GDPR-vägledning från PowerObjects

I maj 2018 kommer Europeiska unionens (EU) bestämmelser om integritet och skydd av uppgifter att få den mest betydande översynen under de senaste tjugo åren. Sedan de nuvarande lagarna skapades på nittiotalet har den digitala världen utvecklats drastiskt. Mängden data och information som vi genererar som individer och fångar och lagrar som företag har vuxit, vilket resulterat i gamla regelverk som inte längre passar. GDPR inför ett nytt regelverk som har en bredare definition av personuppgifter, större territoriell räckvidd över hela världen och högre insatser för att inte följa kraven.

På PowerObjects vill vi hjälpa våra kunder att följa GDPR-regler när de använder våra produkter och tjänster. Som beskrivs nedan täcker vi grunderna i GDPR, hur PowerObjects förbereder sig för påverkan och hur du kan förbereda.

Vad är GDPR?

GDPR står för den allmänna dataskyddsförordningen. det är en ny EU-förordning som träder i kraft på 25th Maj 2018. GDPR ersätter 1995 EU: s dataskyddsdirektiv. Till skillnad från EU-direktiv, som genomförs individuellt av varje medlemsland, gäller EU-förordningarna samtidigt i alla medlemsländer. Effekten av denna nya lag når dock långt utanför EU: s gränser.

GDPR introducerar en serie nya åtgärder som syftar till att erbjuda förbättrad datasekretess och skydd för alla EU-invånare. Detta har långtgående konsekvenser eftersom det inte bara påverkar EU-organisationer utan också organisationer från andra länder som samlar in eller bearbetar data från EU-invånare. Det ålägger också allvarliga påföljder för överträdelser och bristande efterlevnad av upp till € 20M eller 4% av den globala årliga omsättningen.

GDPR tar också upp överföringen av personuppgifter från EU till tredjepartsländer, som Förenta staterna. Bestämmelserna om gränsöverskridande datadelning förändras inte radikalt från de föreskrifter som tidigare gällde enligt dataskyddsdirektiv. GDPR gör det inte innehåller något specifikt krav för att verkställa att personuppgifter om EU-invånare ska vara bosatta i en EU-medlemsstat. Den innehåller emellertid villkor som måste uppfyllas innan denna överföring kan ske, inklusive dataskyddsåtgärdernas tillräcklighet.

GDPR har sex grundläggande principer relaterade till personuppgifter:
  1. Det bör behandlas lagligt, rättvist och öppet.
  2. Det ska samlas in för specifika, uttryckliga och legitima affärsändamål.
  3. Det bör vara adekvat, relevant och begränsat till vad som är nödvändigt.
  4. Det ska vara korrekt och vid behov hållas uppdaterat.
  5. Det bör endast behållas så länge som det behövs.
  6. Det bör behandlas på lämpligt sätt för att upprätthålla säkerheten.
GDPR nyckeldefinitioner

Dessa är de väsentliga definitionerna som GDPR inför för olika aspekter av dataskydd.
  • Kontroller: Person eller organisation som bestämmer syftet och sättet att behandla personuppgifter.
  • Processorn: Person eller organisation som behandlar personuppgifter på kontrollerns vägnar.
  • Samtycke: Avtalet om att behandla data från den registrerade. Det måste fritt ges, specifikt, informerat och en entydig indikation av den registrerade genom ett uttalande eller genom uttrycklig bekräftande åtgärd.
  • Personuppgifter: All information som rör en identifierad eller viktigare identifierbar fysisk person. All data som kan användas för att bestämma en persons identitet kan alltså betraktas som personuppgifter. t.ex. IP-adresser och online-identifierare.
  • Bearbetning: Alla operationer, oavsett om de automatiseras eller inte, utförs på personuppgifter.
Vad är PowerObjects roll i din organisations GDPR-efterlevnad?

När du använder våra PowerPacks fungerar PowerObjects som en databehandlare för dig och kommer att krävas att uppfylla alla krav som ställs på dataprocessorer enligt den nya förordningen. Din organisation kommer att betraktas som den registeransvarige enligt den nya lagen, och det är din organisations ansvar att hantera efterlevnaden av GDPR.

