Förändringar GDPR & relevanta bestämmelserna i datasäkerhet

Förändringar i förordningen GDPR

En av de många förändringar som den nya förordningen om General data protection regulation kommer att leverera när den träder i kraft den 25 maj 2018 är en ny lagstadgad skyldighet för datasäkerhet som dataprocessorer måste observera utöver avtalsförpliktelser som avtalats med datakontrollerade kunder.
Enligt gällande regler för dataskydd kan tjänsteleverantörer som behandlar personuppgifter på uppdrag av andra företag inte hållas direkt ansvariga för enskilda personer för brott mot datasäkerhet. Om dataprocessorer är felaktiga för dataöverträdelser är det den datakontrollant som kontrakt med dem som är på kroken för eventuella överensstämmelser med dataskyddslagar, även om dataprocessorn kan vara ansvarig för den registeransvarige enligt deras kontrakt. Förordningen behandlar denna avvikelse men skiljer mellan de maximala fina dataskyddsmyndigheterna kommer att kunna ta ut dataövervakare jämfört med dataprocessorer för brister i datasäkerhet. En tvåstegs sanktionsordning kommer att gälla. Överträdelser av vissa bestämmelser från företag, vilka lagstiftare har ansett vara viktigast för dataskydd, kan leda till böter på upp till 20 miljoner euro eller 4% av den globala årliga omsättningen för föregående budgetår, beroende på vilket som är störst. För andra överträdelser kan myndigheterna böta företag på upp till 10 miljoner euro eller 2% av den globala årliga omsättningen, beroende på vilket som är störst.

De relevanta bestämmelserna om datasäkerhet finns i artiklarna 5 och 32 i förordningen

artikel 5 fastställs grundläggande regler för personuppgifter som endast gäller för datatillsynsmyndigheter som anses vara grundläggande för dataskydd. En av dessa regler kräver datainsamlare att se till att personuppgifter ”behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inklusive skydd mot otillåten eller olaglig behandling och mot oavsiktlig förlust, förstörelse eller skada, med hjälp av lämpliga tekniska eller organisatoriska åtgärder” .

Enligt bestämmelserna i artikel 83 i förordningen om administrativa böter, där registeransvariga bryter mot kravet på artikel 5 kan de serveras med högsta möjliga bötesbelopp som dataskyddsmyndigheterna kommer att kunna utfärda enligt den reformerade ramen. Däremot om dataprocessorer bryter mot sina lagstadgade datasäkerhetsförpliktelser enligt artikel 32, som kräver att de ”genomför lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig för risken” för deras personuppgifter, så är de mest kan bötes upp till 10 miljoner euro eller 2% av den globala årsomsättningen.

Datakontrollanter omfattas också av artikel 32 skyldigheter. Det är därför öppet för de nationella dataskyddsmyndigheterna att fina registeransvariga för eventuella fel på datasäkerheten enligt artikel 5 eller artikel 32. Deras val skulle under dessa omständigheter påverka svårigheten av de böter som de skulle kunna utfärda.

General data protection regulation Stockholm

Varför GDPR är bra för Affärer och Verksamhetsdata

Europeiska unionens allmänna databeskrivningsförordning syftar till att skydda enskildas personuppgifter och underlätta utbytet av information för företag som är verksamma inom EU. Det har nya krav för datainsamling och -behandling, bland annat genom att anställa dedikerade dataskyddsansvariga för att skydda personuppgifter från medborgarna. Och dessa krav måste vara uppfyllda före den löpande tidsfristen i maj 2018.

Introduktionen av denna förordning har resulterat i en av undersökningar och opinionsartiklar som beskriver förordningen och dess krav, med leverantörer och konsulter som hjälper till att hjälpa till.

Men få har faktiskt sett bortom kraven på överensstämmelse och försökt svara på en bredare fråga: Är denna förordning faktiskt bra för verksamheten?

Vi tycker det är. Och vi kan förklara varför.

