די דאַטן קאַנטראָולער איז די פירמע אָדער מענטש וואָס האט די מאַכט צו באַשליסן וואָס כאַפּאַנז מיט דיין דאַטן.
אין פילע לענדער, דער "באַזיצער" פון דאַטן איז די פירמע וואָס געזאמלט עס. אָבער, אין אנדערע ערטער, ווי די אייראפעישע יוניאַן, די דאַטן "באַזיצער" קענען זיין אַ רעגירונג אַגענטור אָדער עטלעכע אנדערע ענטיטי.
די דאַטן קאַנטראָולער באַשטימט די דיסיזשאַנז וועגן די צוועקן און פּראָוסידזשערז פון ווי און וואָס אַ פירמע / וועבזייטל וועט נוצן די דאַטן. טיפּיקאַללי, דאָס איז דער באַזיצער אָדער פאַרוואַלטער פון דעם וועבזייטל. אויב איר האָבן אַ וועבזייטל, איר דאַרפֿן צו זיין GDPR געהאָרכיק. עס זענען פאַרשידענע סטעפּס איר מוזן נעמען צו בלייבן אין העסקעם מיט די נייַע רעגיאַליישאַנז, אַרייַנגערעכנט די פארלאנגט דורך די אי.יו.
די דאַטן קאַנטראָולער איז דער מענטש אָדער פירמע וואָס דיטערמאַנז פֿאַר וואָס און ווי די דאַטן וועט זיין פּראַסעסט. דעריבער, אויב דיין פירמע דיסיידז 'פארוואס' און 'ווי' די דאַטן זאָל זיין פּראַסעסט, עס איז די דאַטן קאַנטראָולער.
ווי אַ דאַטן קאַנטראָולער, אַ יחיד אָדער אָרגאַניזאַציע איז פאַראַנטוואָרטלעך פֿאַר ינשורינג דיין פּראַסעסינג נאָכקומען מיט די אַלגעמיינע דאַטאַ פּראַטעקשאַן רעגולאַטיאָן (GDPR).
דאָס כולל ינשורינג אַלע דאַטן פּראַסעסט אויף דיין ביכאַף איז טויגן, פּינטלעך, בייַצייַטיק און זיכער.
אַבלאַגיישאַנז פון קאַנטראָולערז: איר (די יחיד קאַנטראָולערז) דאַרפֿן צו שטימען ווער וועט מקיים ספּעציפיש קאָנטראָללער אַבלאַגיישאַנז פּער GDPR ווי יעדער קאָנטראָללער איז פאַראַנטוואָרטלעך פֿאַר העסקעם מיט אַלע די GDPR ריספּאַנסאַבילאַטיז.
אַרטיקל 26 זאגט אַז אויב די פּאַרטיעס צוזאַמען באַשליסן די ציל און מיטל פון פּראַסעסינג, ביידע זענען דימד שלאָס קאַנטראָולערז. די GDPR גייט נישט אין מער דעטאַל וועגן דעם פּראָצעס און דערמאנט עס בלויז אין דורכפאָר אין אַרטיקלען 30 און 36.
די קלאָזיז אין אַרטיקל 26 (GDPR) וועגן שלאָס קאַנטראָולערשיפּ זענען זייער קורץ, אָבער זיי האָבן דזשענערייטאַד פיל דיסקוסיע און אַנסערטאַנטי פֿאַר אָרגאַנאַזיישאַנז.
דער באַגריף פון שלאָס קאַנטראָולערשיפּ איז נישט דער הויפּט נייַ, אָבער זיין פּאָסט-GDPR אַפּלאַקיישאַן אין די מאָדערן דאַטן פּראַסעסינג יקאָוסיסטאַם איז קאָמפּלעקס. קלעראַפייינג ווי פּאַרטיעס זענען דימד שלאָס קאַנטראָולערז דיפיינז זייער ריספּעקטיוו העסקעם ריספּאַנסאַבילאַטיז און שערד אַכרייַעס וועגן יחידים און דאַטן שוץ אויטאריטעטן.
אַן ענטיטי / אָרגאַניזאַציע קענען זיין אַ דאַטן קאַנטראָולער אָדער אַ דאַטן פּראַסעסער, אָדער ביידע. דער זעלביקער אָרגאַניזאַציע קענען זיין ביידע אַ דאַטן קאַנטראָולער און אַ דאַטן פּראַסעסער. פֿאַר בייַשפּיל, אויב אונדזער אַנאַליטיקס שפּייַזער לויפט אַ קונה ס דאַטן דורך זיין סיסטעמען, דער שפּייַזער וועט זיין דער פּראַסעסער פון די דאַטן.