PowerObjects betraktas också som en databehandlare för våra kunders data, och vi kommer att säkerställa att vår egen databehandling uppfyller kraven för att ge dig bästa möjliga upplevelse eftersom vi står vid våra kärnvärden "att göra rätt sak" och "leva tekniken '.

Vad är PowerObjects ansvar under GDPR?

Som dataprocessor är vårt primära ansvar att se till att vi har på plats policyer och praxis som överensstämmer med GDPR-kraven och att våra PowerPacks överensstämmer med GDPR. Detta inkluderar säkerhetsåtgärder, som vi redan har infört, samt förfaranden och dokumentation för att visa överensstämmelse med GDPR, och därmed stödja din organisations efterlevnad.

PowerObjects ansvar är att behandla data enligt överenskommelse och vidta lämpliga säkerhetsåtgärder för att skydda dina uppgifter.

Vilka PowerPacks påverkas av GDPR?

Våra PowerPacks är tilläggslösningar som levererar värde genom att utöka Dynamics 365-plattformen. Många av dem arbetar direkt inom plattformen och kräver därför inte någon av dina kunders data behandlas av PowerObjects. Vissa av våra PowerPacks behöver dock back-end-integration och synkronisering för att fullgöra sin funktion. Denna information kan snabbt hittas genom att navigera till konfigurationssidan för varje PowerPack-tillägg som importeras i din CRM.

PowerPacks som förlitar sig på PowerObjects molntjänster:
  • PowerChat: Förlitar sig på vårt moln för att ställa in chattkommunikation med klientens slutpunkter.
  • PowerEmail: Använder vårt moln för att spåra e-postleverans och öppnas.
  • PowerMailChimp: Synkroniserar data mellan Dynamics 365 och MailChimp med vårt moln.
  • Powers: Använder vårt moln för att spåra besök på digitala tillgångar som delas med verktyget.
  • PowerSMS: Synkroniserar data mellan Dynamics 365 och SMS-leverantören med vårt moln.
  • PowerSurveyPlus: Använder vårt moln för att fånga undersökningssvar att spela in i Dynamics 365.
  • PowerWebForm: Använder vårt moln för att fånga formulärinsändningar för att spela in i Dynamics 365.
  • PowerWebTraffic: Använder vårt moln för att spåra besök på webbplatser som du har konfigurerat.
  • PowerZapEvent: Synkroniserar data mellan Dynamics 365 och ZapEvent med vårt moln.
  • PowerAttachment: Använder vårt moln för att extrahera bilagor för att lagra i din SharePoint.
  • PowerAutoNumber: Använder vårt moln för att generera nästa sekvensnummer.
  • PowerGeoLog: Använder vårt moln för att spåra användarinloggningar för Dynamics 365.
Hur hanterar PowerObjects gränsöverskridande delning och datarisdiktioner?

Det enda gränsöverskridande datadel som PowerObjects gör är för de datauppsättningar som behövs för att registrera ett PowerPack. Denna information registreras på vårt eget USA-baserade system. Vi gör inte utföra all gränsöverskridande dataöverföring inom våra PowerPacks. När du installerar en PowerPack så gör kräver back-end-behandling i vårt PowerPack Cloud, kan du bestämma vilken region du vill att din databehandling ska ske. De nuvarande tillgängliga platserna är USA, Brasilien, Europa och Östasien. Vi använder Microsoft Azure-tjänster för våra PowerPack Cloud-system och våra molnregioner motsvarar de underliggande Microsoft Azure-regionerna.

Observera att vissa av våra PowerPacks tillhandahåller integration med tredje parts tjänster. Du är ansvarig för tillhandahållandet av dessa tjänster från tredje part, och våra PowerPacks kommer att kommunicera med dem enligt instruktioner från dig vid installationen. Detta kan eventuellt omfatta gränsöverskridande dataöverföringar, och du är ansvarig för att tredjeparterna som behandlar dina uppgifter också överensstämmer med GDPR. MailChimp har till exempel detaljerad vägledning inom deras kunskapsbas om hur de gör detta i förhållande till avtalet mellan EU och Förenta staterna om privatliv.

Hur vi bearbetar data i våra PowerPacks

När vi behöver back-end-behandling på vårt PowerPack Cloud för att leverera PowerPack-funktionalitet, använder vi tjänster i Microsoft Azure-plattformen. Denna plattform erbjuder oss en hög säkerhetsstandard och ger extra fördelar för att säkerställa att lämpliga tekniska säkerhetsåtgärder finns för att ge det yttersta skyddet för dina kunders data.