Medan medborgarnas personuppgifter hittills har skyddats av många lagar i olika länder och uppriktigt sagt har dess integritet inte tagits på allvar. GDPR kommer att ändra det. Nu måste företagen ta extra hand om hur de samlar, får personligt samtycke, lagrar och använder personuppgifter.

Dessutom kommer denna förordning faktiskt att uppmuntra företag att konsolidera personuppgifter till en enhetlig plattform, så att de enkelt kan hitta den, anonymisera den om det behövs och rapportera om det. Det här är vad försäkringsbolag kallar guldposten eller en kund 360-visning. Detta ger en unik möjlighet för företagen att bättre svara på kundernas önskemål, engagera sig med dem på det sätt de föredrar, och till sist innovera.

GDPR-avsiktligt eller inte-skiftar marknaden och hur företagen arbetar i en mycket mer datadriven modell. Och vi tror att det här är rätt sätt att gå, för att endast ett datatentrisk tillvägagångssätt (i förhållande till applikationscentrerat tillvägagångssätt) kan leda till ett antal viktiga fördelar för företaget på företagsnivå. Och vi ser fördelar inom datasäkerhet, kundcentricitet, datalokalisering och indexering och datalagring.

Säkerhet GDPR

Marknadsundersökningar visar att mer än 50 procent av säkerhetsbrott är resultatet av en vårdslös anställd. Detta presenterar företag med tre stora risker:
• Compliance avgifter som regel fortsätter att strama upp med avseende på dataintegritet – GDPR som träder i kraft i maj 2018 är bara ett exempel.
• Märke- och ansvarsskada, särskilt om en rättegång tar ditt företag till domstolen och in i media.
• Kundtjänst, eftersom konsumenterna har befogenhet att känna till och begära datasäkerhetsförfrågningar när som helst, medan finansbranschen, särskilt på de mogna marknaderna, kämpar för att behålla kunderna

Naturligtvis, för att minimera effekterna av dataintegritets brott på grund av mänskliga fel kräver tillräcklig laglig och överensstämmelse politik och utbildning av anställda. Ny teknik kan också mildra de stora riskerna. Rollbaserade säkerhetsinställningar och säkerhetsnivåer på facknivå i din databasplattform gör det möjligt för din organisation. Detta är viktigt för att säkerställa att data endast delas med personer eller organisationer som har samtycke från medborgaren till vilken uppgifterna hänför sig. Till exempel, om jag som kund återkallar samtycke till direktmarknadsföring, är det viktigt att begränsa mina personuppgifter från marknadsavdelningsprocesser som genererar kampanjer. Kryptering i vila är ett annat viktigt element som säkerställer att även om en dataöverträdelse inträffar är data säker.

Datalokalisering och indexering

En annan kritisk faktor är att ett datarentrerat tillvägagångssätt bygger på en robust ram som kan identifiera var alla känsliga data ligger inom en organisation, även om det kommer från flera system.

En organisation kan till exempel ha gått igenom flera fusioner och förvärv, som alla inför system som kan innehålla dubbletter. Var och en av dessa silor kan innehålla personuppgifter, och det kommer vanligtvis att vara utmanande för en organisation att få en bild av exakt vilken data som sitter var, hur det är relaterat och vem eller vad som förbrukar eller åtkomst till det.

Kundfokus

Uppkomsten av sociala medier har skapat många möjligheter för företag att engagera sig bättre, snabbare och oftare med sina kunder och få rikare insikter. Men det har inte – i många fall – gjort det möjligt för dem att fullt ut omfamna kundcentricitet. Detta beror på det faktum att många organisationer fortfarande använder sig av relationsteknologi och siled-system över sina avdelningar vilket gör det omöjligt att integrera och analysera sociala medier eller ostrukturerad data.

