די דאַטן פּראַסעסער פּראַסעסאַז בלויז יידענאַפייד פערזענלעכע דאַטן אויף ביכאַף פון די דאַטן קאָנטראָללער. די דאַטן פּראַסעסער איז יוזשאַוואַלי אַ דריט פּאַרטיי וואָס איז פונדרויסנדיק צו די פירמע.
אין אַ קאָנטראַקט אָדער אן אנדער לעגאַל אַקט, די פליכט פון די פּראַסעסער צו די קאַנטראָולער מוזן זיין ספּעסיפיעד, אַזאַ ווי לאָזן דאַטן קאַנטראָולערז וויסן וואָס כאַפּאַנז מיט פערזענלעכע דאַטן אַמאָל אַ פּריוואַט קאָנטראַקט איז טערמאַנייטיד.
דאַטאַ פּראַסעסערז אַרייַננעמען מאשינען וואָס דורכפירן אַפּעריישאַנז אויף דאַטן, אַזאַ ווי קאַלקולאַטאָרס אָדער קאָמפּיוטערס, און איצט וואָלקן סערוויס פּראַוויידערז קענען זיין לייבאַלד ווי דאַטן פּראַסעסערז.
א דריט-פּאַרטיי דאַטן פּראַסעסער טוט נישט פאַרמאָגן אָדער קאָנטראָלירן די דאַטן זיי פּראַסעסט. דער דאַטן פּראַסעסער קען נישט טוישן די ציל פון די דאַטן אָדער ווי עס איז געניצט.
דאַטאַ פּראַסעסערז דורכפירן פאַרשידן דאַטן פּראַסעסינג טאַסקס פֿאַר אַ געשעפט, אַזאַ ווי סטאָרינג דאַטן, ריטריווינג דאַטן, לויפן די פּייראָול, פֿאַרקויף אַקטיוויטעטן אָדער צושטעלן זיכערהייט פֿאַר דאַטן.
פּראַסעסינג דיפיינז קיין אָפּעראַציע אָדער גאַנג פון אַפּעריישאַנז געטאן אויף פערזענלעכע דאַטן אָדער שטעלט פון יחיד פּריוואַט דאַטן, צי דורך אָטאַמייטיד מיטלען אָדער נישט, אַזאַ ווי זאַמלונג, רעקאָרדינג, אָרגאַניזאַציע, סטראַקטשערינג, סטאָרידזש, אַדאַפּטיישאַן אָדער אָלטערניישאַן, באַראַטונג, נוצן, אַנטפּלעקונג דורך טראַנסמיסיע, דיסעמאַניישאַן.
אין די אַלגעמיינע דאַטאַ פּראַטעקשאַן רעגולאַטיאָן (GDPR), דער קאָנטראָללער און די דאַטן פּראַסעסער האָבן ענלעך ריספּאַנסאַבילאַטיז, און אונטער די GDPR זענען אויך אַדכירינג צו ענלעך פּרינסאַפּאַלז. קאַמפּערד מיט די פאָרויסגייער פון GDPR, עס איז נישט אַזוי פיל ענדערונגען וועגן וואָס אַ דאַטן פּראַסעסער איז.
דאַטאַ פּראַסעסערז דאַרפֿן צו אַרוישעלפן קאַנטראָולערז אין זיכער צושטאנדן, למשל, אין אַ פּאָטענציעל פּערזענלעך דאַטן בריטש אָנזאָג אָדער באַטראַכטן אַ דאַטאַ פּראַטעקשאַן ימפּאַקט אַססעססמענט (DPIA).
דער קאַנטראָולער פון דיין HR אָפּטיילונג פון דיין אָרגאַניזאַציע האט מעטהאָדס צו פּראָצעס די פערזענלעכע דאַטן פון אַפּליקאַנץ און עמפּלוייז וואָס דאַרפֿן צו זיין פּראָטעקטעד. עס איז מעגלעך אַז עטלעכע פון די HR דאַטן פּראַסעסינג דאַטן אַקטיוויטעטן קען זיין דורכגעקאָכט דורך אַ דריט פּאַרטיי. א פּראַסעסער איז אַ פירמע צו וואָס איר וועט זיין אַוצאָרסינג.
דיין פֿאַרקויף מאַנשאַפֿט פּראַסעסאַז פערזענלעכע דאַטן פון פּאָטענציעל קאַסטאַמערז און יגזיסטינג קאַסטאַמערז. די יענער זענען פּראַסעסערז ווען עס אַרבעט מיט אַן E- בריוו פֿאַרקויף פירמע אָדער אַגענטור וואָס ניצט די דאַטן פֿאַר קאַמפּיינז.
