Sjekkliste for GDPR-samsvar – IBM Blog

General Data Protection Regulation (GDPR) er en EU-lov som styrer hvordan organisasjoner samler inn og bruker personlig informasjon. Ethvert selskap som opererer i EU eller håndterer data fra EU-innbyggere, må overholde GDPR-kravene.

Overholdelse av GDPR er imidlertid ikke nødvendigvis en enkel sak. Loven skisserer et sett med personvern rettigheter for brukere og en rekke prinsipper for behandling av personopplysninger. Organisasjoner må opprettholde disse rettighetene og prinsippene, men GDPR gir et visst rom for hvert selskap til å bestemme hvordan.

Innsatsen er høy, og GDPR pålegger betydelige straffer for manglende overholdelse. De alvorligste bruddene kan føre til bøter på opptil 20,000,000 4 XNUMX EUR eller XNUMX % av organisasjonens globale globale omsetning året før. GDPR-regulatorer kan også avslutte ulovlige databehandlingsaktiviteter og tvinge organisasjoner til å gjøre endringer.

Sjekklisten nedenfor dekker de viktigste GDPR-regelverket. Hvordan en organisasjon oppfyller disse forskriftene vil avhenge av dens unike omstendigheter, inkludert hva slags data den samler inn og hvordan den bruker disse dataene.

Grunnleggende om GDPR

GDPR gjelder for enhver organisasjon basert i Det europeiske økonomiske samarbeidsområdet (EØS). EØS omfatter alle de 27 EU-landene pluss Island, Liechtenstein og Norge.

GDPR gjelder også for organisasjoner utenfor EØS hvis:

• Selskapet tilbyr jevnlig varer eller tjenester til innbyggere i EØS, selv om det ikke byttes penger.
• Selskapet overvåker regelmessig aktiviteten til EØS-innbyggere, for eksempel ved å bruke sporingsinformasjonskapsler.
• Selskapet behandler data på vegne av et selskap basert i EØS.

GDPR gjelder ikke bare for virksomheter som bruker kundedata til kommersielle formål. Den gjelder for nesten alle organisasjoner som behandler EØS-innbyggeres data til ethvert formål. Skoler, sykehus og offentlige etater faller alle inn under GDPR-myndighet.

De eneste databehandlingsaktivitetene som er unntatt fra GDPR er nasjonal sikkerhet eller rettshåndhevelsesaktiviteter og rent personlig bruk av data.

Nyttige definisjoner

GDPR bruker noen spesifikk terminologi. For å forstå samsvarskrav, må organisasjoner forstå hva disse begrepene betyr i denne sammenhengen.

GDPR definerer personlig informasjon som all informasjon knyttet til et identifiserbart menneske. Alt fra e-postadresser til politiske meninger teller som personopplysninger.

A den registrerte er mennesket som eier dataene. Sagt på en annen måte, det er personen dataene gjelder. La oss si at et selskap samler inn telefonnumre for å sende markedsføringsmeldinger via SMS. Eierne av disse telefonnumrene vil være datasubjekter.

Når GDPR refererer til registrerte, betyr det registrerte som er bosatt i EØS. Emner trenger ikke være EU-borgere for å ha personvernrettigheter i henhold til GDPR. De trenger bare å være innbyggere i EØS.

A behandlingsansvarlig er enhver organisasjon, gruppe eller person som innhenter personopplysninger og bestemmer hvordan de brukes. For å gå tilbake til et tidligere eksempel, vil et selskap som samler inn telefonnumre for markedsføringsformål være en kontroller. 

Databehandling er enhver handling som gjøres mot data, inkludert innsamling, lagring eller analyse av dem. EN databehandler er enhver organisasjon eller aktør som utfører slike handlinger.

Et selskap kan være både en behandlingsansvarlig og en prosessor, som et selskap som både samler inn telefonnumre og bruker dem til å sende markedsføringsmeldinger. Behandlere inkluderer også tredjeparter som behandler data på vegne av kontrollører, for eksempel en skylagringstjeneste som er vert for en telefonnummerdatabase for en annen virksomhet.

Tilsynsmyndigheter er reguleringsorganene som håndhever GDPR-kravene. Hvert EØS-land har sin egen tilsynsmyndighet.

Utforsk løsninger for datasikkerhet og beskyttelse

Sjekklisten for GDPR-samsvar

På et høyt nivå er en organisasjon GDPR-kompatibel hvis den:

• Følger databehandlingsprinsippene
• Ivaretar de registrertes rettigheter
• Bruker passende datasikkerhetstiltak
• Følger reglene for dataoverføring og datadeling

Følgende sjekkliste bryter disse kravene ytterligere ned. De praktiske trinnene en organisasjon tar for å oppfylle disse kravene vil blant annet avhenge av lokalisering, ressurser og databehandlingsaktiviteter.

