Treoir do mhicrifhiontair maidir le slándáil sonraí pearsanta faoingdpr

Cuireann an Rialachán Ginearálta um Chosaint Sonraí ("an GDPR") go mór le hoibleagáidí agus le freagrachtaí eagraíochtaí agus gnólachtaí maidir le conas a bhailíonn siad, a úsáideann agus a chosnaíonn siad sonraí pearsanta.

Is é croílár an dlí nua an ceanglas atá ann d'eagraíochtaí agus do ghnólachtaí a bheith trédhearcach maidir le conas a bhailíonn, a úsáideann agus a chosnaíonn siad sonraí pearsanta. Cuimsíonn an ceanglas trédhearcachta seo leagtha amach faoi airteagal 12 den GDPR faisnéis shoiléir, ghonta a sholáthar d'ábhair sonraí agus cearta na n-ábhar sonraí a éascú.

Ina theannta sin, fágfaidh prionsabal na freagrachta, atá leagtha amach faoi airteagal 5 den GDPR, go mbeidh eagraíochtaí agus gnóthais atá freagrach as prionsabail an dlí nua a bhaineann le próiseáil sonraí pearsantaa chomhlíonadh.

D'fhorbair Oifig an Choimisinéara Cosanta Sonraí ("an CCS") an treoir seo chun cabhrú le micrifhiontair na bearta slándála teicniúla agus eagraíochtúla cuí a chur i bhfeidhm chun sonraí pearsanta atá á bpróiseáil acu a chosaint.

Sainmhínítear micrifhiontair mar eagraíocht ag a bhfuil níos lú ná 10 fostaithe aici agus láimhdeachas bliantúil (an méid airgid a tógadh i dtréimhse áirithe) nó clár comhardaithe (ráiteas ar shócmhainní agus ar dhliteanais na cuideachta) faoi bhun €2 mhilliún1.

Más micrifhiontair é do chuideachta atá i mbun próiseáil sonraí pearsanta, mar rialaitheoir sonraí nó mar phróiseálaí sonraí, beidh tú faoi réir fhorálacha an dlí nua. Tárialaitheoir sainmhínithe faoi airteagal 4 den GDPR mar dhuine nádúrtha nó dlítheanach a chinneann, ina n-aonar nó i gcomhpháirt le daoine eile, na críocha agus na modhanna a bhaineann le próiseáil sonraí pearsanta. Sainmhíníonn an t-alt céanna próiseálaí sonraí mar dhuine nádúrtha nó dlítheanach a phróiseálann sonraí pearsanta ar son rialaitheoir sonraí.

Tá an GDPR infheidhme maidir le próiseáil sonraí pearsanta ag micrifhiontair atá bunaithe agus a oibríonn lasmuigh den Aontas Eorpach ("an AE"). Má tá do chuideachta bunaithe san AE, tá forálacha an GDPR infheidhme maidir le do phróiseáil sonraí pearsanta i gcomhthéacs ghníomhaíochtaí do bhunaíochta(í)laistigh den AE.

Mura bhfuil do chuideachta bunaithe san AE, tá an dlí nua infheidhme maidir le próiseáil sonraí pearsanta daoine aonair san AE maidir le tairiscint earraí nó seirbhísí (beag beann ar íocaíocht a bheith i gceist) agus le monatóireacht a dhéanamh ar iompar duine aonair (a mhéid is go dtarlóidh an t-iompar sin laistigh den AE).

Leag an CCS ceithre phríomhbhealachamach chun cabhrú le micrifiontair a gcórais Teicneolaíochta Faisnéise agus Cumarsáide ("TFC") a dhaingniú faoin GDPR. D'fhoilsigh an CCS treoir ullmhachta GDPR freisin chun cabhrú le heagraíochtaí bheith ullamh don GDPR ar féidir í a fháil ag www.GDPRANDYOU.ie

1 Moladh an Choimisiúin 6Bealtaine2003 maidir le sainmhíniu armicrifhiontair, fiontair bheagaagus fiontair mheánmhéidehttp://eur-lex.europa.eu/legal-content/EN/LSU/?uri=CELEX:32003H0361

AithinDoShonraí

Ba cheart do mhicrifhiontair athbhreithniú a dhéanamh go rialta ar na sonraí pearsanta a phróiseálann siad agus ar cad iad na sonraí pearsanta agus, go háirithe, na catagóirí speisialta sonraí pearsanta atá ina seilbh acu.