אָבער, דער אַנאַליטיקס שפּייַזער קען האָבן קיין נומער פון אנדערע דאַטן שטעלט, טאָמער וואָס עס ניצט אין זיין אַנאַליטיקס מכשירים. אויב דער אַנאַליטיקס שפּייַזער איז ענטייטאַלד צו באַשליסן ווי די נאָך דאַטן זענען געניצט, עס וועט זיין דער קאָנטראָללער פון די דאַטן.
דיין GDPR אַבלאַגיישאַנז וועט אָפענגען אויף צי איר זענט אַ קאָנטראָללער, פּראַסעסער אָדער שלאָס קאַנטראָולערז. דעריבער, עס איז וויטאַל איר קערפאַלי באַטראַכטן דיין ראָלע און ריספּאַנסאַבילאַטיז וועגן דיין דאַטן פּראַסעסינג אַקטיוויטעטן צו באַשליסן צי איר זענט אַ קאָנטראָללער, אַ פּראַסעסער אָדער שלאָס קאַנטראָולערז.
אפילו אויב איר זענט נישט גלייך ינוואַלווד אין קאַלעקטינג קיין דאַטן, איר זענט נאָך פּאַטענטשאַלי פאַראַנטוואָרטלעך פֿאַר ניט-העסקעם מיט די GDPR. דעריבער, איר זענט פאַראַנטוואָרטלעך פֿאַר ינשורינג איר באַווייַזן העסקעם מיט די רעגולירן דאַטן שוץ פּרינסאַפּאַלז.
ISMS.online וועט שפּאָרן צייט און געלט פֿאַר ISO 27001 סערטאַפאַקיישאַן און מאַכן עס פּשוט צו טייַנען.
אינפֿאָרמאַציע סעקוריטי מאַנאַגער, האָנייסוקקלע געזונט
די אַלגעמיינע דאַטאַ פּראַטעקשאַן רעגולירן דיסטינגגווישיז צווישן אַ 'דאַטאַ קאַנטראָולער' און אַ 'דאַטאַ פּראַסעסער' אין די וק.
דאָס העלפּס צו ידענטיפיצירן אַז ניט אַלע אָרגאַנאַזיישאַנז ינוואַלווד אין די פּראַסעסינג פון פּערזענלעך דאַטן האָבן די זעלבע גראַד פון פֿאַראַנטוואָרטלעכקייט. די וק GDPR דיפיינז די טערמינען ווי:
דער מענטש אָדער אָרגאַניזאַציע וואָס באַשטימט 'פארוואס' און 'ווי' פערזענלעכע דאַטן זאָל זיין פּראַסעסט איז באקאנט ווי די דאַטן קאַנטראָולער.
רעכן אַ פירמע פּראַסעסאַז פערזענלעכע דאַטן צו העלפן אַ ספּעציפיש יחיד (ווי אַן אָנגעשטעלטער) דורכפירן זייער דוטיז. אין דעם פאַל, דער אָנגעשטעלטער איז אַקטינג ווי אַ דאַטן פּראַסעסער.
א 'דאַטאַ פּראַסעסער' איז יעדער געשעפט אָדער יחיד וואָס פּראַסעסאַז פערזענלעכע דאַטן אויף ביכאַף פון אנדערן. סאַמערייזד, זיי זענען אַן אַגענט פֿאַר די דאַטן קאַנטראָולער.
די זעקס האַרץ פּרינסאַפּאַלז פון די אַלגעמיינע דאַטן שוץ רעזשים זענען געלייגט אין אַרטיקל 5 פון די וק GDPR אויסלייג:
דער ערשטער פּרינציפּ פון פּריוואַטקייט איז ריזאַנאַבלי זיך-קענטיק. אַן אָרגאַניזאַציע זאָל ענשור אַז זיין דאַטן זאַמלונג פּראַקטיסיז זענען לעגאַל און טאָן ניט באַהאַלטן עפּעס פון זיין דאַטן סאַבדזשעקץ. צו נאָכקומען, ווי אַ דאַטן קאַנטראָולער, איר דאַרפֿן צו ונ דורך פֿאַרשטיין די GDPR און זייַן כּללים פֿאַר דאַטן זאַמלונג. אין אַדישאַן, איר זאָל אַרויסגעבן דיין פּריוואַטקייט פּאָליטיק מיט פּונקט וואָס דאַטן איר קלייַבן און וואָס איר קלייַבן.