Databehandlingsprinsipper

GDPR oppretter et sett med prinsipper organisasjoner må følge når de behandler personopplysninger. Prinsippene er som følger.

Organisasjonen har et lovlig grunnlag for å behandle data.

GDPR definerer omstendighetene som selskaper lovlig kan behandle personopplysninger under. En organisasjon må etablere og dokumentere sitt juridiske grunnlag før den samler inn data. Organisasjonen må formidle dette grunnlaget til brukerne ved datainnsamlingen. Den kan ikke endre grunnlaget i etterkant med mindre den har brukerens samtykke til å gjøre det.

De mulige lovlige grunnlagene inkluderer:

• Organisasjonen har subjektets samtykke til å behandle deres data. Merk at brukersamtykke kun er gyldig hvis det er informert, bekreftende og fritt gitt.
  • Informert samtykke betyr at selskapet tydelig forklarer hvilke data det samler inn og hvordan det vil bruke disse dataene.
  • Bekreftende samtykke betyr at brukeren må ta en forsettlig handling for å vise samtykke, for eksempel ved å signere en erklæring eller merke av i en boks. Samtykke kan ikke være standardalternativet.
  • Fritt gitt samtykke betyr at selskapet ikke forsøker å påvirke eller tvinge den registrerte. Observanden må når som helst kunne trekke tilbake sitt samtykke.

• Organisasjonen har en juridisk forpliktelse til å behandle dataene.

• Organisasjonen må behandle dataene for å beskytte livet til den registrerte eller en annen person.

• Organisasjonen behandler data av hensyn til allmennheten, for eksempel journalistikk eller folkehelse.

• Organisasjonen er en offentlig myndighet som behandler data for å utføre en offisiell funksjon.

• Organisasjonen behandler dataene for å forfølge en legitim interesse.
  • A legitim interesse er en fordel den behandlingsansvarlige eller en annen part kan oppnå ved å behandle dataene. Eksempler inkluderer å utføre bakgrunnssjekker av ansatte eller spore IP-adresser på et bedriftsnettverk for Cybersecurity formål. For å kreve et berettiget interessegrunnlag må organisasjonen bevise at behandlingen er nødvendig og ikke krenker subjekters rettigheter. 

Organisasjonen samler inn data for et bestemt formål og bruker dem kun til det formålet.

I henhold til GDPR-prinsippet om formålsbegrensning skal behandlingsansvarlige ha et identifisert og dokumentert formål for å samle inn data. Den behandlingsansvarlige må kommunisere dette formålet til brukerne ved innsamlingspunktet, og den kan kun bruke dataene til dette navngitte formålet.

Organisasjonen samler bare inn den minste mengden data som er nødvendig.

Behandlingsansvarlige kan bare samle inn den minste mengden data som er nødvendig for å oppfylle deres uttalte formål.

Organisasjonen holder data nøyaktige og oppdaterte.

Behandlingsansvarlige må ta rimelige skritt for å sikre at personopplysningene de har er nøyaktige og oppdaterte. 

Organisasjonen sletter data når de ikke lenger er nødvendige.

GDPR krever strenge retningslinjer for oppbevaring og sletting av data. Bedrifter kan bare beholde data til det spesifiserte formålet for innsamling av data er oppfylt, og de må slette dataene når de ikke lenger trenger dem.

Organisasjonen tar ekstra forholdsregler ved behandling av barnedata eller spesialkategoridata.

Behandlingsansvarlige og databehandlere må anvende tilleggsbeskyttelse for visse typer personopplysninger.

Spesiell kategori data inkluderer svært sensitive data som en persons rase og biometri. Organisasjoner kan kun behandle spesialkategoridata i svært begrensede omstendigheter, for eksempel for å forhindre alvorlige trusler mot folkehelsen. Bedrifter kan også behandle spesielle kategoridata med subjektets uttrykkelige samtykke.

Data om straffedommer kan kun kontrolleres av offentlige myndigheter. Behandlere kan kun behandle denne informasjonen etter en offentlig myndighets anvisning.

Kontrollører må innhente samtykke fra en forelder før behandling barns data. De må ta rimelige skritt for å bekrefte alderen til forsøkspersonene og identiteten til foreldrene. Ved innsamling av data fra barn, må behandlingsansvarlige presentere personvernerklæringer på barnevennlig språk.

Hver EØS-stat setter sin egen definisjon av «barn» under GDPR. Disse varierer fra «alle under 13 år» til «alle under 16 år». 

Organisasjonen dokumenterer alle databehandlingsaktiviteter.

Organisasjoner med mer enn 250 ansatte må føre journal over databehandling. Organisasjoner med mindre enn 250 ansatte må føre journal dersom de behandler svært sensitive data, behandler data regelmessig eller behandler data på en måte som utgjør en betydelig risiko for registrerte.

