GDPR SECURITY – Operativa effekterna av GDPR i Eu och Stockholm

Den nya generella databeskrivningsförordningen GDPR kommer att ersätta dataskyddsdirektivet 95/46 / ec med verkan den 25 maj 2018. GDPR är direkt tillämplig i varje medlemsstat och kommer att leda till en ökad grad av harmonisering av datasäkerheten över hela EU nationer.

Trots att många företag redan har antagit privata processer och förfaranden som överensstämmer med direktivet innehåller General data protection regulation ett antal nya skydd för EU-registrerade och hotar betydande böter och påföljder för icke-kompatibla datakontrollanter och processorer när de träder i kraft under våren 2018.

Med nya skyldigheter i frågor som registrerat samtycke, datan anonymisering, anmälan om överträdelser, överföring av data över gränserna och utnämning av dataskyddsansvariga för att nämna några kräver GDPR att företag som hanterar EU-medborgarnas data ska genomföra en stor operativ reform.

Operativa effekterna av GDPR i Eu och i Stockholm

GDPR förbättrar datasäkerhets- och brottmeddelandestandarder

Datasäkerhet spelar en framträdande roll i den nya allmänna databeskrivningsförordningen General data protection regulation som speglar dess symbiotiska förhållande med moderna omfattande integritetsregler.

I jämförelse med direktiv 95/46 / EEG införs General data protection regulation strängare förpliktelser för dataprocessorer och registeransvariga när det gäller datasäkerhet samtidigt som de erbjuder mer vägledning om lämpliga säkerhetsstandarder. General data protection regulation antar också för första gången särskilda riktlinjer för överträdelseanmälan.

Säkerhet för databehandlingsstandarder

GDRP skiljer ansvar och uppgifter hos datainsamlare och processorer, vilket förplikar kontrollanter att engagera endast de processorer som tillhandahåller ”tillräckliga garantier för att genomföra lämpliga tekniska och organisatoriska åtgärder” för att uppfylla GDPR: s krav och skydda registrerade rättigheter. Processorer måste också vidta alla åtgärder som krävs enligt artikel 32, som avgränsar GDPR: s ”säkerhetshanterings” -standarder.

Enligt artikel 32, i likhet med direktivets artikel 17, måste kontrollörer och processorer ”genomföra lämpliga tekniska och organisatoriska åtgärder” med hänsyn till ”toppmoderna och kostnader för genomförandet” och ”arten, omfattningen, sammanhanget och bearbetningens ändamål samt risken för varierande sannolikhet och svårighetsgrad för naturresursernas rättigheter och friheter. ”Till skillnad från direktivet ger GDPR konkreta förslag på vilka typer av säkerhetsåtgärder som kan anses vara” lämpliga för risken, ” Inklusive:
• Pseudonymisering och kryptering av personuppgifter.
• Förmågan att säkerställa fortlöpande sekretess, integritet, tillgänglighet och robusthet hos bearbetningssystem och tjänster.
• Möjligheten att återställa tillgängligheten och tillgången till personuppgifter i tid i händelse av en fysisk eller teknisk incident.
• En process för att regelbundet testa, utvärdera och utvärdera effektiviteten

En process för att regelbundet testa, utvärdera och utvärdera effektiviteten av tekniska och organisatoriska åtgärder för att säkerställa säkerheten i behandlingen.

Kontrollörer och processorer som följer en godkänd uppförandekod eller en godkänd certifieringsmekanism – som beskrivs i artiklarna 40 och 42 – kan använda dessa verktyg för att visa att GDPR: s säkerhetsstandarder överensstämmer.

För ytterligare vägledning om säkerhetsstandarder kan kontrollanter och processorer överväga skälen, särskilt skäl 49 och 71, som tillåter behandling av personuppgifter på sätt som annars inte kan vara olämpliga för att säkerställa nätverkssäkerhet och tillförlitlighet.

”Personlig överträdelse” anmälningsstandarder

Till skillnad från direktivet, som var tyst vid frågan om överträdelse av uppgifter, innehåller GDPR en definition av ”brott mot personuppgifter” och anmälningskrav till både tillsynsmyndigheten och berörda personer.

”Personuppgifter” definieras i både direktivet och GDPR som ”information om en identifierad eller identifierbar fysisk person (” registrerad ”).” Enligt GDPR är ett brott mot personuppgifter ”ett brott mot säkerhetsansvar till oavsiktlig eller olaglig förstörelse, förlust, ändring, obehörig avslöjande av eller tillgång till överförda personuppgifter, lagrade eller på annat sätt bearbetade. ”Denna breda definition skiljer sig från den som till exempel de flesta amerikanska statliga lagar om dataöverträdelse, som typiskt utlöses endast vid exponering av information som kan leda till bedrägeri eller identitetsstöld, såsom finansiell kontoinformation.

I händelse av brott mot personuppgifter måste registeransvariga meddela tillsynsmyndigheten ”behörig enligt artikel 55”, som sannolikt (med hänvisning till artikel 56.1) är tillsynsmyndigheten i den medlemsstat där den registeransvarige har sin huvudsakliga verksamhet eller enda etablering, även om detta inte är helt klart. Meddelandet måste lämnas ”utan onödigt dröjsmål och, om möjligt, inte senare än 72 timmar efter att ha blivit medveten om det.” Om anmälan inte görs inom 72 timmar måste kontrollanten tillhandahålla en ”motiverad motivering” för förseningen.

Artikel 33.1 innehåller ett viktigt undantag från kravet på tillsynsmyndighetens anmälan: Meddelandet är inte obligatoriskt om ”brott mot personuppgifterna sannolikt inte leder till risk för fysiska personers rättigheter och friheter”, en fras som utan tvekan kommer att erbjuda dataskyddspersonal och deras yttre råd möjligheter att diskutera nödvändigheten av anmälan.

generaldataprotectionregulation stockholm