De gegevensverwerker verwerkt uitsluitend identificeerbare persoonsgegevens in opdracht van de gegevensbeheerder. De gegevensverwerker is doorgaans een derde partij die buiten het bedrijf staat.
In een contract of een andere rechtshandeling moeten de plichten van de verwerker tegenover de verwerkingsverantwoordelijke worden vastgelegd, zoals het laten weten aan de verwerkingsverantwoordelijken wat er met persoonsgegevens gebeurt zodra een onderhands contract wordt beëindigd.
Gegevensverwerkers omvatten machines die bewerkingen op gegevens uitvoeren, zoals rekenmachines of computers, en nu kunnen aanbieders van clouddiensten als gegevensverwerkers worden bestempeld.
Een externe gegevensverwerker is geen eigenaar van of controle over de gegevens die zij verwerken. De gegevensverwerker kan het doel van de gegevens of de manier waarop deze worden gebruikt niet wijzigen.
Gegevensverwerkers voeren verschillende gegevensverwerkingstaken uit voor een bedrijf, zoals het opslaan van gegevens, het ophalen van gegevens, het uitvoeren van de loonlijst, marketingactiviteiten of het beveiligen van gegevens.
Verwerking definieert elke bewerking of reeks bewerkingen die worden uitgevoerd op persoonlijke gegevens of sets van individuele privégegevens, al dan niet met geautomatiseerde middelen, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, aanpassen of wijzigen, raadplegen, gebruiken, openbaar maken door verzending, verspreiding.
In het Algemene Gegevensbeschermingsverordening (GDPR)hebben de verwerkingsverantwoordelijke en de gegevensverwerker soortgelijke verantwoordelijkheden, en houden zij zich op grond van de AVG ook aan soortgelijke beginselen. Vergeleken met de voorganger van de AVG verandert er niet zo veel wat een gegevensverwerker is.
Gegevensverwerkers moeten in bepaalde omstandigheden de verwerkingsverantwoordelijken bijstaan, bijvoorbeeld bij een melding van een mogelijke inbreuk op persoonsgegevens of bij het overwegen van: Gegevensbeschermingseffectbeoordeling (DPIA).
De verwerkingsverantwoordelijke van de HR-afdeling van uw organisatie beschikt over methoden om de persoonsgegevens van sollicitanten en medewerkers te verwerken die beschermd moeten worden. Het is mogelijk dat sommige HR-gegevensverwerkingsactiviteiten door een derde partij kunnen worden uitgevoerd. Een verwerker is een bedrijf waaraan u uitbesteedt.
Jouw marketingteam verwerkt persoonsgegevens van potentiële klanten en bestaande klanten. Deze laatste zijn verwerker wanneer zij samenwerkt met een e-mailmarketingbedrijf of -bureau dat deze gegevens gebruikt voor campagnes.
Wanneer u wilt dat een potentiële klant een specifiek nummer inbelt in het kader van een campagne op tv, enzovoort, heeft u mogelijk de inkomende contactcenteractiviteiten van uw organisatie uitbesteed of een callcenter gebruikt.
De betrokkenen zijn de mensen die inbellen en het contactcenter wordt de verwerker.
De verwerker is nooit eigenaar van de persoonsgegevens. De verwerkingsverantwoordelijke is geen eigenaar van de persoonsgegevens van zijn klanten, prospects, werknemers of wie dan ook. De natuurlijke persoon is eigenaar van de persoonsgegevens.
Als een verwerker een subverwerker gebruikt om de verwerking van persoonsgegevens voor een verwerkingsverantwoordelijke te ondersteunen, moet uw gegevensverwerker een schriftelijke overeenkomst met die subverwerker hebben. Een subverwerker is doorgaans een andere organisatie.
Ik zou ISMS.online zeker aanbevelen, het maakt het opzetten en beheren van uw ISMS zo eenvoudig mogelijk.
Bij de brouwerij werken bijvoorbeeld veel medewerkers. Het bedrijf tekent een contract met een loonbedrijf om de lonen uit te betalen.
Wanneer een medewerker een loonsverhoging krijgt of vertrekt, vertelt de brouwerij aan het loonbedrijf wanneer het loon wel of niet moet worden uitbetaald.
De brouwerij zal de gegevensbeheerder zijn en het loonbedrijf zal de gegevensverwerker zijn.
De Algemene Verordening Gegevensbescherming heeft de verschillende rollen en verantwoordelijkheden geschetst die van een gegevensbeheerder of een gegevensverwerker worden verwacht.
U kunt erop vertrouwen dat u alles hebt bereikt wat van uw kant moet worden gedaan door ervoor te zorgen dat u zich aan de wet houdt.
Verwerkers hebben minder onafhankelijkheid over de gegevens die zij verwerken, maar hebben wel wettelijke verantwoordelijkheden onder de Britse AVG-wetgeving en zijn onderworpen aan toezicht van de autoriteiten.
Als u verwerker bent, heeft u een aantal verantwoordelijkheden en verplichtingen, zoals:
Je moet een administratie bijhouden en een functionaris voor gegevensbescherming om aan bepaalde AVG te voldoen aansprakelijkheidsverplichtingen.
Het Britse verbod op de overdracht van persoonlijke gegevens aan andere mensen komt overeen met het EU-verbod op de overdracht van persoonlijke gegevens aan andere mensen. U moet ervoor zorgen dat elke overdracht buiten het Verenigd Koninkrijk wordt goedgekeurd door de verwerkingsverantwoordelijke en voldoet aan de overdrachtsbepalingen van de Britse AVG.
U bent verplicht de autoriteiten te helpen bij het uitvoeren van hun taken door met hen samen te werken, zoals de Information Commissioner's Office (ICO).