Kontrollører må dokumentere ting som dataene de samler inn, hva de gjør med disse dataene, dataflytkart og datasikkerhet. Behandlere må dokumentere de behandlingsansvarlige de jobber for, hvilke typer behandling de utfører for hver enkelt behandler og sikkerhetskontrollene de bruker.

Kontrolløren er til syvende og sist ansvarlig for å sikre samsvar. 

I henhold til GDPR ligger det endelige ansvaret for overholdelse av dataansvarlig. Dette betyr at behandlingsansvarlig må sikre – og kunne bevise – at tredjeparts-behandlerne oppfyller alle relevante GDPR-krav. 

Registrertes rettigheter

GDPR gir registrerte visse rettigheter over deres data. Kontrollører og prosessorer må respektere disse rettighetene.

Organisasjonen tilbyr registrerte enkle måter å utøve sine rettigheter på.

Organisasjoner må gi de registrerte en enkel måte å hevde rettighetene sine til dataene sine. Disse rettighetene inkluderer:

• Rett til innsyn: Forsøkspersonene skal kunne be om og motta kopier av dataene sine, samt relevant informasjon om hvordan virksomheten bruker dataene.

• Rett til retting: Forsøkspersonene må kunne korrigere eller oppdatere dataene sine.

• Retten til sletting: Forsøkspersonene må kunne be om sletting av dataene sine. 

• Retten til å begrense behandlingen: Forsøkspersoner må kunne begrense hvordan dataene deres brukes hvis de mistenker at dataene er unøyaktige, ikke lenger er nødvendige eller blir misbrukt. 

• Rett til å protestere: Forsøkspersoner skal kunne protestere mot behandling. Forsøkspersoner som tidligere har gitt sitt samtykke, må enkelt kunne trekke det tilbake når som helst.

• Retten til dataportabilitet: Subjekter har rett til å overføre sine data, og behandlingsansvarlige og databehandlere må legge til rette for disse overføringene.

Generelt må organisasjoner svare på alle forespørsler om tilgang til registrerte innen 30 dager. Bedrifter må typisk etterkomme en subjekts forespørsel med mindre selskapet kan bevise at det har en legitim, overordnet grunn til å la være.

Hvis en organisasjon avviser en forespørsel, må den forklare hvorfor. Organisasjonen skal også fortelle forsøkspersonen hvordan de kan klage på vedtaket til selskapets personvernombud eller relevant tilsynsmyndighet.

Organisasjonen tilbyr registrerte en måte å bestride automatiserte avgjørelser.

I henhold til GDPR har registrerte rett til ikke å være bundet av automatiserte beslutningsprosesser som kan ha en betydelig innvirkning på dem. Dette inkluderer profilering, som GDPR definerer som å bruke automatisering for å evaluere noen aspekter ved en person, for eksempel å forutsi arbeidsytelsen.

Hvis en organisasjon bruker automatiserte beslutninger, må den gi registrerte en måte å bestride disse beslutningene. Emner kan også be om at en menneskelig ansatt vurderer alle automatiserte beslutninger som påvirker dem.

Organisasjonen er åpen om hvordan den bruker personopplysninger.

Behandlingsansvarlige og databehandlere må proaktivt og tydelig informere registrerte om databehandlingsaktiviteter, inkludert dataene de samler inn, hva de gjør med dem og hvordan subjektene kan utøve sine rettigheter over data.

Denne informasjonen må vanligvis kommuniseres gjennom en personvernerklæring som presenteres for emnet under datainnsamlingen. Dersom selskapet ikke samler inn personopplysninger direkte fra subjekter, må personvernerklæringer sendes til subjektene innen en måned. Bedrifter kan også inkludere disse opplysningene i personvernregler som er offentlig tilgjengelige på deres nettsteder. 

Datavern og beskyttelsestiltak

GDPR krever at behandlingsansvarlige og databehandlere tar skritt for å forhindre misbruk av personopplysninger og beskytte registrerte mot skade.

Organisasjonen har implementert passende cybersikkerhetskontroller.

Kontrollere og prosessorer må distribueres sikkerhetstiltak for å beskytte konfidensialiteten og integriteten til personopplysninger. GDPR krever ingen spesielle kontroller, men den sier at bedrifter må ta både tekniske og organisatoriske tiltak.

Tekniske tiltak inkludere teknologiløsninger, som f.eks styring av identitet og tilgang (IAM) plattformer, automatiserte sikkerhetskopier og datasikkerhetsverktøy. Mens GDPR ikke gir eksplisitt mandat kryptering data, anbefaler den at organisasjoner bruker pseudonymisering og anonymisering der det er mulig.

Organisatoriske tiltak inkludere opplæring av ansatte, løpende risikovurdering og andre sikkerhetspolicyer og -prosesser. Bedrifter må også følge prinsippet om databeskyttelse ved design og som standard når de oppretter eller implementerer nye systemer og produkter.

