Salesforce upprätthåller sig engagerad att hjälpa våra kunder uppfylla GDPR genom våra robusta sekretess- och säkerhetsskydd. Antagen den 25 maj 2018, den allmänna dataskyddsförordningen (GDPR) utökar rättigheter till sekretess för privatpersoner i Europeiska unionen (EU) och lägger nya skyldigheter på alla organisationer som marknadsför, spårar eller hanterar personuppgifter inom EU.
Vad är GDPR?
GDPR är en omfattande dataskyddslag inom EU som uppdaterar befintliga lagar för att stärka skyddet av persondata på grund av den snabba tekniska utvecklingen, ökad globalisering och mer komplexa internationella flöden av persondata. Den ersätter lapptäcket av de befintliga nationella dataskyddslagarna med en enda uppsättning av regler, som kan direkt påtvingas i alla EU:s medlemsländer.
GDPR reglerar behandlingen —som innehåller insamling, lagring, överföring eller användning—av persondata för EU-individer. Alla organisationer som behandlar persondata för EU-individer, inklusive att spåra deras aktiviteter online, innefattas av lagen, oberoende av om organisationen har fysisk närvaro i EU. Det är viktigt att veta, att i GDPR är konceptet “persondata” vitt och det täcker in all information som härrör till en identifierad eller identifierbar individ (även kallad “registrerad dataindivid”).
Säkerhetsåtgärder och rapporteringskrav
Organisationer måste använda lämpliga tekniska och organisationssäkerhetsåtgärder för att skydda persondata mot obehörig behandling och oavsiktligt avslöjande, åtkomst, förlust, förstörelse eller förändring. Beroende på de specifika användningsfallen och de persondata som behandlas, rekommenderas segregering, kryptering, pseudonymisering och anonymisering, och i vissa fall är det obligatoriskt, för att hjälpa med att skydda persondata.
Det är viktigt att observera att i enlighet med GDPR måste databehandlare rapporter alla dataintrång till sin dataskyddsmyndighet så fort som möjligt, och inte senare än 72 h efter att intrånget avslöjats, för så vitt intrånget inte är sannolikt att kunna resultera i någon skada för dataindividerna. Om det finns stor risk för skada måste datakontrollörerna rapportera dataintrång till dataindividerna så forts om möjligt. Databehandlare måste också avisera datakontrollörer om dataintrång så fort som möjligt.
Vilka säkerhetsåtgärder behöver jag införa som resultat av GDPR?
Kryptering
Även om det inte erfordras så uppmuntrar lagstiftningen kryptering som ett effektiv sätt att hjälpa till med att säkerställa säkerheten och konfidentialiteten hos persondata.
Pseudonymisering
GDPR stimulerar organisationer att använda pseudonymisering som en riskbaserad åtgärd för att skydda datasäkerhet och individers rättigheter.
Anonymisering
Ett steg högre än pseudonymisering, att anonymisera data är det säkraste sättet att skydda personuppgifter. För att betraktas som är helt anonym måste det vara omöjligt för någon individ att identifieras från dessa data genom ytterligare behandling eller kombination av data med ytterligare information.
Ersättning
Enligt GDPR är en datakontrollör ansvarig för att implementera åtgärder för att säkerställa att de persondata som hen styr hanteras i överensstämmelse med principerna i GDPR. Det innehåller att utse ett dataskyddsombud och ålägger kontraktsskyldigheter på behandlare samt använder principerna för “sekretess genom projektering” and “sekretess som standard”. Dessutom måste en datakontrollör kunna uppvisa överensstämmelse, inklusive genom att upprätthålla ett register av behandlingsaktiviteter och utföra utvärderingar av sekretesspåverkan.
EU Trailhead: Lär dig om GDPR och hur man gör för att stämma överens
Anmäl dig tillmodulen om EU:s grundläggande sekretesslagarför att lära dig nyckelprinciperna bakom det allmänna dataskyddet och hur man implementerar ett program som överensstämmer med GDPR.
US Trailhead: Lär dig om amerikanska sekretesslagar och hur man uppfyller dem
Anmäl dig till modulen om USA:s grundläggande sekretesslagar och lär dig om amerikanskt sekretesskydd i hälsovård, ekonomi och delstatslagar.
Kaliforniens lag om konsumentsekretess
Kaliforniens lag om konsumentsekretess (CCPA) är en omfattande sekretesslag som började gälla den 1 januari 2020. Även om vi tror att en federal sekretesslag är nödvändig så att en individs sekretess inte beror på var hen bor, så välkomnar CCPA som ett steg framåt i att skapa dataskyddskrav i USA och som en möjlighet för Salesforce att fortsätta att stärka sitt engagemang i sekretess- och dataskydd.