אָרגאַנאַזיישאַנז זאָל באַגרענעצן די סומע פון פערזענלעכע דאַטן זיי קלייַבן צו וואָס איז נייטיק צו מקיים זייער צוועקן. זיי זאָל אויך ענשור אַז די דאַטן וואָס זיי קלייַבן זענען פּינטלעך, דערהייַנטיקט און נישט געהאלטן פֿאַר מער ווי עס איז פארלאנגט צו טרעפן די צוועקן. א דאַטן קאַנטראָולער וועט באַקומען מער פּלאַץ אויב דיין פּראַסעסינג איז דורכגעקאָכט פֿאַר אַרקייוו, עפנטלעך אינטערעס, וויסנשאפטלעכע, היסטארישע אָדער סטאַטיסטיש צוועקן.
אַן אָרגאַניזאַציע מוזן בלויז פּראָצעס פערזענלעכע דאַטן נייטיק צו דערגרייכן זייַן ציל. דאָס האט צוויי באַטייַטיק בענעפיץ. אין פאַל אַז אַ דאַטן בריטש אַקערז, אַ יחיד וועט נאָר האָבן צוטריט צו אַ קליין סומע פון דאַטן. עס איז אויך גרינגער צו האַלטן דאַטן פּינטלעך.
דאַטן אַקיעראַסי איז יקערדיק פֿאַר דאַטן פּריוואַטקייט. די GDPR טענהט אַז "יעדער גלייַך שריט" מוזן זיין גענומען צו ריכטיק, ויסמעקן אָדער צעשטערן קיין דאַטן וואָס זענען נישט פּינטלעך אָדער גאַנץ. מענטשן האָבן די רעכט צו בעטן ומפּינקטלעך אָדער דערענדיקט דאַטן צו זיין קערעקטאַד אָדער דערהייַנטיקט אין 30 טעג. אָבער, עס קען זיין אוממעגלעך צו ריכטיק אָדער דערהייַנטיקן די דאַטן אין אנדערע קאַסעס, און די דאַטן קען זיין אַוועקגענומען.
אַלע אָרגאַניזאַציעס מוזן ויסמעקן פערזענלעכע דאַטן ווען עס איז ניט מער נויטיק. ווי לאַנג זאָל אַן אָרגאַניזאַציע ריטיין קונה דאַטן? עס וועריז צווישן ינדאַסטריז און די סיבות וואָס די דאַטן זענען געזאמלט. יעדער אָרגאַניזאַציע וואָס איז ומזיכער ווי לאַנג עס זאָל האַלטן פערזענלעכע דאַטן זאָל באַראַטנ זיך אַ לעגאַל פאַכמאַן.
GDPR ריקווייערז אַז פערזענלעכע דאַטן זענען סיקיורד. דאַטן זאָל זיין פּראָטעקטעד קעגן אָנווער, צעשטערונג אָדער שעדיקן. עס זאָל אויך זיין פּראָטעקטעד קעגן אַנאָטערייזד פּראַסעסינג און קעגן אַקסאַדענטאַל אָנווער, ניצן צונעמען טעכניש אָדער אָרגאַנאַזיישאַנאַל מיטלען. GDPR איז דיליבראַטלי ווייג וועגן וואָס אָרגאַנאַזיישאַנז זאָל טאָן ווייַל טעקנאַלאַדזשיקאַל און אָרגאַנאַזיישאַנאַל בעסטער פּראַקטיסיז זענען קעסיידער טשאַנגינג.
אראפקאפיע דיין פריי פירער
צו סטרימליינינג דיין Infosec
די אונטן טשעקליסט וועט העלפֿן איר געפֿינען וואָס צו טאָן אויב איר זענט אַ דאַטן קאַנטראָולער.
דיין געשעפט האט פארענדיקט אַן אינפֿאָרמאַציע קאָנטראָלירן צו געפֿינען אויס ווו די דאַטן אין דיין געשעפט זענען ליגן.
דיין געשעפט האט דאַקיומענטאַד און יידענאַפייד דיין לעגאַל באַסעס פֿאַר פּראַסעסינג דאַטן.
די וק אַלגעמיינע דאַטאַ פּראַטעקשאַן רעגולירן שטעלט אַ זייער הויך סטאַנדאַרט פֿאַר צושטימען. אָבער, איר טאָן ניט שטענדיק דאַרפֿן צושטימען. אין עטלעכע קאַסעס, פאָרשלאָגן מענטשן עכט ברירה און קאָנטראָל איבער ווי איר נוצן זייער דאַטן ימפּרוווז דיין שעם און קריייץ מער צוטרוי. די GDPR בויען אויף די 1998 אקט סטאַנדאַרט פון צושטימען אין עטלעכע געביטן און כּולל מער דעטאַל וועגן וואָס קאַנסטאַטוץ גילטיק צושטימען און אנדערע געזעצלעך באַסעס פֿאַר פּראַסעסינג מענטשן ס דאַטן.