Faoi Airteagal 4 den GDPR ciallaíonn “sonraí pearsanta” aon fhaisnéis a bhaineann le duine nádúrtha saineaitheanta nó in-sainaitheanta (“ábhar sonraí”); is é is duine nádúrtha in-sainaitheanta ann duine is féidir a shainaithint, go díreach nó go hindíreach, go háirithe trí thagairt a dhéanamh d'aitheantóir amhail ainm, uimhir aitheantais, sonraí suímh, aitheantóir ar líne nó ceann amháin nó níos mó de thosca a bhaineann go sonrach le céannacht fhisiceach, fhiseolaíoch, ghéiniteach, mheabhrach, eacnamaíoch, chultúrtha nó shóisialta an duine nádúrtha sin;

Faoi Airteagal 9 den GDPR ciallaíonn‘catagóirí speisialta sonraí pearsanta’, mar shonraí pearsanta lena léirítear tionscnamh ciníoch nó eitneach, tuairimí polaitiúla, creideamh reiligiúnach nó fealsúnach, nó ballraíocht i gceardchumann, sonraí géiniteacha, shonraí bithmhéadracha, ar shonraí a bhaineann leis an tsláinte nó ar shonraí a bhaineann le saol gnéis agus le gnéaschlaonadh duine.

Tá breac-chuntas ar phrionsabail a gcaithfidh tú cloí leo maidir le próiseáil sonraí pearsanta tugtha in airteagal 5 den GDPR. Agus tú ag smaoineamh ar phróiseáil do chuideachta, i measc na gceisteanna atá le freagairt agat tá- An bhfuil tú ag próiseáil sonraí pearsanta:

  • de réir phrionsabail na dlíthiúlachta, na cothroime agus na trédhearcachta;
  • chun críocha sonraithe, sainráite agus dlisteanacha;
  • ar bhealach a thagann le híoslaghdú sonraí;
  • ar bhealach a chinntíonn cruinneasagus i gcás inar gá, go bhfuil sonraí cothrom le dáta;
  • i bhfoirm nach gceadaítear na hábhair sonraí a shainaithint ach go ceann tréimhse nach faide ná mar is gá chun críocha a bpróiseála; agus
  • ar chaoi go n-áirithítear slándáil iomchuí na sonraí pearsanta.

Má dhéanann tú seachfhoinsiúmaidir le próiseáil sonraí pearsanta le próiseálaí sonraí (lena n-áirítear, mar shampla, le soláthraí seirbhíse 'néalríomhaireachta ', ba cheart duit a bheith in ann a dhearbhú:

  • go gcomhlíonann an phróiseáil Airteagal 28 GDPR;
  • go bhfuil nósanna imeachta slándála an phróiseálaí leordhóthanach; agus
  • gur lorg tú agus go bhfuair tú dearbhuithe maidir leis na bearta slándála cuí ón bpróiseálaí.

2 http://gdprandyou.ie/wp-content/uploads/2017/12/A-Guide-to-help-SMEs-Prepare-for-the-GDPR.pdf

Socraigh an Leibhéal Cuí um Shlándáil TFC

Éilíonn Airteagal 32 den GDPR ar rialaitheoirí sonraí agus ar phróiseálaithe sonraí na bearta teicniúla agus eagrúcháin is gá a chur i bhfeidhm gá chun leibhéal cuí slándála a áirithiú maidir leis na rioscaí a bhaineann le próiseáil. Agus tú ag smaoineamh ar leibhéal iomchuí slándála, ba cheart duit an méid a leanas a chur san áireamh

  1. " An Úrscothach ";
  2. "Na costais a bhaineann leis an gcur chun feidhme, agus cineál an raon feidhme ";
  3. "Comhthéacs agus cuspóirí na próiseála”; agus
  4. “Na rioscaí do chearta agus do shaoirsí daoine nádúrtha, ar rioscaí iad a d'fhéadfadh teacht chun cinn agus leibhéal athraitheach déine ag gabháil leo ".

D’fhoilsigh an CCS dea-chleachtas Treoir Shlándála Sonraí3 maidir le slándáil córas TFC. Tá faisnéis bhreise ar fáil freisin ó eagraíochtaí ar nós Gníomhaireacht an Aontais Eorpaigh um Shlándáil Gréasáin agus Faisnéise 4, agus National Institute of Standards and Technology5 na Stát Aontaithe

Tagann bearta slándála den chuid is mó faoi na ceannteidil seo a leanas:

Slándáil theicniúil

Cosnaíonn bearta slándála teicniúla córais TFC trína chinntiú go gcuirtear teicneolaíocht chuí i bhfeidhm chun próiseáil sonraí pearsanta a dhaingniú.