Forskning från CMO-rådet i samarbete med SAS citerat av MarketingProfs har visat att 40 procent av marknadsförare och 51 procent av de undersökta IT-medarbetarna ansåg stora datakritiska för förmågan att utveckla och genomföra kundcentrerade program. Men 52 procent av marknadsförare och 45 procent av IT-experter sa att data som finns i silor över en organisation gör det svårt att verkligen uppnå kundcentricitet. Vad som är viktigt att känna igen om dessa data är det som kommer i många former och storlekar; huruvida relationsdata kommer från ett CRM-system, juridiska dokument, webbdata eller marknadsföring pdfs. Att ha ett system som kan bearbeta vilken form av data som är viktig är att samla silor tillsammans och skapa en verkligt 360 graders bild av data. Traditionella relationella system kommer att kämpa med denna mängd data.

Datalagring

Inte längre kommer företagen att använda sina uppgifter för att bara se tillbaka på historien. Nu kan det användas för att skapa mönster, trender och förutsäga framtiden, ge organisationen möjlighet att innovera och lansera nya produkter. Det moderna datasentriska tillvägagångssättet bör utnyttja en teknik för att integrera fullständigt innehåll i alla dataset, strukturerad och ostrukturerad, upprätta relationer mellan datasätten, anteckna den med metadata och göra det direkt sökbar till lägre kostnad. Från kostnadseffektivitetsperspektivet är lagrad lagring ett effektivt sätt att avsevärt minska dina driftskostnader.

Det är ingen tvivel att uppgradera till GDPR är en prioritet för många organisationer, och det kommer inte att vara en lättlyftning. Ändå kan de förändringar som behövs för GDPR-överensstämmelse bli verkliga konkurrenskraftiga differentiatorer för organisationer som går framåt.

Störst på kurser och utbildningar inom General data protection regulation

GDPR i EU

Dataskyddsförordningen General data protection regulation kommer oundvikligen att påverka många fler företag än tidigare. GDPR kommer verkligen att gälla för företag som fungerar som kontrollör eller dataprocessor och som erbjuder varor eller tjänster till enskilda personer i EU, oavsett om det är fysiskt beläget i EU.

GDPR skapar nya skyldigheter för både datainsamlare och dataprocessorer, vilket leder till en verklig förändring av deras respektive ansvarsområden. Detta kommer att medföra stora konsekvenser för ett stort antal europeiska såväl som icke-europeiska organisationer och skapar nya utmaningar som många måste ta itu med inom en snar framtid.

Begreppen personuppgifter och bearbetning förblir väldigt breda. Personliga data inkluderar någon form av information såsom platsdata och online som gör att en person kan identifieras, tom indirekt. Dessutom utgörs bara värd, lagring eller till och med radering av data till bearbetning av sådan data.

Organisationer anses vara riktade mot EU-medborgare om ett eller flera av dessa element är närvarande: användningen av ett språk eller en valuta som vanligen används i en eller flera medlemsstater i samband med erbjudandet av varor och tjänster och/eller omnämnande av kunder eller användare som är baserade i EU. Tvärtom är det faktum att en webbplats för en icke-EU-baserad verksamhet är tillgänglig från EU inte en avgörande faktor. Detta tillvägagångssätt kommer att avsevärt bredda tillämpningsområdet för GDPR, eftersom det nu klart kommer att omfatta alla webbplatser och appar som spårar EU-medborgarnas online- beteende och digitala aktiviteter, det vill säga genom att använda spårningskakor.

GDPR explicit behandling av personuppgifter

GDPR ändrade inte definitionerna av termerna ”data controller” och ”data processor”. Den tidigare återstår definierad som enheten ”som ensamt eller gemensamt med andra, bestämmer syftet och sättet att behandla personuppgifter”, medan den senare är den enhet som behandlar personuppgifter på reglers vägnar, och denna definition omfattar, till exempel en Cloud & Service provider. En väsentlig utveckling är att GDPR explicit behandlar behandling av personuppgifter av både datainsamlare och dataprocessorer. Dessutom ska dataprocessorn som själv bestämt sig för att databehandlingens syften och medel ska anses vara en registeransvarig med avseende på den specifika behandlingen.