El encargado del tratamiento sólo procesa datos personales identificables por cuenta del controlador de datos. El encargado del tratamiento suele ser un tercero externo a la empresa.
En un contrato u otro acto jurídico se deben especificar los deberes del encargado hacia el responsable, como, por ejemplo, informar a los responsables del tratamiento qué sucede con los datos personales una vez finalizado un contrato privado.
Los procesadores de datos incluyen máquinas que realizan operaciones con datos, como calculadoras o computadoras, y ahora los proveedores de servicios en la nube pueden ser etiquetados como procesadores de datos.
Un procesador de datos externo no posee ni controla los datos que procesa. El encargado del tratamiento no puede cambiar la finalidad de los datos ni cómo se utilizan.
Los procesadores de datos llevan a cabo diversas tareas de procesamiento de datos para una empresa, como almacenar datos, recuperar datos, ejecutar la nómina, actividades de marketing o brindar seguridad a los datos.
El tratamiento define cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos privados individuales, ya sea por medios automatizados o no, como la recopilación, el registro, la organización, la estructuración, el almacenamiento, la adaptación o alteración, la consulta, el uso, la divulgación por transmisión, diseminación.
En Reglamento General de Protección de Datos (GDPR), el controlador y el procesador de datos tienen responsabilidades similares y, según el RGPD, también se adhieren a principios similares. En comparación con el predecesor del RGPD, no hay muchos cambios en cuanto a qué es un encargado del tratamiento de datos.
Los procesadores de datos deben ayudar a los controladores en determinadas circunstancias, por ejemplo, en una posible notificación de violación de datos personales o considerando una Evaluación de impacto de protección de datos (DPIA).
El controlador del departamento de recursos humanos de su organización tiene métodos para procesar los datos personales de los solicitantes y empleados que deben protegerse. Es posible que algunas de las actividades de procesamiento de datos de recursos humanos puedan ser realizadas por un tercero. Un procesador es una empresa a la que subcontratará.
Su equipo de marketing procesa datos personales de clientes potenciales y clientes existentes. Estos últimos son encargados del tratamiento cuando se trabaja con una empresa o agencia de email marketing que utiliza estos datos para campañas.
Cuando desee que un cliente potencial marque un número específico en el marco de una campaña en televisión, etc., es posible que haya subcontratado las actividades del centro de contacto entrante de su organización o haya utilizado un centro de llamadas.
Los interesados son las personas que llaman y el centro de contacto se convierte en el encargado del tratamiento.
El procesador nunca es propietario de los datos personales. El responsable del tratamiento no es propietario de los datos personales de sus clientes, prospectos, empleados ni de ninguna otra persona. La persona física es propietaria de los datos personales.
Si un procesador utiliza un subprocesador para ayudar en el proceso de datos personales de un controlador, su procesador de datos debe tener un contrato escrito con ese subprocesador. Un subencargado suele ser otra organización.
Ciertamente recomendaría ISMS.online, hace que configurar y administrar su ISMS sea lo más fácil posible.
Por ejemplo, en la cervecería hay muchos empleados. La empresa firma un contrato con una empresa de nómina para pagar los salarios.
Cuando un empleado recibe un aumento de sueldo o se marcha, la cervecería informa a la empresa de nóminas cuándo se debe o no pagar el salario.
La cervecería será el responsable del tratamiento de los datos y la empresa de nómina será el encargado del tratamiento de los datos.
El Reglamento General de Protección de Datos ha descrito las diferentes funciones y responsabilidades que se esperan de un controlador de datos o de un procesador de datos.
Puede estar seguro de que ha logrado todo lo que debe hacerse de su parte asegurándose de cumplir con la ley.
Los procesadores tienen menos independencia sobre los datos que procesan, pero tienen responsabilidades legales según la ley GDPR del Reino Unido y están sujetos a la regulación de las autoridades.
Si eres un procesador, tienes algunas responsabilidades y obligaciones, tales como:
Tienes que llevar registros y mantener y nombrar un delegado de protección de datos para cumplir con determinados RGPD obligaciones de rendición de cuentas.
La prohibición del Reino Unido de transferir datos personales a otras personas se alinea con la prohibición de la UE de transferir datos personales a otras personas. Debe asegurarse de que cualquier transferencia fuera del Reino Unido sea aprobada por el controlador y cumpla con las disposiciones de transferencia del RGPD del Reino Unido.
Está obligado a ayudar a las autoridades a desempeñar sus funciones cooperando con ellas, como por ejemplo Oficina del Comisionado de Información (ICO).