I measc samplaí de bhearta slándála teicniúla praiticiúla tá:

    • a chinntiú go bhfuil gach córas ríomhaireachta, ríomhairí pearsanta, fóin phóca agus táibléad ag baint úsáide as córas oibriúcháin cothrom le dáta;
    • a chinntiú go ndéantar gach gléas ríomhaireachta a nuashonrú go rialta le bogearraí agus paistí slándála an déantóra;
    • bogearraí frithvíris a úsáid ar gach gléas;
    • balla dóiteáin láidir a chur i bhfeidhm;
    • athbhreithniú a dhéanamh ar bhogearraí soláthraithe ag díoltóir agus an focail faire an chórais réamhshocraithe, an riarthóra, agus fréimhe agus na paraiméadair shlándála eile a nuashonrú chun a chinntiú nach bhfágfar réamhshocruithe i bhfeidhm;
    • a chinntiú go ndéantar cúltacaí sonraí agus go ndéantar iad a stóráil go daingean i suíomh ar leithligh;
  1. Treoir um Shlándáil Sonraíhttps://www.dataprotection.ie/docs/Data-security-guidance/1091.htm
  2. Gníomhaireacht an Aontais Eorpaigh um Shlándáil Gréasáin agus Faisnéisehttps://www.enisa.europa.eu/
  3. National Institute of Standards and Technology https://www.nist.gov/topics/information-technology.
  • a chinntiú go ndéantar cúltacaí sonraí a athbhreithniú agus a thástáil go tréimhsiúil lena chinntiú go bhfuil siad ag feidhmiú i gceart;
  • a chinntiú go mbailítear agus go stóráiltear sonraí go daingean;
  • a chinntiú go bhfuil gléasanna soghluaiste (ríomhairí glúine agus fóin phóca agus táibléid) criptithe;
  • a chinntiú go gcuirtear fíordheimhniú déshraithe i bhfeidhm i gcás cianrochtana;
  • a chinntiú go bhfuil TLS (Slándáil Shraith an Iompair) i bhfeidhm chun sonraí pearsanta a bhailiú go daingean (mar shampla le haghaidh síntiúis nuachtlitreach) nó ar shuímh ghréasáin ríomhthráchtála.

Slándáil Fhisiciúil

Cabhraíonn bearta slándála fisiceacha TFC le heagraíochtaí le córais TFC a chosaint, mar shampla áiseanna, trealamh, pearsanra, acmhainní agus sealúchas eile. I measc na samplaí de threalamh TFC a d'fhéadfadh cosaint a bheith ag teastáil tá aonghléas ar féidir leo faisnéis a stóráil go leictreonach, mar shampla:

• Ríomhairí - freastalaithe, deisce, ríomhaire glúine nó táibléad

• Fótachóipóirí, feistí ilfheidhmeacha agus printéirí

• Teileafóin phóca

• Ceamaraí digiteacha

• Meáin stórála-mar shampla, tiomántáin crua soghluaiste, bataí USB, dlúthdhioscaí, DVDanna

Tá an leibhéal cosanta ar chóir a chur i bhfeidhm ar threalamh TFC bunaithe ar an leibhéal tionchair ghnó a d'fhéadfadh a bheith ann mar thoradh ar shonraí a bheith i mbaol, ar chaillteanas sláine, nó gan faisnéis leictreonach atá coinnithe ar an ngléas a bheith ar fáil, áirítear leis sin an gléas a bheith caillte nó gan é a bheith ar fáil mar gheall ar chliseadh.

I measc samplaí de bhearta praiticiúla slándála fhisicúla tá:

• oifigí agus aonaid stórála a choinneáil faoi ghlas;

• seomraí freastalaí nó caibinéid a choinneáil faoi ghlas;

• meaisíní deisce agus ríomhairí glúine a cheangal le deasca;

• beartais deisce glan a chur i bhfeidhm;

• a chinntiú go bhfuil aláram dóiteáin agus buirgléireachta ann agus go bhfuil siad ag feidhmiú i gceart;

• a chinntiú go ndéantar trealamh TFC, mar shampla thiomántáin chrua agus seanríomhairí glúine, ríomhairí agus gléasanna soghluaiste a dhiúscairt go daingean ag deireadh a saoil.

Ba cheart d'eagraíochtaí an riosca a mheas freisin nuair nach féidir gléasanna a dhaingniú nuair nach bhfuil siad in úsáid. I gcás ina ndearna eagraíocht cinneadh ar thionchar gnó an sárú sonraí, ar chaillteanas sláine nó ar ghléas gan a bheith ar fáil, nach bhfuil in úsáid, ba cheart d'eagraíochtaí a chinntiú go stóráiltear na gléasanna sin go daingean.