איר מוזן האָבן אַ לעגאַל יקער פֿאַר פּראַסעסינג פערזענלעכע דאַטן פון אַ מיינער. אויב איר אָפענגען אויף צושטימען ווי די לעגאַל יקער פֿאַר פּראַסעסינג דאַטן און איר פאָרשלאָגן אָנליין באַדינונגס צו קינדער, איר מוזן מאַכן גלייַך השתדלות צו באַשטעטיקן אַז ווער עס יז געבן זייער אייגענע צושטימען איז אַלט גענוג צו טאָן דאָס. דעריבער, איר וועט דאַרפֿן צו ענשור אַז ווער עס יז וואָס גיט איר צושטימען איז איבער די עלטער פון 13.
אויב איר צושטעלן אַן אָנליין דינסט פֿאַר קינדער אונטער די עלטער פון 13, איר מוזן ערשטער באַקומען די צושטימען פון ווער סע האלט פּערענטאַל פֿאַראַנטוואָרטלעכקייט פֿאַר דעם קינד. איר מוזן דעריבער נוצן גלייַך השתדלות צו באַשטעטיקן אַז דער מענטש געבן צושטימען פֿאַר דעם קינד האט פּערענטאַל פֿאַראַנטוואָרטלעכקייט.
אויב איר מוזן פּראַסעסינג קיין סאָרט פון דאַטן צו באַשיצן די אינטערעסן פון אַ יחיד, דיין געשעפט דאַרף צו דאָקומענט די צושטאנדן ווו עס וועט זיין באַטייַטיק און מיטטיילן יענע מענטשן ווו נייטיק.
אויב איר פאַרלאָזנ אויף לאַדזשיטאַמאַט אינטערעסן ווי די געזעצלעך יקער פֿאַר פּראַסעסינג, דיין געשעפט האט דעמאַנסטרייטיד אַז עס האט באַטראַכט און פּראָטעקטעד יחידים 'רעכט און אינטערעסן.
אַלע אָרגאַנאַזיישאַנז אָדער געשעפטן וואָס פּראַסעסינג פערזענלעכע אינפֿאָרמאַציע דאַרפֿן צו באַצאָלן אַ אָפּצאָל צו די יקאָ סייַדן זיי זענען פּאָטער.
בוך אַ טיילערד האַנט-אויף סעסיע באזירט אויף דיין באדערפענישן און גאָולז.
צו זיין זיכער, שטענדיק יבערנעמען אַז אַלץ איר קראָם וועגן אַ קונה איז פערזענלעכע דאַטן און ענשור איר נאָכקומען מיט די געזעץ / דאַטאַ פּראַטעקשאַן אַקט ווען עס קומט צו סטאָרינג און פּראַסעסינג די דאַטן. פאַרזיכערן דיין קאַסטאַמערז 'פערזענלעכע דאַטן פּראַסעסינג איז זיכער, געהאָרכיק מיט דאַטן פּריוואַטקייט רעגיאַליישאַנז און אַז איר מעקן עס גלייך ווען עס איז ניט מער דארף.
עס איז יקערדיק צו באַטראַכטן פּסעוודאָנימיזינג און / אָדער ענקריפּטינג פערזענלעכע דאַטן ווען עס איז אַ באַזונדער קאַטעגאָריע פון פערזענלעכע דאַטן. צו טאָן דאָס, פאַרבייַטן די ידענטיפיצירן אינפֿאָרמאַציע מיט "קינסטלעך ידענטיפיערס". דאָס וועט ענשור אַז די פערזענלעכע דאַטן בלייבן זיכער.
כאָטש עס איז דערמאנט 15 מאָל אין די GDPR, פּסעודאָנימיזאַטיאָן אַליין איז נישט גענוג; עס האט זיין לימיטיישאַנז, אַזוי ענקריפּשאַן איז אויך דערמאנט אין די GDPR.
ענקריפּשאַן סקראַמבאַלז אָדער ענקאָוד אינפֿאָרמאַציע דורך ריפּלייסינג עס מיט עפּעס אַנדערש. פּסעודאָנימיזאַטיאָן דערלויבט ווער עס יז מיט אַקסעס צו די דאַטן אין דיין אָרגאַניזאַציע צו זען די דאַטן שטעלן, ענקריפּשאַן אויף די אנדערע האַנט אַלאַוז בלויז "באוויליקט" ניצערס צו אַקסעס די גאַנץ דאַטן שטעלן.
