhed, der opererer i EU eller håndterer EU-indbyggeres data, skal overholde GDPR-kravene.

Overholdelse af GDPR er dog ikke nødvendigvis en ligetil sag. Loven skitserer et sæt af databeskyttelse rettigheder for brugere og en række principper for behandling af personoplysninger. Organisationer skal opretholde disse rettigheder og principper, men GDPR giver et vist rum for hver virksomhed til at bestemme hvordan.

Indsatsen er høj, og GDPR pålægger betydelige sanktioner for manglende overholdelse. De alvorligste overtrædelser kan føre til bøder på op til EUR 20,000,000 eller 4 % af organisationens globale globale omsætning i det foregående år. GDPR-regulatorer kan også afslutte ulovlige databehandlingsaktiviteter og tvinge organisationer til at foretage ændringer.

Tjeklisten nedenfor dækker de centrale GDPR-regler. Hvordan en organisation opfylder disse regler vil afhænge af dens unikke omstændigheder, herunder den slags data, den indsamler, og hvordan den bruger disse data.

Grundlæggende GDPR

GDPR gælder for enhver organisation baseret i Det Europæiske Økonomiske Samarbejdsområde (EØS). EØS omfatter alle 27 EU-lande plus Island, Liechtenstein og Norge.

GDPR gælder også for organisationer uden for EØS, hvis:

• Virksomheden tilbyder jævnligt varer eller tjenesteydelser til EØS-boende, selvom der ikke veksles penge.
• Virksomheden overvåger regelmæssigt EØS-borgeres aktivitet, f.eks. ved at bruge sporingscookies.
• Virksomheden behandler data på vegne af en virksomhed baseret i EØS.

GDPR gælder ikke kun for virksomheder, der bruger kundedata til kommercielle formål. Det gælder for næsten enhver organisation, der behandler EØS-boers data til ethvert formål. Skoler, hospitaler og offentlige myndigheder falder alle ind under GDPR-myndigheden.

De eneste databehandlingsaktiviteter, der er undtaget fra GDPR, er national sikkerhed eller retshåndhævelsesaktiviteter og rent personlig brug af data.

Nyttige definitioner

GDPR bruger en bestemt terminologi. For at forstå overholdelseskrav skal organisationer forstå, hvad disse udtryk betyder i denne sammenhæng.

GDPR definerer Personlig data som enhver information vedrørende et identificerbart menneske. Alt fra e-mailadresser til politiske holdninger tæller som persondata.

A registreret er det menneske, der ejer dataene. Sagt på en anden måde er det den person, dataene vedrører. Lad os sige, at en virksomhed indsamler telefonnumre for at sende marketingbeskeder via SMS. Ejerne af disse telefonnumre ville være registrerede.

Når GDPR henviser til registrerede, betyder det registrerede, der er bosat i EØS. Emner behøver ikke at være EU-borgere for at have databeskyttelsesrettigheder i henhold til GDPR. De skal blot være bosiddende i EØS.

A dataansvarlig er enhver organisation, gruppe eller person, der indhenter personlige data og bestemmer, hvordan de bruges. For at vende tilbage til et tidligere eksempel, ville en virksomhed, der indsamler telefonnumre til markedsføringsformål, være en controller. 

Databehandling er enhver handling udført på data, herunder indsamling, lagring eller analyse af dem. EN databehandler er enhver organisation eller aktør, der udfører sådanne handlinger.

En virksomhed kan være både en controller og en processor, ligesom en virksomhed, der både indsamler telefonnumre og bruger dem til at sende marketingbeskeder. Behandlere omfatter også tredjeparter, der behandler data på vegne af controllere, såsom en cloud-lagringstjeneste, der er vært for en telefonnummerdatabase for en anden virksomhed.

Tilsynsmyndigheder er de regulerende organer, der håndhæver GDPR-krav. Hvert EØS-land har sin egen tilsynsmyndighed.

Udforsk datasikkerheds- og beskyttelsesløsninger

Tjeklisten for overholdelse af GDPR

På et højt niveau er en organisation GDPR-kompatibel, hvis den:

• Overholder databehandlingsprincipperne
• Varetager de registreredes rettigheder
• Anvender passende datasikkerhedsforanstaltninger
• Følger reglerne for dataoverførsler og datadeling

Følgende tjekliste opdeler disse krav yderligere. De praktiske skridt en organisation tager for at opfylde disse krav vil blandt andet afhænge af dens placering, ressourcer og databehandlingsaktiviteter.

Databehandlingsprincipper

GDPR opretter et sæt principper, som organisationer skal følge, når de behandler personoplysninger. Principperne er som følger.

Organisationen har et lovligt grundlag for at behandle data.