Gegevensbeheerders moeten ervoor zorgen dat ze samenwerken met gegevensverwerkers die garanties bieden met betrekking tot hun vermogen om persoonsgegevens te verwerken en te voldoen in overeenstemming met de AVG en de bescherming van de rechten van de betrokkene.
De Britse AVG is van toepassing op gegevensverwerking die wordt uitgevoerd door organisaties in het Verenigd Koninkrijk. Het is van toepassing op organisaties buiten het Verenigd Koninkrijk die goederen of diensten aanbieden aan personen in het Verenigd Koninkrijk.
Onder de AVG zijn bepaalde activiteiten niet onderworpen aan de wetgeving inzake gegevensbescherming, waaronder verwerking voor doeleinden van nationale veiligheid, verwerking die door individuen wordt uitgevoerd louter voor persoonlijke/huishoudelijke activiteiten en verwerking die valt onder de AVG. Richtlijn rechtshandhaving.
De Brexit-overgangsperiode eindigde in december 2020. Britse organisaties die persoonsgegevens verwerken moeten voldoen aan:
Er zijn minimale verschillen tussen de Britse AVG en het EU-equivalent. De structuur van de EU is door Groot-Brittannië opgeheven en in de wetgeving van het land vastgelegd.
Een praktijkgerichte sessie op maat, afgestemd op uw wensen en doelstellingen
Verwerkers hebben minder verplichtingen, maar moeten erop letten dat ze persoonsgegevens alleen verwerken volgens de instructies van de verwerkingsverantwoordelijke.
De Data Protection De functionaris, die het bedrijf mogelijk heeft aangewezen, is verantwoordelijk voor het toezicht op de verwerking van persoonsgegevens en voor het informeren en adviseren van medewerkers die persoonsgegevens verwerken.
De DPO communiceert en werkt ook samen met de Data Protection Autoriteit (DPA).
Er is een verplichting voor uw bedrijf om een DPO aan te stellen wanneer:
De DPO kan lid zijn van uw organisatie of kan zijn gecontracteerd op basis van een servicecontract.
Een gegevensverwerker is een natuurlijke persoon, instantie, overheidsinstantie of andere instantie die namens een verwerkingsverantwoordelijke persoonsgegevens bewaart.
Uw personeel verwerkt de gegevens volgens uw instructies. Uw team wordt in juridische zin niet beschouwd als derde partijen en daarom maakt elke verwerking die zij uitvoeren deel uit van de actie van een gegevensbeheerder.
Als u personeel inschakelt, heeft u geen directe arbeidsovereenkomst met bijvoorbeeld uitzendkrachten die het uitzendbureau betaalt. Het bureau treedt op als gegevensverwerker.
In de volgende lijst worden de typische taken van een gegevensverwerker uitgelegd:
Jouw marketingteam verzamelt persoonsgegevens van potentiële en bestaande klanten. Wanneer uw organisatie samenwerkt met een e-mailmarketingbedrijf of -bureau dat deze gegevens gebruikt, zijn deze laatste verwerker.
ISMS.online maakt het opzetten en beheren van uw ISMS zo eenvoudig mogelijk.
Artikel 5 van de AVG-beginselen schetst duidelijk wat een betrokkene zou verwachten bij de verwerking van zijn persoonsgegevens.
Persoonlijk identificeerbare gegevens is alle informatie die kan worden gebruikt om een individu te identificeren. Dit omvat namen, adressen, telefoonnummers, creditcardgegevens en dergelijke.
Wat een individu identificeert kan zo eenvoudig zijn als een naam of een nummer, maar het kan ook andere factoren omvatten, zoals een internetprotocoladres of een cookie-identificator.
Als u een persoon rechtstreeks kunt identificeren aan de hand van de informatie die u verwerkt, kan deze informatie persoonsgegevens zijn.
U moet erover nadenken of de persoon nog steeds identificeerbaar is als u hem of haar niet rechtstreeks kunt identificeren. Alle bronnen die redelijkerwijs kunnen worden gebruikt om die persoon te identificeren, moeten in overweging worden genomen, samen met de informatie die u verwerkt.
Het rekening houden met een verscheidenheid aan factoren, waaronder de inhoud van de gegevens, het doel of de doeleinden waarvoor u deze verwerkt, en de waarschijnlijke impact van die verwerking op het individu, is waar u rekening mee moet houden wanneer u nagaat of informatie ‘betrekking heeft’ op een individu. .
Het is mogelijk dat dezelfde informatie persoonlijk identificeerbaar is voor de doeleinden van de ene verwerkingsverantwoordelijke, maar niet persoonlijk identificeerbaar is voor de doeleinden van een andere verwerkingsverantwoordelijke.
Informatie die is verwijderd of vervangen om de gegevens te verbergen, zijn nog steeds persoonlijke gegevens in de zin van de Britse AVG.
Informatie die werkelijk anoniem is, valt niet onder de Britse Algemene Verordening Gegevensbescherming.
Informatie die betrekking lijkt te hebben op een specifiek individu, is nog steeds een persoonsgegeven, aangezien het betrekking heeft op dat individu, ook al is het niet accuraat.
Het is van cruciaal belang dat uw bedrijf voldoet aan de AVG. Een uitstekende manier om hiermee te beginnen is door een informatieaudit en/of datamapping uit te voeren om ervoor te zorgen dat u weet welke persoonlijke gegevens uw organisatie bewaart en waar.
Het bedrijf riskeert boetes als het geen registers van verwerkingsactiviteiten bijhoudt of geen volledige index aan de autoriteiten verstrekt. Dit is overeenkomstig artikel 83.4.a van de AVG-verordening.
Download uw gratis gids
om uw Infosec te stroomlijnen