Molann an CCS freisin go ndéanfadhmicrifhiontair beartas rialaithe sócmhainne do threalamh TFC a dhearadh agus é a chur i bhfeidhm. d’D'áireodh sé seo:

• suíomh agus úsáideoir an fheiste a thaifeadadh; agus

• iniúchtaí tréimhsiúla a dhéanamh ar a threalamh TFC.

Slándáil eagrúcháin

Cosnaíonn bearta slándála eagraíochtúla córais TFC trína chinntiú go bhfuil feidhmeanna beartais, nósanna imeachta, oiliúna, agus feidhmeanna riain iniúchta i bhfeidhm.

Is de chineál doiciméadach iad na bearta seo den chuid is mó, mar sin féin, ní gá go mbeadh na beartais sin fadálach nó róchasta le cur i bhfeidhm. Ba cheart go ndéanfaí aon doiciméadú a scríobh i dteanga shoiléir, ghonta, agus na rialacha a bhaineann le próiseáil sonraí pearsanta a liostáil, agus ba cheart go mbeadh sé inrochtana go héasca d'fhostaithe. Ba cheart an doiciméadú sin a athbhreithniú go tréimhsiúil lena chinntiú go bhfuil sé cruinn agus cothrom le dáta.

I measc samplaí de bhearta slándála eagrúcháin praiticiúla tá:

  • an tábhacht a bhaineann le sonraí na cuideachta agus na bearta is féidir leo a chur i bhfeidhm chun é a chosaint a chur in iúl d'fhostaithe;
  • oiliúint leanúnach a chur ar fhoirne ar ionsaithe innealtóireachta sóisialta, ar bhogearraí éirice, agus ar chosaint sonraí, ach gan í a bheith teoranta do na hábhair sin;
  • beartais chun bailiú agus coinneáil sonraí a dhoiciméadú;
  • úsáid a bhaint as pasfhocail láidre trí bheartas focal faire a bheith curtha i bhfeidhm agus é a fhorfheidhmiú;
  • a chinntiú go bhfuil cianrochtain tacaithe ag beartas cianrochtana;
  • plean freagartha teagmhais um shárú sonraí a dhoiciméadú agus a thástáil go tréimhsiúil chun a chinntiú go bhféadfaidh tú gníomhú go héifeachtach i gcás sáraithe sonraí;
  • beartas CCTV a dhoiciméadú (más cuí);
  • beartas cúltaca sonraí a dhoiciméadú;
  • athbhreithniú a dhéanamh go tréimhsiúil ar chonarthaí le soláthraithe TFC tríú páirtí lena chinntiú go bhfuil na bearta slándála a bhfuil doiciméadú orthu fós oiriúnach agus cothrom le dáta

 

Beartais bhailiúcháin agus choinneála sonraí

Má bhíonn sonraí pearsanta á gcoinneail ag d’eagraíocht ar feadh tréimhsí faide, ba cheart duit a bheith ar an eolas láidir le d'oibleagáidí faoi Airteagal 5 (1) (e) mar rialtóir sonraí agus próiseálaí sonraí maidir le coinneáil sonraí.

Tá bunús an phrionsabail teorannaithe stórála faoin GDPR beagán difriúil leis an bprionsabal atá ann faoi láthair faoin Treoir um Chosaint Sonraí. Go hachomair, níor cheart sonraí pearsanta a choimeád i bhfoirm inaitheanta ar feadh tréimhse níos faide ná mar is gá maidir leis na cuspóirí lena bpróiseáiltear na sonraí sin. Is cur chuige pragmatach maidir le coinneáil é na sonraí a scriosadh nuair a bheidh deireadh leis an gcuspóir lenar próiseáladh é.

Ba cheart bailiú agus coinneáil sonraí a mheas i gcomparáid riachtanais ghnó agus iad a íoslaghdú, trí gan sonraí nach dteastaíonn a bhailiú, trí shonraí a léirscriosadh, nó trína n-anaithidiú. Ba chóir do mhicrifhiontair:

  • Beartas bailithe sonraí a shainmhíniú agus a chur i bhfeidhm. Ba cheart go ndéanfadh an beartas mion cur síos ar na catagóirí sonraí pearsanta a bhailítear agus ar na críocha lena mbailiú.
  • Beartas coinneála sonraí a shainmhíniú agus a chur i bhfeidhm. Ba cheart go mbeadh mionsonraí ar an tréimhse choinneála sa bheartas seo maidir le sonraí pearsanta a bhailítear agus leis na bearta a ghlactar chun léirscriosadh a chinntiú nó más bainteach,na teicnící a úsáidtear chun na sonraí a anaithidiú

Ba cheart na beartais seo a chur in iúl do gach fostaí agus ba cheart athbhreithnithe tréimhsiúla a dhéanamh chun a chinntiú go ndéileálfar le sonraí pearsanta i gceart nuair nach gá leo a thuilleadh chun na críocha ae bailíodh iad.