GDPR definerer de omstændigheder, hvorunder virksomheder lovligt kan behandle personoplysninger. En organisation skal etablere og dokumentere sit juridiske grundlag, før den indsamler data. Organisationen skal kommunikere dette grundlag til brugerne på tidspunktet for dataindsamlingen. Det kan ikke ændre grundlaget efter kendsgerningen, medmindre det har brugerens samtykke til at gøre det.

De mulige lovlige grundlag omfatter:

• Organisationen har subjektets samtykke til at behandle deres data. Bemærk, at brugersamtykke kun er gyldigt, hvis det er informeret, bekræftende og frit givet.
  • Informeret samtykke betyder, at virksomheden tydeligt forklarer, hvilke data den indsamler, og hvordan den vil bruge disse data.
  • Bekræftende samtykke betyder, at brugeren skal foretage en forsætlig handling for at vise samtykke, såsom ved at underskrive en erklæring eller markere en boks. Samtykke kan ikke være standardindstillingen.
  • Frit givet samtykke betyder, at virksomheden ikke forsøger at påvirke eller tvinge den registrerede. Forsøgspersonen skal til enhver tid kunne trække sit samtykke tilbage.

• Organisationen har en juridisk forpligtelse til at behandle dataene.

• Organisationen skal behandle dataene for at beskytte den registreredes eller en anden persons liv.

• Organisationen behandler data af hensyn til den offentlige interesse, såsom journalistik eller folkesundhed.

• Organisationen er en offentlig myndighed, der behandler data for at udføre en officiel funktion.

• Organisationen behandler dataene for at forfølge en legitim interesse.
  • A legitim interesse er en fordel, den dataansvarlige eller en anden part kunne opnå ved at behandle dataene. Eksempler inkluderer at udføre baggrundstjek af medarbejdere eller sporing af IP-adresser på et virksomhedsnetværk for cybersikkerhed formål. For at påberåbe sig et legitimt interessegrundlag skal organisationen bevise, at behandlingen er nødvendig og ikke krænker forsøgspersoners rettigheder. 

Organisationen indsamler data til et bestemt formål og bruger dem kun til det formål.

Ifølge GDPR-princippet om formålsbegrænsning skal registeransvarlige have et identificeret og dokumenteret formål med at indsamle data. Den dataansvarlige skal kommunikere dette formål til brugerne på indsamlingsstedet, og den kan kun bruge dataene til dette navngivne formål.

Organisationen indsamler kun den minimale mængde data, der er nødvendig.

Dataansvarlige kan kun indsamle den mindste mængde data, der er nødvendig for at opfylde deres erklærede formål.

Organisationen holder data nøjagtige og opdaterede.

Dataansvarlige skal tage rimelige skridt for at sikre, at de personlige data, de har, er nøjagtige og aktuelle. 

Organisationen sletter data, når det ikke længere er nødvendigt.

GDPR kræver strenge dataopbevarings- og sletningspolitikker. Virksomheder kan kun opbevare data, indtil det angivne formål med at indsamle disse data er opfyldt, og de skal slette dataene, når de ikke længere har brug for dem.

Organisationen tager ekstra forholdsregler ved behandling af børns data eller særlige kategoridata.

Dataansvarlige og databehandlere skal anvende yderligere beskyttelse af visse typer af personoplysninger.

Speciel kategori data omfatter meget følsomme data som en persons race og biometri. Organisationer kan kun behandle særlige kategoridata under meget begrænsede omstændigheder, såsom for at forhindre alvorlige trusler mod folkesundheden. Virksomheder kan også behandle særlige kategoridata med subjektets udtrykkelige samtykke.

Data om straffedom kan kun kontrolleres af offentlige myndigheder. Databehandlere kan kun behandle disse oplysninger efter en offentlig myndigheds anvisning.

Dataansvarlige skal indhente en forælders samtykke før behandlingen børns data. De skal tage rimelige skridt for at verificere forsøgspersonernes alder og forældrenes identitet. Hvis der indsamles data fra børn, skal de registeransvarlige fremlægge fortrolighedsmeddelelser på et børnevenligt sprog.

Hver EØS-stat fastsætter sin egen definition af "barn" under GDPR. Disse spænder fra "alle under 13 år" til "alle under 16 år." 

Organisationen dokumenterer alle databehandlingsaktiviteter.

Organisationer med mere end 250 ansatte skal føre fortegnelser over databehandling. Organisationer med mindre end 250 ansatte skal føre optegnelser, hvis de behandler meget følsomme data, behandler data regelmæssigt eller behandler data på en måde, der udgør en væsentlig risiko for de registrerede.

Controllere skal dokumentere ting som de data, de indsamler, hvad de gør med disse data, dataflowkort og datasikkerhedsforanstaltninger. Databehandlere skal dokumentere de dataansvarlige, som de arbejder for, hvilke typer behandlinger de udfører for hver dataansvarlig og de sikkerhedskontroller, de bruger.

