GDPR Veiledning fra PowerObjects

I mai 2018 vil EUs regler for personvern og beskyttelse av personopplysninger få den mest betydningsfulle gjennomgangen de siste tjue årene. Siden de gjeldende lovene ble opprettet på nittitallet, har den digitale verden utviklet seg drastisk. Mengden data og informasjon som vi genererer som enkeltpersoner, og som fanger opp og lagrer som bedrifter, har vokst, noe som resulterer i gamle regelverk som ikke lenger passer. GDPR innfører et nytt regelverk som har en bredere definisjon av personopplysninger, større territoriell rekkevidde over hele verden og høyere innsats for manglende overholdelse.

Hos PowerObjects ønsker vi å hjelpe våre kunder med å følge GDPR-regelverk når de bruker våre produkter og tjenester. Nedenfor beskriver vi de grunnleggende faktorene i GDPR, hvordan PowerObjects forbereder seg på virkningen, og hvordan du kan forberede deg.

Hva er GDPR?

GDPR står for generell databeskyttelsesforordning; det er en ny EU-forskrift som trer i kraft på 25th Mai 2018. GDPR erstatter 1995 EUs databeskyttelsesdirektiv. I motsetning til EU-direktiver, som blir implementert individuelt av hvert medlemsland, gjelder EU-forskriften samtidig i alle medlemsland. Virkningen av denne nye loven når imidlertid langt utenfor EUs grenser.

GDPR introduserer en serie nye tiltak som har som mål å tilby forbedret personvern og beskyttelse av data for alle innbyggere i EU. Dette har vidtrekkende implikasjoner, da det ikke bare berører EU-organisasjoner, men også organisasjoner fra andre land som samler inn eller behandler data fra EU-innbyggere. Det pålegger også alvorlige straffer for brudd og manglende overholdelse av opptil € 20M eller 4% av den globale årlige omsetningen.

GDPR adresserer også overføring av personopplysninger fra EU til tredjepartsland, som USA. Bestemmelsene om deling av data over landegrensene endres ikke radikalt fra forskriftene som tidligere var satt under direktiver om databeskyttelse. GDPR gjør det ikke inneholder ethvert spesifikt krav for å håndheve at personopplysninger om innbyggere i EU skal oppholde seg i et EU-medlemsland. Imidlertid inkluderer det vilkår som må være oppfylt før denne overføringen kan skje, inkludert tilstrekkelighet av databeskyttelsestiltak.

GDPR har seks grunnleggende prinsipper relatert til personopplysninger:
  1. Det bør behandles lovlig, rettferdig og gjennomsiktig.
  2. Den skal samles for spesifiserte, eksplisitte og legitime forretningsformål.
  3. Det skal være tilstrekkelig, relevant og begrenset til det som er nødvendig.
  4. Det skal være nøyaktig og om nødvendig holdes oppdatert.
  5. Den skal bare beholdes så lenge som nødvendig.
  6. Det bør behandles på riktig måte for å opprettholde sikkerheten.
GDPR nøkkel definisjoner

Dette er de essensielle definisjonene som GDPR introduserer for ulike aspekter av databeskyttelse.
  • Controller: Person eller organisasjon som bestemmer formålet og middelet til behandling av personopplysninger.
  • prosessor: Person eller organisasjon som behandler personopplysninger på vegne av kontrolløren.
  • Samtykke: Avtalen om å behandle data fra den registrerte. Det må fritt gis, spesifikk, informert og en entydig indikasjon av den registrerte ved en uttalelse eller ved eksplisitt bekreftende handling.
  • Personopplysninger: All informasjon knyttet til en identifisert, eller enda viktigere identifiserbar, fysisk person. Dermed kan alle data som kan brukes til å bestemme identiteten til en person, betraktes som personopplysninger. f.eks. IP-adresser og online identifikatorer.
  • Processing: Eventuelle operasjoner, enten de er automatiserte eller ikke, utføres på personlige datasett.
Hva er PowerObjects 'rolle i organisasjonens GDPR-samsvar?

Når du bruker PowerPacks, fungerer PowerObjects som en databehandler for deg, og vil bli pålagt å oppfylle alle kravene som stilles til databehandlere i henhold til den nye forskriften. Din organisasjon vil bli betraktet som datakontroller i henhold til den nye loven, og det er organisasjonens ansvar å håndtere overholdelse av GDPR.