Maidir le beartais choinneála, má tá sé ar intinn agat sonraí pearsanta a phróiseáil chun críocha taighde cartlainne, eolaíoch nó staire nó cuspóirí staitistiúla, ba cheart duit a chinntiú go bhfuil cosaintí cuí i bhfeidhm chun a chinntiú nach gcuireann na cearta agus an phróiseáil seo bac ar shaoirsí sonraí ábhair.

Go háirithe, ba cheart go gcinnteodh na cosaintí sin go bhfuil bearta teicniúla agus eagrúcháin i bhfeidhm chun a chinntiú go léireofar meas ar phrionsabal an íoslaghdaithe sonraí.

Ba cheart go soláthródh beartas coinneála doiciméadach treoir agus creatlach d'fhostaithe chun faisnéis a bhainistiú i rith a shaolré ionas go gcomhlíonfaidh do chuideachta na dlíthe agus na rialacháin a bhaineann le bainistiú sonraí. Ba cheart go mbeadh feidhm ag polasaí coinneála ar fhormáidí fisiciúla agus digiteacha araon.

Próiseálaithe Sonraí a Úsáid

D'fhéadfadh go mbeadh micrifhiontair, de bharr easpa saineolais, ag brath ar phróiseálaithe sonraí tríú páirtí chun sonraí pearsanta a phróiseáil ar a son, mar shampla láithreáin ghréasáin ríomhthráchtála, seirbhísí néilar nós ríomhphoist nó cúltaca sonraí ar líne. Ba cheart do mhicrifhiontair:

    • Freagrachtaí an rialaitheora sonraí agus an phróiseálaí sonraí a shainmhíniú agus a chinntiú go ndéantar próiseáil de bhun comhaontaithe i scríbhinn a thugann mionsonraí ar na bearta slándála teicniúla agus eagraíochtúla cuí a bheidh le cur i bhfeidhm ag an bpróiseálaí sonraí go sonrach maidir leis na hoibríochtaí próiseála sonraí pearsanta.
    • Ráthaíochtaí leordhóthanacha a fháil maidir leis na bearta slándála atá á gcur i bhfeidhm ag próiseálaithe atá ag gníomhú ar a son agus athbhreithniú tréimhsiúil a dhéanamh chun a chinntiú go gcloítear le téarmaí an chomhaontaithe scríofa.

Bealach praiticiúil do mhicrifhiontair chun ráthaíochtaí leordhóthanach a fháil agus comhlíonadh a chinntiú ná:

      • Úsáid próiseálaí sonraí a bhfuil deimhniú díoltóra, cáilíochtaí TF cuí agus/nó deimhniúcháin, nó deimhniú cuí ó chomhlacht deimhniúcháin ábhartha acu, mar shampla an Eagraíocht Idirnáisiúnta um Chaighdeánú nó an Tionscal Cárta Íocaíochta.
      • Bíodh nósanna imeachtaaontaithe foirmiúlaum dheireadh tionscadail/athrú bainistíochta i bhfeidhm chun a chinntiú go gcuirfear bearta slándála cuí i bhfeidhm agus go ndéanfar athruithe/nuashonruithe.
      • Iarr ar phróiseálaithe sonraí tuairiscí rialta a thabhairt maidir le bainistiú na gcóras TFC agus athsheiceáil chun a chinntiú go ndéantar an obair.
      • Déan athbhreithniú ar bhearta slándála go tréimhsiúil lena chinntiú go bhfuil siad cothrom le dáta, is féidir é seo a bheith i gceist go háirithe nuair a bhíonn timpeallachtaí Néalbhunaithe á n-úsáid agat. D'fhoilsigh an CCS treoir d'eagraíochtaí a úsáideann timpeallachtaí Néalbhunaithe a leagann amach céimeanna breise ar conas is féidir le heagraíocht a bhearta slándála a athbhreithniú

Is féidir an treoir seo a fháil ó láithreán gréasáin an CCS ag an seoladh seo a leanas

The JavaScript code minimizer helps you optimize your scripts to enhance page loading speed.