Den registeransvarlige er i sidste ende ansvarlig for at sikre overholdelse. 

I henhold til GDPR påhviler det ultimative ansvar for overholdelse af dataansvarlige. Dette betyder, at den dataansvarlige skal sikre – og være i stand til at bevise – at dens tredjepartsdatabehandlere opfylder alle relevante GDPR-krav. 

Registreredes rettigheder

GDPR giver de registrerede visse rettigheder over deres data. Dataansvarlige og databehandlere skal respektere disse rettigheder.

Organisationen tilbyder registrerede nemme måder at udøve deres rettigheder på.

Organisationer skal give de registrerede et enkelt middel til at hævde deres rettigheder over deres data. Disse rettigheder omfatter:

• Retten til adgang: Forsøgspersoner skal kunne anmode om og modtage kopier af deres data samt relevant information om, hvordan virksomheden bruger dataene.

• Retten til berigtigelse: Forsøgspersoner skal kunne rette eller opdatere deres data.

• Retten til sletning: Forsøgspersoner skal kunne anmode om sletning af deres data. 

• Retten til at begrænse behandlingen: Forsøgspersoner skal kunne begrænse, hvordan deres data bruges, hvis de har mistanke om, at dataene er unøjagtige, ikke længere nødvendige eller misbruges. 

• Retten til at gøre indsigelse: Forsøgspersoner skal kunne gøre indsigelse mod behandlingen. Forsøgspersoner, der tidligere har givet deres samtykke, skal til enhver tid nemt kunne trække det tilbage.

• Retten til dataportabilitet: Forsøgspersoner har ret til at overføre deres data, og dataansvarlige og databehandlere skal lette disse overførsler.

Generelt skal organisationer svare på alle anmodninger om adgang til registrerede inden for 30 dage. Virksomheder skal typisk efterkomme et forsøgspersons anmodning, medmindre virksomheden kan bevise, at den har en legitim, tvingende grund til at lade være.

Hvis en organisation afviser en anmodning, skal den forklare hvorfor. Organisationen skal også fortælle forsøgspersonen, hvordan man anker afgørelsen til virksomhedens databeskyttelsesansvarlige eller den relevante tilsynsmyndighed.

Organisationen tilbyder registrerede en måde at bestride automatiserede beslutninger på.

I henhold til GDPR har registrerede ret til ikke at være bundet af automatiserede beslutningsprocesser, som kan have en væsentlig indvirkning på dem. Dette inkluderer profilering, som GDPR definerer som at bruge automatisering til at evaluere nogle aspekter af en person, såsom at forudsige deres arbejdsindsats.

Hvis en organisation bruger automatiserede beslutninger, skal den give de registrerede en måde at anfægte disse beslutninger. Forsøgspersoner kan også anmode om, at en menneskelig medarbejder gennemgår alle automatiske beslutninger, der påvirker dem.

Organisationen er gennemsigtig omkring, hvordan den bruger persondata.

Dataansvarlige og databehandlere skal proaktivt og klart informere de registrerede om databehandlingsaktiviteter, herunder de data, de indsamler, hvad de gør med dem, og hvordan subjekter kan udøve deres rettigheder over data.

Disse oplysninger skal typisk kommunikeres gennem en fortrolighedserklæring, der præsenteres for emnet under dataindsamlingen. Hvis virksomheden ikke indsamler personoplysninger direkte fra forsøgspersoner, skal der sendes meddelelser om privatliv til forsøgspersonerne inden for en måned. Virksomheder kan også inkludere disse detaljer i privatlivspolitikker, der er offentligt tilgængelige på deres websteder. 

Databeskyttelse og beskyttelsesforanstaltninger

GDPR kræver, at dataansvarlige og databehandlere tager skridt til at forhindre misbrug af personoplysninger og beskytte de registrerede mod skade.

Organisationen har implementeret passende cybersikkerhedskontroller.

Controllere og processorer skal implementeres sikkerhedsforanstaltninger for at beskytte fortroligheden og integriteten af ​​personlige data. GDPR kræver ingen særlige kontroller, men den siger, at virksomheder skal træffe både tekniske og organisatoriske foranstaltninger.

Tekniske foranstaltninger omfatte teknologiske løsninger, som f.eks identitets- og adgangsstyring (IAM) platforme, automatiserede sikkerhedskopier og datasikkerhedsværktøjer. Mens GDPR ikke udtrykkeligt giver mandat kryptering data, anbefaler det, at organisationer bruger pseudonymisering og anonymisering, hvor det er muligt.

Organisatoriske foranstaltninger omfatte medarbejderuddannelse, løbende risikovurderinger og andre sikkerhedspolitikker og -processer. Virksomheder skal også følge princippet om databeskyttelse ved design og som standard, når de opretter eller implementerer nye systemer og produkter.