PowerObjects regnes også som en datakontroller for kundens data, og vi vil sikre at vår egen databehandling oppfyller kravene for å gi deg en best mulig opplevelse når vi står etter våre kjerneverdier for å "gjøre det rette" og "leve av teknologien" '.

Hva er PowerObjects 'ansvar under GDPR?

Som en databehandler er vårt hovedansvar å sørge for at vi har på plass policyer og praksis som samsvarer med GDPR-kravene, og at våre PowerPacks er i samsvar med GDPR. Dette inkluderer sikkerhetstiltak som vi allerede har på plass, samt prosedyrer og dokumentasjon for å demonstrere overholdelse av GDPR, og dermed støtte din organisasjons overholdelse.

PowerObjects 'ansvar er å behandle data som avtalt, og ta tilstrekkelige sikkerhetstiltak for å beskytte dine data.

Hvilke PowerPacks er berørt av GDPR?

Våre PowerPacks er tilleggsløsninger som leverer verdi ved å utvide Dynamics 365-plattformen. Mange av dem opererer direkte innenfor plattformen og krever derfor ikke at noen av kundens data blir behandlet av PowerObjects. Noen av våre PowerPacks trenger imidlertid integrering og synkronisering på baksiden for å oppfylle sin funksjon. Denne informasjonen kan raskt bli funnet ved å navigere til konfigurasjonssiden for hvert PowerPack-tillegg som importeres i CRM.

PowerPacks som er avhengige av PowerObjects 'Cloud Services:
  • PowerChat: Er avhengig av skyen vår for å konfigurere chat-kommunikasjon med kundens sluttpunkter.
  • PowerEmail: Bruker skyen vår for å spore levering av e-post og åpnes.
  • PowerMailChimp: Synkroniserer data mellom Dynamics 365 og MailChimp ved å bruke skyen vår.
  • Powershare: Bruker skyen vår for å spore besøk til digitale eiendeler som deles med verktøyet.
  • PowerSMS: Synkroniserer data mellom Dynamics 365 og SMS-leverandøren ved å bruke skyen vår.
  • PowerSurveyPlus: Bruker skyen vår for å fange undersøkelsessvar som skal registreres i Dynamics 365.
  • PowerWebForm: Bruker skyen vår for å fange skjemainnleveringer som skal registreres i Dynamics 365.
  • PowerWebTraffic: Bruker skyen vår for å spore besøk på nettsteder konfigurert av deg.
  • PowerZapEvent: Synkroniserer data mellom Dynamics 365 og ZapEvent ved å bruke skyen vår.
  • PowerAttachment: Bruker skyen vår for å trekke ut vedlegg som du kan lagre i SharePoint.
  • PowerAutoNumber: Bruker skyen vår for å generere det neste sekvensielle nummeret.
  • PowerGeoLog: Bruker skyen vår for å spore Dynamics 365 brukerpålogginger.
Hvordan håndterer PowerObjects deling og data-jurisdiksjoner over landegrensene?

Det eneste grenseoverskridende datadeling som PowerObjects gjør, er for datasettene som trengs for å registrere en PowerPack. Denne informasjonen er registrert på vårt eget USA-baserte system. Vi gjør ikke utføre all grenseoverskridende dataoverføring i våre PowerPacks. Hver gang du installerer en PowerPack gjør krever back-end-behandling i PowerPack Cloud, kan du bestemme hvilken region du vil at databehandlingen skal skje. De nåværende tilgjengelige stedene er USA, Brasil, Europa og Øst-Asia. Vi bruker Microsoft Azure-tjenester for våre PowerPack Cloud-systemer, og Cloud-regionene våre tilsvarer de underliggende Microsoft Azure-regionene.

Vær oppmerksom på at noen av våre PowerPacks gir integrasjon med tredjeparts tjenester. Du er ansvarlig for levering av disse tredjeparts tjenester, og PowerPacks vil kommunisere med dem som instruert av deg ved oppsett. Dette kan potensielt omfatte grenseoverskridende dataoverføringer, og du er ansvarlig for at tredjepartene som behandler dataene dine også er i samsvar med GDPR. MailChimp har for eksempel detaljert veiledning innen deres kunnskapsbase på hvordan de oppnår dette i forhold til EU-USAs personvernskjoldavtale.

Hvordan vi behandler data i PowerPacks

Hver gang vi trenger back-end-behandling på PowerPack Cloud for å levere PowerPack-funksjonalitet, bruker vi tjenester i Microsoft Azure-plattformen. Denne plattformen tilbyr oss en høy standard av sikkerhet og gir ekstra fordeler for å sikre at passende tekniske sikkerhetstiltak er på plass for å gi den største beskyttelsen for kundens data.