Organisasjonen gjennomfører databeskyttelseskonsekvensvurderinger (DPIAer) etter behov.

Hvis et selskap planlegger å behandle data på en måte som utgjør en høy risiko for rettighetene til subjekter, må det først gjennomføre en databeskyttelseskonsekvensvurdering (DPIA). Behandlingstyper som kan utløse en DPIA inkluderer blant annet automatisert profilering og storskala behandling av spesielle kategorier av personopplysninger.

En DPIA skal beskrive dataene som brukes, den tiltenkte behandlingen og formålet med behandlingen. Den må identifisere risikoene ved behandling og måter å redusere disse risikoene på. Hvis det eksisterer betydelig ubegrenset risiko, må organisasjonen konsultere en tilsynsmyndighet før den går videre.

Organisasjonen har utnevnt en databeskyttelsesansvarlig (DPO) om nødvendig.

En organisasjon må utnevne en databeskyttelsesansvarlig (DPO) hvis den overvåker emner i stor skala eller behandler spesielle kategoridata som en kjerneaktivitet. Alle offentlige myndigheter må også utnevne DPOer.

DPOen er ansvarlig for å sikre at organisasjonen forblir GDPR-kompatibel. Nøkkeloppgaver inkluderer å koordinere med databeskyttelsesmyndigheter, gi råd til organisasjonen om GDPR-krav og føre tilsyn med DPIAer.

Databeskyttelsesansvarlig må være en uavhengig offiser som rapporterer direkte til det høyeste ledelsesnivået. Organisasjonen kan ikke gjengjelde DPO for å utføre sine oppgaver.

Organisasjonen varsler tilsynsmyndigheter og registrerte når det oppstår datainnbrudd.

Organisasjoner må rapportere det meste brudd på personopplysninger til vedkommende tilsynsmyndighet innen 72 timer. Dersom bruddet utgjør en risiko for registrerte, skal organisasjonen også varsle forsøkspersonene. Organisasjoner må varsle personer direkte med mindre direkte kommunikasjon ville være urimelig, i så fall er en offentlig kunngjøring akseptabel.

Behandlere som lider av et brudd må varsle de relevante behandlingsansvarlige uten unødig forsinkelse.

Dersom organisasjonen befinner seg utenfor EØS, har organisasjonen oppnevnt en representant i EØS.

Ethvert selskap utenfor EØS som regelmessig behandler EØS-innbyggeres data eller behandler spesielt sensitive opplysninger, må oppnevne en representant innenfor EØS. Representanten koordinerer med offentlige myndigheter på vegne av selskapet og fungerer som kontaktpunkt for GDPR-samsvarssaker.

Dataoverføringer og datadeling

GDPR setter regler for hvordan organisasjoner deler personopplysninger med andre selskaper innenfor og utenfor EØS.

Organisasjonen bruker formelle databehandlingsavtaler for å styre forholdet til prosessorer.

En behandlingsansvarlig kan dele personopplysninger med databehandlere og andre tredjeparter, men disse forholdene må styres av formelle databehandleravtaler. Disse avtalene må skissere rettighetene og ansvaret til alle parter med hensyn til GDPR.

Tredjepartsbehandlere kan kun behandle data i henhold til behandlingsansvarligs anvisninger. De kan ikke bruke en behandlingsansvarligs data til egne formål. En databehandler må innhente godkjenning fra behandlingsansvarlig før deling av data med en underdatabehandler.

Organisasjonen gjennomfører kun godkjente dataoverføringer utenfor EØS.

En behandlingsansvarlig kan bare dele data med en tredjepart utenfor EØS hvis dataoverføringen oppfyller minst ett av følgende kriterier:

• EU-kommisjonen har ansett at personvernlovene i landet der tredjeparten befinner seg, er tilstrekkelige.
• EU-kommisjonen har ansett at tredjeparten har tilstrekkelige retningslinjer og kontroller for databeskyttelse.
• Den behandlingsansvarlige har tatt alle nødvendige skritt for å sikre sikkerheten og personvernet til dataene som overføres.

Utforsk GDPR-overholdelsesløsninger

GDPR-overholdelse er en pågående prosess, og en organisasjons krav kan endres etter hvert som den samler inn nye data og engasjerer seg i nye typer behandlingsaktiviteter.

Datasikkerhets- og samsvarsløsninger som IBM Security® Guardium® kan bidra til å strømlinjeforme prosessen med å nå – og vedlikeholde – GDPR-samsvar. Guardium kan automatisk oppdage GDPR-regulerte data, håndheve samsvarsregler for disse dataene, overvåke databruk og gi organisasjoner mulighet til å reagere på trusler mot datasikkerhet.

Lær mer om IBMs serie med datasikkerhets- og samsvarsprodukter.