Organisationen udfører databeskyttelseskonsekvensvurderinger (DPIA'er) efter behov.

Hvis en virksomhed planlægger at behandle data på en måde, der udgør en høj risiko for personers rettigheder, skal den først gennemføre en databeskyttelseskonsekvensvurdering (DPIA). Behandlingstyper, der kan udløse en DPIA, omfatter blandt andet automatiseret profilering og storstilet behandling af særlige kategorier af personoplysninger.

En DPIA skal beskrive de anvendte data, den påtænkte behandling og formålet med behandlingen. Den skal identificere risici ved behandling og måder at mindske disse risici på. Hvis der eksisterer en betydelig ubegrænset risiko, skal organisationen konsultere en tilsynsmyndighed, før den går videre.

Organisationen har udpeget en databeskyttelsesansvarlig (DPO), hvis det er nødvendigt.

En organisation skal udpege en databeskyttelsesansvarlig (DPO), hvis den overvåger emner i stor skala eller behandler særlige kategoridata som en kerneaktivitet. Alle offentlige myndigheder skal også udpege DPO'er.

DPO'en er ansvarlig for at sikre, at organisationen forbliver GDPR-kompatibel. Nøgleopgaver omfatter koordinering med databeskyttelsesmyndigheder, rådgivning af organisationen om GDPR-krav og tilsyn med DPIA'er.

DPO'en skal være en uafhængig medarbejder, der rapporterer direkte til det højeste ledelsesniveau. Organisationen kan ikke gøre gengæld mod DPO'en for at udføre deres opgaver.

Organisationen underretter tilsynsmyndigheder og registrerede, når der opstår databrud.

Organisationer skal rapportere det meste brud på persondatasikkerheden til den relevante tilsynsmyndighed inden for 72 timer. Hvis bruddet udgør en risiko for registrerede, skal organisationen også underrette de registrerede. Organisationer skal underrette forsøgspersoner direkte, medmindre direkte kommunikation ville være urimelig, i hvilket tilfælde en offentlig meddelelse er acceptabel.

Databehandlere, der lider af et brud, skal underrette de relevante dataansvarlige uden unødig forsinkelse.

Hvis organisationen befinder sig uden for EØS, har organisationen udpeget en repræsentant i EØS.

Enhver virksomhed uden for EØS, der regelmæssigt behandler EØS-boers data eller behandler særligt følsomme data, skal udpege en repræsentant inden for EØS. Repræsentanten koordinerer med offentlige myndigheder på vegne af virksomheden og fungerer som kontaktpunkt i forhold til GDPR-overholdelse.

Dataoverførsler og datadeling

GDPR sætter regler for, hvordan organisationer deler persondata med andre virksomheder inden for og uden for EØS.

Organisationen anvender formelle databehandleraftaler til at styre forholdet til databehandlere.

En dataansvarlig kan dele personoplysninger med databehandlere og andre tredjeparter, men disse forhold skal være reguleret af formelle databehandleraftaler. Disse aftaler skal skitsere alle parters rettigheder og ansvar i forhold til GDPR.

Tredjepartsdatabehandlere kan kun behandle data i henhold til den dataansvarliges anvisninger. De kan ikke bruge en dataansvarligs data til deres egne formål. En databehandler skal indhente godkendelse fra den dataansvarlige før deling af data med en underdatabehandler.

Organisationen udfører kun godkendte dataoverførsler uden for EØS.

En dataansvarlig kan kun dele data med en tredjepart uden for EØS, hvis dataoverførslen opfylder mindst et af følgende kriterier:

• Europa-Kommissionen har vurderet, at databeskyttelseslovene i det land, hvor tredjeparten befinder sig, er passende.
• Europa-Kommissionen har vurderet, at tredjeparten har tilstrækkelige databeskyttelsespolitikker og kontroller.
• Den registeransvarlige har taget alle de nødvendige skridt for at sikre sikkerheden og privatlivets fred for de data, der overføres.

Udforsk løsninger til overholdelse af GDPR

Overholdelse af GDPR er en løbende proces, og en organisations krav kan ændre sig, efterhånden som den indsamler nye data og engagerer sig i nye former for behandlingsaktiviteter.

Datasikkerheds- og overholdelsesløsninger som IBM Security® Guardium® kan hjælpe med at strømline processen med at nå – og vedligeholde – GDPR-overholdelse. Guardium kan automatisk opdage GDPR-regulerede data, håndhæve overholdelsesregler for disse data, overvåge databrug og give organisationer mulighed for at reagere på trusler mod datasikkerheden.

Lær mere om IBM's suite af datasikkerheds- og overholdelsesprodukter.