מעבד נתונים מוגדר

מה המשמעות של מעבד נתונים?

עיבוד מגדיר כל פעולה או מערך פעולות המבוצעים על נתונים אישיים או סטים של נתונים פרטיים בודדים, בין אם באמצעים אוטומטיים ובין אם לא, כגון איסוף, הקלטה, ארגון, מבנה, אחסון, התאמה או שינוי, ייעוץ, שימוש, חשיפה באמצעות שידור, הֲפָצָה.

ב תקנה כללית להגנה על נתונים (GDPR), לבקר ולמעבד הנתונים יש אחריות דומות, ותחת ה-GDPR הם גם מקפידים על עקרונות דומים. בהשוואה לקודמו של GDPR, אין כל כך שינוי לגבי מהו מעבד נתונים.

מעבדי נתונים צריכים לסייע לבקרים בנסיבות מסוימות, למשל, בהתראה פוטנציאלית על הפרת נתונים אישיים או בהתחשב ב הערכת השפעה על הגנת נתונים (DPIA).

דוגמאות למעבדי נתונים

לבקר של מחלקת משאבי אנוש בארגון שלך יש שיטות לעבד את הנתונים האישיים של מועמדים ועובדים שיש להגן עליהם. ייתכן שחלק מפעילויות עיבוד נתוני משאבי אנוש עשויות להתבצע על ידי צד שלישי. מעבד היא חברה שאליה תבצע מיקור חוץ.

צוות השיווק שלך מעבד נתונים אישיים של לקוחות פוטנציאליים ושל לקוחות קיימים. האחרונים הם מעבדים כאשר הם עובדים עם חברת שיווק או סוכנות דוא"ל שמשתמשת בנתונים אלה לקמפיינים.

כאשר אתה רוצה שלקוח פוטנציאלי יחייג למספר מסוים בהיקף של קמפיין בטלוויזיה וכן הלאה, ייתכן שביצעת את פעילות מרכז הקשר הנכנס של הארגון שלך במיקור חוץ או השתמשת במוקד טלפוני.

נושאי הנתונים הם האנשים שמתקשרים, ומרכז הקשר הופך למעבד.

המעבד לעולם אינו הבעלים של הנתונים האישיים. הבקר אינו הבעלים של הנתונים האישיים של לקוחותיו, לקוחות פוטנציאליים, עובדיו או כל אדם אחר. האדם הטבעי הוא הבעלים של הנתונים האישיים.

מהו תת-מעבד?

אם מעבד משתמש במעבד משנה כדי לסייע בתהליך של נתונים אישיים עבור בקר, למעבד הנתונים שלך צריך להיות חוזה בכתב עם אותו מעבד משנה. מעבד משנה הוא בדרך כלל ארגון אחר.

מה צריך לכלול בחוזה:

• נושא העיבוד.
• משך הזמן שאורך העיבוד.
• מטרת העיבוד ואופי התהליך.
• סוגי הנתונים המעורבים.
• קטגוריות נושאי הנתונים.
• אחריות וזכויות הבקר.

החוזה או פעולה משפטית אחרת יכולים לכלול תנאים או סעיפים, כגון:

• אלא אם כן החוק מחייב זאת, ההנחיות המתועדות של הבקר הן ההנחיות היחידות שעל המעבד לפעול לפיהן.
• על המעבד לוודא שהאנשים המעבדים את הנתונים כפופים לחובת סודיות.
• יש לנקוט באמצעים מתאימים כדי להבטיח את אבטחת העיבוד.
• על פי חוזה בכתב, על המעבד להעסיק מעבד משנה רק באישור מראש של הבקר.
• יש לנקוט באמצעים מתאימים כדי לסייע לבקר להגיב לבקשות של אנשים לממש את זכויותיהם.
• מבקר הנתונים זקוק לעזרת המעבד בעמידה בהתחייבויותיו בנוגע לאבטחת העיבוד, הכרזה על הפרות מידע אישי והערכות ההשפעה על הגנת מידע.
• בתום החוזה, על המעבד להחזיר את כל הנתונים האישיים לבקר. אם החוק מחייב זאת, על המעבד גם להשמיד נתונים אישיים קיימים אלא אם נאמר במפורש שיש לשמור את הנתונים באחסון.
• המעבד מחויב להגיש ביקורות ובדיקות. המעבד צריך לתת לבקר את כל המידע להבטיח שהם עומדים בהתחייבויותיהם ב בהתאם לחובותיהם לפי סעיף 28 של ה-GDPR.

תאימות GDPR ומעבדי נתונים

אחריות אישית של מעבד הנתונים

למשל, יש הרבה עובדים במבשלה. החברה חותמת על חוזה עם חברת שכר לתשלום שכר.

כאשר לעובד יש עלייה בשכר או עוזב, המבשלה אומרת לחברת השכר מתי צריך או לא צריך לשלם את השכר.

המבשלה תהיה בקרה הנתונים, וחברת השכר תהיה מעבדת הנתונים.

האם אתה מעבד נתונים?

• אתה עוקב אחר ההוראות כיצד לעבד נתונים אישיים.
• נאמר לך אילו נתונים לאסוף על ידי הלקוח או צד שלישי.
• אתה לא מחליט לאסוף נתונים אישיים מאנשים פרטיים.
• אין לך השפעה על אילו נתונים אישיים נאספים מאנשים פרטיים.
• אתה לא מחליט על בסיס חוקי לשימוש בנתונים אלה.
• אתה לא מחליט לאיזו מטרה הנתונים ישמשו.
• אתה לא מחליט אם יש לחשוף את הנתונים או למי.
• אין לך החלטה כמה זמן לשמור את הנתונים.
• אתה יכול לקבל כמה החלטות לגבי אופן עיבוד הנתונים, אבל רק אם יש לך חוזה עם מישהו אחר.
• התוצאה הסופית של העיבוד היא לא משהו שאתה מעוניין בו.