Los Controladores de datos deben asegurarse de trabajar con Procesadores de datos que ofrezcan garantías con respecto a su capacidad para procesar datos personales y cumplir con el RGPD y la protección de los derechos del interesado.
El RGPD del Reino Unido se aplica al procesamiento de datos realizado por organizaciones en el Reino Unido. Se aplica a organizaciones fuera del Reino Unido que ofrecen bienes o servicios a personas en el Reino Unido.
Según el RGPD, determinadas actividades no están sujetas a la ley de protección de datos, incluido el procesamiento con fines de seguridad nacional, el procesamiento realizado por individuos exclusivamente para actividades personales/domésticas y el procesamiento cubierto por el Directiva de aplicación de la ley.
El período de transición del Brexit finalizó en diciembre de 2020. Las organizaciones del Reino Unido que procesan datos personales deben cumplir con:
Existen diferencias mínimas entre el RGPD del Reino Unido y su equivalente de la UE. La estructura de la UE ha sido levantada por el Reino Unido y incorporada en la legislación del país.
Una sesión práctica adaptada a tus necesidades y objetivos.
Los procesadores tienen menos obligaciones, pero deben tener cuidado de procesar datos personales únicamente de acuerdo con las instrucciones del controlador.
El Protección de Datos El funcionario, que la empresa pueda haber designado, es responsable de supervisar cómo se procesan los datos personales y de notificar y asesorar a los empleados que procesan datos personales.
El DPO también se comunica y coopera con el Protección de Datos Autoridad (APD).
Existe el requisito de que su empresa designe un DPO cuando:
El DPO puede ser miembro de su organización o puede estar contratado en base a un contrato de servicios.
Un procesador de datos es una persona física, agencia, autoridad pública o cualquier otro organismo que posee datos personales en nombre de un controlador.
Su personal procesa los datos según sus instrucciones. Su equipo no tiene la consideración de terceros en el sentido jurídico, por lo que cualquier tratamiento que realicen forma parte de la actuación de un responsable del tratamiento.
Si utiliza personal, no tiene un contrato de empleo directo con, por ejemplo, el personal de la agencia a quien la agencia paga. La agencia actúa como encargado del tratamiento de datos.
El siguiente listado explica las tareas típicas de un encargado del tratamiento de datos:
Su equipo de marketing recopila datos personales de clientes potenciales y existentes. Cuando su organización trabaja con una empresa o agencia de email marketing que utiliza estos datos, estas últimas son procesadores.
ISMS.online hace que configurar y administrar su SGSI sea lo más fácil posible.
El artículo 5 de los principios del RGPD describe claramente lo que un interesado esperaría al procesar sus datos personales.
Datos de identificación personal Es cualquier información que pueda usarse para identificar a un individuo. Esto incluye nombres, direcciones, números de teléfono, detalles de tarjetas de crédito y similares.
Lo que identifica a un individuo podría ser tan sencillo como un nombre o un número, o podría incluir otros factores como una dirección de protocolo de Internet o un identificador de cookie.
Si puede identificar a una persona directamente a partir de la información que está procesando, esa información puede ser información personal.
Debe pensar si el individuo todavía es identificable si no puede identificarlo directamente. Se deben considerar todos los recursos que es razonablemente probable que se utilicen para identificar a esa persona, junto con la información que está procesando.
Tener en cuenta una variedad de factores, incluido el contenido de los datos, el propósito o propósitos para los que los está procesando y el impacto probable de ese procesamiento en el individuo es lo que debe considerar al considerar si la información "se relaciona" con un individuo. .
Es posible que la misma información sea personalmente identificable para los fines de un controlador, pero no sea personalmente identificable para los fines de otro controlador.
La información que se ha eliminado o reemplazado para ocultar los datos sigue siendo información personal a los efectos del RGPD del Reino Unido.
La información que es verdaderamente anónima no está cubierta por el Reglamento General de Protección de Datos del Reino Unido.
La información que parece estar relacionada con un individuo específico sigue siendo información personal, ya que se relaciona con ese individuo, incluso si no es exacta.
Asegurarse de que su empresa cumpla con el RGPD es fundamental. Una excelente manera de comenzar es realizando una auditoría de la información y/o un ejercicio de mapeo de datos para asegurarse de saber qué datos personales posee su organización y dónde.
La empresa está sujeta a multas si no mantiene registros de las actividades de procesamiento o no proporciona un índice completo a las autoridades. Así lo establece el artículo 83.4.a del Reglamento GDPR.
Descarga tu guía gratuita
para optimizar su Infosec