Vår PowerPack Cloud-behandling är enkel. Vi synkroniserar eller integrerar bara data i syfte att spela in dem i din Microsoft Dynamics 365-instans. Därför har vi inte någon av dina kunduppgifter registrerade permanent i våra molntjänster. Vi behåller den bara så länge som krävs för att slutföra den framgångsrika behandlingen och inte längre än 30 dagar.

I allmänhet kan vi beskriva vår PowerPack-databehandling på följande sätt:
  1. När du installerar en ny PowerPack samlar vi in ​​registreringsinformation inklusive dina kontaktuppgifter och dina Dynamics 365 organisationsinformation - instansnamn och unik ID, antal användare och URL; liksom några andra detaljer som behövs för varje specifikt PowerPack, som referenser eller API-nycklar. Denna information överförs säkert till vår PowerPack-registreringsmotor med hjälp av industristandard TLS-kryptering. Data registreras sedan i vårt USA-baserade datacenter och krypteras i vila.
  2. Om PowerPack behöver back-end-behandling eller synkronisering som beskrivits tidigare, kan du välja en av våra PowerPack Cloud-platser som bättre passar dina datakompetenskrav. Dessa platser motsvarar Microsoft Azure molnplatser eftersom vi använder Microsoft Azure Cloud-tjänster för att tillhandahålla denna infrastruktur. Vi skickar aldrig dina data till olika PowerPack-molnplatser, så du har total kontroll över var dina data finns. Tack vare Microsoft Cloud-styrkan har vi dessutom ytterligare ett antal tekniska säkerhetsåtgärder som hjälper oss att skydda dina data under denna behandling.
  3. Om funktionaliteten kräver integration med tredjeparts-API: er (t.ex. MailChimp eller Twilio) kommer du att tillhandahålla denna konfiguration under installationen av lösningen för att aktivera PowerPack-funktionaliteten. Vi använder sedan den informationen för att skicka data som förväntat till dessa tjänster från tredje part för att implementera PowerPack. All dataöverföring mellan system är krypterad och följer branschens säkerhetsstandarder.
  4. Din kundinformation sparas bara i vårt moln i upp till trettio dagar medan vi ser till att de har lagrats i din Dynamics 365-instans. Efter det tar vi bort informationen från våra system. Vårt PowerPack Cloud håller ingen permanent registrering av dina kunddata.
Vad gör PowerObjects för att säkerställa överensstämmelse med GDPR?

Vi arbetar hårt för att göra allt klart för GDPR-överensstämmelse, några av de aktiviteter du kommer att se hända före maj 2018.
  • Uppdaterade policyer och dokument:
    Vi uppdaterar vår integritetspolicy, licensavtal och andra villkor för att säkerställa överensstämmelse och korrekt beskrivning av förfaranden för åtkomst till Data Subject.
  • säkerhet:
    Vi tar säkerhet väldigt allvarligt, vi utför redan veckovis och månadsvis säkerhetsskanningar. Vi utför också regelbundna externa revisioner och penetrationstester till all vår infrastruktur.
  • Kommunikation:
    Vi granskar våra kommunikations- och anmälningsförfaranden för att säkerställa att de överensstämmer med GDPR.
  • Tekniska implementeringsdetaljer:
    Vi skapar några tekniska guider som ger ytterligare information om hur varje påverkad PowerPack bearbetar din kunds information. Dessa guider kommer att finnas tillgängliga på begäran för våra kunder.
Var kan jag hitta mer information om GDPR?

Den fullständiga texten till GDPR är tillgänglig här. Europeiska kommissionen har en hjälpsam hemsida ägnas åt dataskyddsämnet som täcker GDPR och andra relaterade frågor. Vi rekommenderar också den irländska dataskyddsombudet GDPR-webbplats, och Storbritanniens informationskommissarie 12 Stegguide värdefulla resurser för att hjälpa dig att förstå hur du överensstämmer med GDPR.

Som PowerPack-prenumerant kan du alltid kontakta vårt PowerPack-team om du har frågor om PowerObjects efterlevnad av GDPR eller andra problem relaterade till datasekretess.