חשוב להבין את תפקידך בתאימות ל-GDPR

תקנת הגנת המידע הכללית התווה את התפקידים והאחריות השונים הצפויים מבקר נתונים או ממעבד נתונים.

אתה יכול להיות בטוח שהשגת את כל מה שצריך לעשות מצידך על ידי הקפדה על ציות לחוק.

חובות עיבוד נתונים - מאמרי GDPR קריטיים

למעבדים יש פחות עצמאות בנתונים שהם מעבדים, אבל יש להם אחריות משפטית על פי חוק ה-GDPR הבריטי והם כפופים לרגולציה של הרשויות.

אם אתה מעבד, יש לך כמה חובות וחובות, כגון:

חובות אחריות

עליך לנהל רישומים ולשמור ולמנות א קצין הגנת מידע כדי לציית ל-GDPR מסוימים חובות אחריות.

העברות בינלאומיות

האיסור של בריטניה על העברת נתונים אישיים לאנשים אחרים מתיישב עם האיסור של האיחוד האירופי על העברת נתונים אישיים לאנשים אחרים. עליך לוודא שכל העברה מחוץ לבריטניה מאושרת על ידי הבקר ועומדת בתנאי ההעברה של GDPR בבריטניה.

שיתוף פעולה עם רשויות הפיקוח

אתה מחויב לסייע לרשויות בביצוע תפקידן על ידי שיתוף פעולה עמן, כגון משרד נציב המידע (ICO).

בקרי נתונים צריכים לוודא שהם עובדים עם מעבדי נתונים המציעים ערבויות לגבי יכולתם לעבד נתונים אישיים ולציית בהתאם ל-GDPR ולהגנה על הזכויות של נושא הנתונים.

על מי חל ה-GDPR בבריטניה?

GDPR של בריטניה חל על עיבוד נתונים המבוצע על ידי ארגונים בבריטניה. זה חל על ארגונים מחוץ לבריטניה המציעים סחורות או שירותים לאנשים פרטיים בבריטניה.

על פי GDPR, פעילויות מסוימות אינן כפופות לחוק הגנת מידע, לרבות עיבוד למטרות ביטחון לאומי, עיבוד המטופל על ידי יחידים אך ורק לפעילויות אישיות/ביתיות ועיבוד המכוסה ב- הוראת אכיפת החוק.

תקופת המעבר של Brexit הסתיימה בדצמבר 2020. ארגונים בבריטניה המעבדים נתונים אישיים חייבים לציית ל:

• ה-DPA (חוק הגנת מידע) 2018.
• GDPR בבריטניה (אם הם מעבדים רק נתונים אישיים מקומיים).

ישנם הבדלים מינימליים בין ה-GDPR של בריטניה לבין המקבילה של האיחוד האירופי. המבנה של האיחוד האירופי הוסר על ידי בריטניה והוכנס לתוקף בחוק של המדינה.

העסק שלך ומערכת הגנת הנתונים שלך

מי מפקח על אופן עיבוד הנתונים האישיים בארגון?

למעבדים יש פחות חובות אך עליהם להקפיד לעבד נתונים אישיים רק לפי הנחיות הבקר.

הארגון שלך נדרש לייעד DPO

השמיים הגנה על נתונים נושא המשרה, שאולי החברה ייעדה, אחראי לפקח על אופן עיבוד הנתונים האישיים ולהודיע ​​ולייעץ לעובדים המעבדים נתונים אישיים.

ה-DPO גם מתקשר ומשתף פעולה עם הגנה על נתונים רשות (DPA).

יש דרישה מהחברה שלך למנות DPO כאשר:

• אתה עוקב אחר אנשים ומעבד קטגוריות של נתונים באופן קבוע.
• עיבוד נתונים הוא פעילות ליבה של העסק.
• הארגון מעבד נתונים בקנה מידה גדול.

ה-DPO עשוי להיות חבר בארגון שלך או שייחתם על סמך חוזה שירות.

האם עובדים מסווגים כמעבדי נתונים?

מעבד נתונים הוא אדם טבעי, סוכנות, רשות ציבורית או כל גוף אחר המחזיק במידע אישי מטעם בקר.

הצוות שלך מעבד את הנתונים בהתאם להנחיות שלך. הצוות שלך אינו נחשב לצדדים שלישיים במובן המשפטי, ולכן כל עיבוד שהם מבצעים הוא חלק מהפעולה של בקר הנתונים.

אם אתה משתמש בצוות, אין לך חוזה העסקה ישיר עם, למשל, עובדי סוכנות שהסוכנות משלמת. הסוכנות פועלת כמעבד נתונים.

דוגמה ומשימות של מעבד נתונים

הרשימה הבאה מסבירה את המשימות האופייניות של מעבד נתונים:

• תהליכי IT ומערכות המאפשרים לבקר הנתונים לאסוף נתונים אישיים יתוכננו, נוצרו ויושמו.
• השתמש בכלים ובטכניקות שניתן להשתמש בהם כדי לאסוף נתונים אישיים.
• ניתן להפעיל אמצעי אבטחה כדי להגן על נתונים אישיים.
• ניתן לאחסן נתונים אישיים שנאספו על ידי מבקר הנתונים.
• הנתונים מועברים מבוקר הנתונים לארגון אחר - להיפך.

דוגמה למעבד נתונים במקום העבודה

צוות השיווק שלך אוסף נתונים אישיים של לקוחות פוטנציאליים וקיימים. כאשר הארגון שלך עובד עם חברת שיווק או סוכנות דוא"ל שמשתמשת בנתונים אלה, האחרונים הם מעבדים.