ווען איר ווילט אַז אַ פּאָטענציעל קונה זאָל רופן אַ ספּעציפיש נומער אין די פאַרנעם פון אַ קאמפאניע אויף טעלעוויזיע, און אַזוי אויף, איר קען האָבן אַוצאָרסט די ינבאַונד קאָנטאַקט צענטער אַקטיוויטעטן פון דיין אָרגאַניזאַציע אָדער געוויינט אַ רופן צענטער.
די דאַטן סאַבדזשעקץ זענען די מענטשן וואָס רופן אין, און די קאָנטאַקט צענטער ווערט דער פּראַסעסער.
דער פּראַסעסער קיינמאָל אָונז די פערזענלעכע דאַטן. דער קאָנטראָללער טוט נישט פאַרמאָגן די פערזענלעכע דאַטן פון זיין קאַסטאַמערז, פּראַספּעקס, עמפּלוייז אָדער ווער עס יז אַנדערש. דער נאַטירלעך מענטש אָונז די פערזענלעכע דאַטן.
אויב אַ פּראַסעסער ניצט אַ סאַב-פּראַסעסער צו העלפן אַרוישעלפן דעם פּראָצעס פון פערזענלעכע דאַטן פֿאַר אַ קאָנטראָללער, דיין דאַטן פּראַסעסער דאַרף האָבן אַ געשריבן קאָנטראַקט מיט דעם סאַב-פּראַסעסער. א סאַב-פּראַסעסער איז יוזשאַוואַלי אן אנדער אָרגאַניזאַציע.
איך אַוואַדע וואָלט רעקאָמענדירן ISMS.online, עס מאכט באַשטעטיקן און אָנפירונג דיין ISMS ווי גרינג ווי עס קענען באַקומען.
פֿאַר בייַשפּיל, עס זענען אַ פּלאַץ פון עמפּלוייז אין די ברעווערי. די פירמע צייגט א קאנטראקט מיט א פעיראל פירמע צו באצאלן לוין.
ווען אַן אָנגעשטעלטער האט אַ צאָל העכערונג אָדער בלעטער, די ברעווערי דערציילט די פּייראָול פירמע ווען די לוין זאָל אָדער זאָל ניט זיין באַצאָלט.
די ברעווערי וועט זיין די דאַטן קאַנטראָולער, און די פּייראָול פירמע וועט זיין די דאַטן פּראַסעסער.
די אַלגעמיינע דאַטאַ פּראַטעקשאַן רעגולאַטיאָן האט אַוטליינד די פאַרשידענע ראָלעס און ריספּאַנסאַבילאַטיז פון אַ דאַטן קאַנטראָולער אָדער אַ דאַטן פּראַסעסער.
איר קענט זיין זיכער אַז איר האָט דורכגעקאָכט אַלץ וואָס דאַרף זיין געטאן פון דיין טייל דורך מאַכן זיכער אַז איר אַדכיר צו די געזעץ.
פּראַסעסערז האָבן ווייניקער זעלבסטשטענדיקייַט איבער די דאַטן זיי פּראָצעס, אָבער זיי האָבן לעגאַל ריספּאַנסאַבילאַטיז אונטער די וק GDPR געזעץ און זענען אונטערטעניק צו רעגולירן דורך די אויטאריטעטן.
אויב איר זענט אַ פּראַסעסער, איר האָבן עטלעכע ריספּאַנסאַבילאַטיז און אַבלאַגיישאַנז, אַזאַ ווי:
איר האָבן צו האַלטן רעקאָרדס און טייַנען און נאָמינירן אַ דאַטן שוץ אָפיציר צו נאָכקומען מיט זיכער GDPR אַקאַונטאַביליטי אַבלאַגיישאַנז.
דער פאַרווער פון די וק אויף טראַנספערינג פערזענלעכע דאַטן צו אנדערע מענטשן אַליינז מיט די אי.יו. ס פאַרווער אויף טראַנספערינג פערזענלעכע דאַטן צו אנדערע מענטשן. איר מוזן ענשור אַז קיין אַריבערפירן אַרויס די וק איז באוויליקט דורך די קאָנטראָללער און נאָכקומען מיט די אַריבערפירן פּראַוויזשאַנז פון די וק GDPR.
איר זענט אַבליידזשד צו העלפן די אויטאריטעטן דורכפירן זייער פליכט דורך קאָואַפּערייטינג מיט זיי, אַזאַ ווי די אינפֿאָרמאַציע קאַמישאַנער ס אָפפיסע (יקאָ).