עס איז מעגלעך צו נוצן ביידע פּסעודאָנימיזאַטיאָן און ענקריפּשאַן אין דער זעלביקער צייט אָדער סעפּעראַטלי אונטער GDPR.
די וק GDPR ריקווייערז איר צו דעזיגנייט אַ דאַטאַ פּראַטעקשאַן אָפיציר (דפּאָ). דעם דפּאָ איז פאַראַנטוואָרטלעך פֿאַר ינשורינג דיין אָרגאַניזאַציע נאָכקומען מיט די נייע רעגולאציעס. זיי וועלן אויך אַרבעטן מיט איר אויף קיין נויטיק ענדערונגען צו דיין דאַטן פאַרוואַלטונג פּראָוסידזשערז.
דאַטאַ פּראַטעקשאַן אָפפיסערס אַרוישעלפן איר אין מאָניטאָרינג דיין העסקעם מיט דאַטן שוץ געזעצן און צושטעלן עצה וועגן דאַטאַ פּראַטעקשאַן ימפּאַקט אַססעססמענץ (DPIAs). דפּאָ ס אויך אַקט ווי אַ קאָנטאַקט פונט פֿאַר דאַטן סאַבדזשעקץ און די יקאָ. א דפּאָ איז עמעצער וואָס איז שוין אָנגעשטעלט דורך דיין פירמע, אָדער אפֿשר עמעצער וואָס האט קיין פריערדיק פֿאַרבינדונג צו דיין געשעפט.
די דפּאָ מוזן זיין פרייַ, אַ מומחה אין דאַטן שוץ, אַדאַקוואַטלי פאַנדאַד און באַריכט צו די העכסטן פאַרוואַלטונג מדרגה. עטלעכע אָרגאַנאַזיישאַנז קענען נאָמינירן אַ איין דפּאָ אין עטלעכע קאַסעס.
איינער פון די פונדאַמענטאַל פּרינסאַפּאַלז פון די וק GDPR איז אַז איר מוזן באַוואָרענען די פּראַסעסינג פון פערזענלעכע דאַטן דורך ניצן צונעמען אָרגאַנאַזיישאַנאַל מיטלען. דאָס איז דער 'זיכערהייט פּרינציפּ'.
איר מוזן נעמען גלייַך מיטלען דיזיינד צו ענשור די קאַנפאַדענשיאַלאַטי, אָרנטלעכקייַט און אַוויילאַבילאַטי פון דיין סיסטעמען און באַדינונגס און די פערזענלעכע דאַטן וואָס איר פּראַסעסט אין זיי.
ווי איר קענען זען אויבן, די פינאַנציעל פּענאַלטיז פֿאַר ברייקינג GDPR איז נישט ביליק.
עס זענען פאַרשידן סטעפּס איר קענען נעמען צו מאַכן דיין פירמע געהאָרכיק:
ווייַט אָדער פלעקסאַבאַל אַרבעט עריינדזשמאַנץ זענען צווישן די מערסט וויכטיק סיבות ווען איר זוכט פֿאַר אַ אַרבעט. רובֿ עמפּלויערס טאָן ניט האָבן אַ פאָרמאַל ווייַט אַרבעט פּאָליטיק, טראָץ די ינקריסינג נומער פון קאָמפּאַניעס וואָס פאָרשלאָגן ווייַט אַרבעט אַפּערטונאַטיז. דעם בלעטער איר שפּירעוודיק.
אַלע געשעפטן / אָרגאַנאַזיישאַנז זאָל האָבן אַ שטאַרק ווייַט אַרבעט פּאָליטיק אין פּלאַץ. עס וועט העלפן צו פירן די אַפּעריישאַנאַל מאָדעל פון דיין געשעפט.
עס איז אויך יקערדיק פֿאַר ווייַט דעוועלאָפּערס צו פֿאַרשטיין ווי צו זאַמלען און אַקסעס דאַטן אין אַ GDPR-געהאָרכיק שטייגער.
געפֿינען וועגן צו פאַרשטאַרקן דיין אַרבעט פֿון שטוב פּאָליטיק מיט אָנגעשטעלטער טריינינג און וויסיקייַט סעשאַנז.
א טיילערד האַנט-אויף סעסיע באזירט אויף דיין באדערפענישן און גאָולז