PowerPack Cloud-behandlingen vår er enkel. Vi synkroniserer eller integrerer bare data med det formål å registrere dem i din Microsoft Dynamics 365-forekomst. Derfor har vi ikke noen av dine kundedata registrert permanent i skytjenestene våre. Vi beholder det bare så lenge som nødvendig for å fullføre vellykket behandling, og ikke lenger enn 30 dager.

Generelt kan vi beskrive PowerPack-databehandlingen som følger:
  1. Når du installerer en ny PowerPack, samler vi inn registreringsinformasjon inkludert dine kontaktinformasjon og Dynamics 365 organisasjonsdetaljer - forekomstnavn og unik ID, antall brukere og URL; samt noen andre detaljer som er nødvendige for hver spesifikke PowerPack, for eksempel legitimasjon eller API-nøkler. Denne informasjonen overføres sikkert til vår PowerPack-registreringsmotor ved bruk av industristandard TLS-kryptering. Dataene blir deretter registrert i vårt USA-baserte datasenter og kryptert i ro.
  2. Hvis PowerPack trenger back-end-behandling eller synkronisering som beskrevet tidligere, kan du velge et av våre PowerPack Cloud-lokasjoner som passer bedre til dine datakurisdiksjonskrav. Disse stedene tilsvarer Microsoft Azure-skylokaliseringene da vi bruker Microsoft Azure Cloud-tjenester for å tilby denne infrastrukturen. Vi sender aldri dataene dine til forskjellige PowerPack-skylokasjoner, så du har total kontroll over hvor dataene dine er bosatt. I tillegg, takket være styrken til Microsoft Cloud, har vi et ekstra antall tekniske sikkerhetstiltak for å hjelpe oss med å beskytte dine data under denne behandlingen.
  3. Hvis funksjonaliteten krever integrasjon med tredjeparts APIer - f.eks MailChimp eller Twilio - vil du gi denne konfigurasjonen under installasjonen av løsningen for å aktivere PowerPack-funksjonaliteten. Vi bruker deretter denne informasjonen til å sende dataene som forventet til disse tredjeparts tjenester for å implementere PowerPack. All dataoverføring mellom systemer er kryptert og følger bransjens sikkerhetsstandarder.
  4. Kundens data blir bare lagret i skyen vår i opptil tretti dager, mens vi sørger for at de har blitt lagret i Dynamics 365-forekomsten. Etter det fjerner vi informasjonen fra systemene våre. Vår PowerPack Cloud fører ikke noen permanent registrering av dine kundedata.
Hva gjør PowerObjects for å sikre samsvar med GDPR?

Vi jobber hardt for å få alt klart for GDPR-overholdelse, noen av aktivitetene du vil se skjer før mai 2018.
  • Oppdaterte retningslinjer og dokumenter:
    Vi oppdaterer personvernreglene, lisensavtalene og andre vilkår for å sikre samsvar og korrekt beskrivelse av prosedyrer for tilgang til Data Subject.
  • Sikkerhet:
    Vi tar sikkerhet veldig alvorlig, vi utfører allerede ukentlige og månedlige sikkerhetsskanninger. Vi utfører også regelmessige eksterne revisjoner og penetrasjonstesting til all vår infrastruktur.
  • Kommunikasjon:
    Vi gjennomgår kommunikasjons- og varslingsprosedyrene for å sikre at de er i full overensstemmelse med GDPR.
  • Tekniske implementeringsdetaljer:
    Vi lager noen tekniske guider som gir ytterligere detaljer om hvordan hver berørte PowerPack behandler kundens informasjon. Disse guidene vil være tilgjengelige på forespørsel for våre kunder.
Hvor kan jeg finne mer informasjon om GDPR?

Den fullstendige teksten til GDPR er tilgjengelig her. EU-kommisjonen har et hjelpsomt nettsted dedikert til databeskyttelsesemnet som dekker GDPR og andre relaterte problemer. Vi anbefaler også den irske kommisjonæren for databeskyttelse GDPR-nettsted, og Storbritannias informasjonskommissærkontor 12 trinnsveiledning verdifulle ressurser for å hjelpe deg med å forstå hvordan du overholder GDPR.

Som PowerPack-abonnent kan du alltid kontakte PowerPack-teamet vårt hvis du har spørsmål om PowerObjects 'samsvar med GDPR eller andre problemer relatert til datasikkerhet.