דאַטאַ קאַנטראָולערז דאַרפֿן צו מאַכן זיכער אַז זיי אַרבעטן מיט דאַטאַ פּראַסעסערז וואָס פאָרשלאָגן געראַנטיז וועגן זייער פיייקייט צו פּראָצעס פערזענלעכע דאַטן און נאָכקומען אין לויט מיט די GDPR און שוץ פון די רעכט פון די דאַטן ונטערטעניק.
וק GDPR אַפּלייז צו דאַטן פּראַסעסינג דורכגעקאָכט דורך אָרגאַנאַזיישאַנז אין די וק. עס אַפּלייז צו אָרגאַנאַזיישאַנז אַרויס פון די וק וואָס פאָרשלאָגן סכוירע אָדער באַדינונגס צו מענטשן אין די וק.
אונטער GDPR, זיכער אַקטיוויטעטן זענען נישט אונטערטעניק צו דאַטן שוץ געזעץ, אַרייַנגערעכנט פּראַסעסינג פֿאַר נאציאנאלע זיכערהייט צוועקן, פּראַסעסינג כאַנדאַלד דורך יחידים בלויז פֿאַר פּערזענלעך / הויזגעזינד אַקטיוויטעטן און פּראַסעסינג באדעקט דורך די געזעץ ענפאָרסמאַנט דירעקטיוו.
די ברעקסיט יבערגאַנג צייַט געענדיקט אין דעצעמבער 2020. וק אָרגאַנאַזיישאַנז וואָס פּראַסעסינג פערזענלעכע דאַטן האָבן צו נאָכקומען מיט:
עס זענען מינימאַל דיפעראַנסיז צווישן די וק GDPR און די אי.יו. די סטרוקטור פון די אי.יו. איז אויפגעהויבן דורך די וק און שטעלן אין פּלאַץ אין די מדינה ס געזעץ.
א טיילערד האַנט-אויף סעסיע באזירט אויף דיין באדערפענישן און גאָולז
פּראַסעסערז האָבן ווייניקערע אַבלאַגיישאַנז אָבער מוזן זיין אָפּגעהיט בלויז צו פּראָצעס פערזענלעכע דאַטן לויט די קאָנטראָללער ס ינסטראַקשאַנז.
די דאַטאַ פּראַטעקשאַן אָפיציר, וואָס די פירמע קען האָבן דעזיגנייטיד, איז פאַראַנטוואָרטלעך פֿאַר אָוווערסיינג ווי פערזענלעכע דאַטן זענען פּראַסעסט און צו געבנ צו וויסן און רעקאָמענדירן עמפּלוייז וואָס פּראַסעסינג פערזענלעכע דאַטן.
די דפּאָ אויך קאַמיונאַקייץ און קאָואַפּערייץ מיט די דאַטאַ פּראַטעקשאַן אויטאָריטעט (דפּאַ).
עס איז אַ פאָדערונג פֿאַר דיין פירמע צו נאָמינירן אַ דפּאָ ווען:
די דפּאָ קען זיין אַ מיטגליד פון דיין אָרגאַניזאַציע אָדער קען זיין קאָנטראַקטעד באזירט אויף אַ סערוויס קאָנטראַקט.
א דאַטן פּראַסעסער איז אַ נאַטירלעך מענטש, אַגענטור, עפנטלעך אויטאָריטעט אָדער קיין אנדערע גוף וואָס האלט פערזענלעכע דאַטן אויף ביכאַף פון אַ קאָנטראָללער.
דיין שטעקן איז פּראַסעסינג די דאַטן לויט דיין ינסטראַקשאַנז. דיין מאַנשאַפֿט איז נישט גערעכנט ווי דריט פּאַרטיעס אין די לעגאַל זינען, און דעריבער קיין פּראַסעסינג זיי טאָן איז אַ טייל פון דער קאַמף פון אַ דאַטן קאַנטראָולער.
אויב איר נוצן שטעקן, איר טאָן ניט האָבן אַ דירעקט באַשעפטיקונג קאָנטראַקט מיט, למשל, אַגענטור שטעקן וואָס די אַגענטור באַצאָלט. די אַגענטור אַקט ווי אַ דאַטן פּראַסעסער.
די פאלגענדע רשימה דערקלערט די טיפּיש טאַסקס פון אַ דאַטן פּראַסעסער:
דיין פֿאַרקויף מאַנשאַפֿט קאַלעקץ פערזענלעכע דאַטן פון פּאָטענציעל און יגזיסטינג קאַסטאַמערז. ווען דיין אָרגאַניזאַציע אַרבעט מיט אַן E- בריוו פֿאַרקויף פירמע אָדער אַגענטור וואָס ניצט די דאַטן, די לעצטע זענען פּראַסעסערז.
ISMS.online מאכט באַשטעטיקן און אָנפירונג דיין ISMS ווי גרינג ווי עס קענען באַקומען.
אַרטיקל 5 פון די GDPR פּרינסאַפּאַלז קלאר אַוטליינז וואָס אַ דאַטן ונטערטעניק וואָלט דערוואַרטן ווען פּראַסעסינג זייער פערזענלעכע דאַטן.
פּערסנאַלי ידענטיפיאַבלע דאַטן איז קיין אינפֿאָרמאַציע וואָס קענען זיין געניצט צו ידענטיפיצירן אַ יחיד. דאָס כולל נעמען, אַדרעסעס, טעלעפאָן נומערן, קרעדיט קאַרטל דעטאַילס און די ווי.
וואָס אידענטיפֿיצירט אַ יחיד קען זיין ווי פּשוט ווי אַ נאָמען אָדער אַ נומער, אָדער עס קען אַרייַננעמען אנדערע סיבות אַזאַ ווי אַן אינטערנעט פּראָטאָקאָל אַדרעס אָדער אַ קיכל אידענטיטעט.
אויב איר קענען ידענטיפיצירן אַ יחיד גלייַך פֿון די אינפֿאָרמאַציע איר פּראַסעסינג, די אינפֿאָרמאַציע קען זיין פערזענלעכע דאַטן.
איר דאַרפֿן צו טראַכטן וועגן צי דער יחיד איז נאָך יידענאַפייד אויב איר קענען נישט גלייך ידענטיפיצירן זיי. איר זאָל באַטראַכטן אַלע די רעסורסן וואָס זענען מסתּמא צו זיין געוויינט צו ידענטיפיצירן דעם יחיד, צוזאַמען מיט די אינפֿאָרמאַציע איר פּראַסעסינג.
אַקאַונטינג פֿאַר אַ פאַרשיידנקייַט פון סיבות, אַרייַנגערעכנט אינהאַלט פון די דאַטן, דער ציל אָדער צילן פֿאַר וואָס איר פּראַסעסינג עס, און די מסתּמא פּראַל פון די פּראַסעסינג אויף דעם יחיד איז וואָס איר דאַרפֿן צו באַטראַכטן ווען איר באַטראַכטן צי אינפֿאָרמאַציע "שייכות" צו אַ יחיד .
עס איז מעגלעך אַז די זעלבע אינפֿאָרמאַציע איז פּערסנאַלי יידענאַפייד פֿאַר איין קאָנטראָללער ס צוועקן, אָבער איז נישט פּערסאַנאַלי יידענאַפייד פֿאַר די צוועקן פון אן אנדער קאָנטראָללער.
אינפֿאָרמאַציע וואָס איז אַוועקגענומען אָדער ריפּלייסט צו באַהאַלטן די דאַטן זענען נאָך פערזענלעכע דאַטן פֿאַר די צוועקן פון וק GDPR.
אינפֿאָרמאַציע וואָס איז באמת אַנאָנימע באַנוצערס איז נישט באדעקט דורך די וק ס אַלגעמיינע דאַטאַ פּראַטעקשאַן רעגולירן.
אינפֿאָרמאַציע וואָס מיינט צו פאַרבינדן צו אַ ספּעציפיש יחיד איז נאָך פערזענלעכע דאַטן, ווי עס שייך צו דעם יחיד, אפילו אויב עס איז נישט פּינטלעך.
עס איז קריטיש צו מאַכן זיכער אַז דיין געשעפט איז GDPR געהאָרכיק. אַ ויסגעצייכנט וועג צו אָנהייבן דעם איז דורך ונטערנעמענ זיך אַן אינפֿאָרמאַציע קאָנטראָלירן און / אָדער דאַטן-מאַפּינג געניטונג צו ענשור איר וויסן וואָס פערזענלעכע דאַטן דיין אָרגאַניזאַציע האלט און ווו.
די פירמע איז אונטערטעניק צו פינעס אויב זיי טאָן ניט האַלטן רעקאָרדס פון פּראַסעסינג אַקטיוויטעטן אָדער צושטעלן אַ גאַנץ אינדעקס צו אויטאריטעטן. דאָס איז לויט אַרטיקל 83.4.אַ פון די GDPR רעגולירן.
אראפקאפיע דיין פריי פירער
צו סטרימליינינג דיין Infosec