Hvordan demonstrere samsvar med GDPR artikkel 11

GDPR-samsvarsprogramvare

Bestill en demonstrasjon

teamarbeid,sammen,profesjonelt,yrke,konsept

GDPR Artikkel 11 omhandler dataminimeringsprinsipper, som i stor grad begrenser hvordan data behandles knyttet til kun det som anses nødvendig.

Behandlingsansvarlige bør slette eller skjule referanser til den registrerte i det øyeblikket dataene ikke lenger er nødvendige. Når dette skjer, må behandlingsansvarlige også innhente ytterligere informasjon om den registrerte for å forbli i samsvar.

Hvis subjekter ønsker å bli identifisert på nytt, bør kontrollørene ta dette om bord og formulere skritt for å håndtere forespørselen.

Det er viktig å merke seg at hvis subjektet ikke er identifisert, gjelder artikkel 11 delvis, men hvis den registrerte ber om re-identifikasjon, må den behandlingsansvarlige forsøke dette (med mindre dette viser seg å være umulig ved bevisbyrde).

GDPR artikkel 11 juridisk tekst

EU GDPR-versjon

Behandling som ikke krever identifikasjon

  1. Dersom formålene som en behandlingsansvarlig behandler personopplysninger for ikke krever eller ikke lenger krever identifikasjon av en registrert av den behandlingsansvarlige, skal den behandlingsansvarlige ikke være forpliktet til å opprettholde, innhente eller behandle tilleggsopplysninger for å identifisere den registrerte for eneste formålet med å overholde denne forordningen.

  2. Dersom den behandlingsansvarlige, i tilfeller nevnt i nr. 1 i denne artikkel, er i stand til å vise at den ikke er i stand til å identifisere den registrerte, skal den behandlingsansvarlige informere den registrerte om dette, hvis mulig. I slike tilfeller skal artiklene 15 til 20 ikke gjelde, med mindre den registrerte, for å utøve sine rettigheter i henhold til disse artiklene, gir tilleggsinformasjon som muliggjør identifisering.

UK GDPR-versjon

Behandling som ikke krever identifikasjon

  1. Dersom formålene som en behandlingsansvarlig behandler personopplysninger for ikke krever eller ikke lenger krever identifikasjon av en registrert av den behandlingsansvarlige, skal den behandlingsansvarlige ikke være forpliktet til å opprettholde, innhente eller behandle tilleggsopplysninger for å identifisere den registrerte for eneste formålet med å overholde denne forordningen.

  2. Dersom den behandlingsansvarlige, i tilfeller nevnt i nr. 1 i denne artikkel, er i stand til å vise at den ikke er i stand til å identifisere den registrerte, skal den behandlingsansvarlige informere den registrerte om dette, hvis mulig. I slike tilfeller skal artiklene 15 til 20 ikke gjelde, med mindre den registrerte, for å utøve sine rettigheter i henhold til disse artiklene, gir tilleggsinformasjon som muliggjør identifisering.
Gå til emnet
Vi kan ikke tenke på noe selskap hvis tjeneste kan holde et lys til ISMS.online.
Vivian Kroner
ISO 27001, 27701 og GDPR ledende implementer Aperian Global
100 % av brukerne våre består sertifiseringen første gang
Bestill demoen din

EU GDPR artikkel 11 (1) og ISO 27701 paragraf 7.4.5

PII-avidentifikasjon og sletting ved slutten av behandlingen

Når PII ikke lenger oppfyller et uttalt formål, må organisasjoner enten fullstendig ødelegge dataene, eller endre dem på en måte som forhindrer enhver form for identifikasjon på noen måte, enten internt eller eksternt.

Så snart organisasjonen har fastslått at PII ikke trenger å behandles på noe tidspunkt i fremtiden, bør informasjonen slettes eller endres på en måte som gjør det umulig for den registrerte å identifiseres.

EU GDPR artikkel 11 (2) og ISO 27701 paragraf 7.3.2

Fastsettelse av informasjon for PII-rektorer

Organisasjoner bør dokumentere informasjonen som PII-rektorer mottar, som skisserer hvordan PII behandles.

Det må være et sett med krav som styrer når informasjon skal gis, og nøyaktig hva denne informasjonen er, for eksempel:

  • Formålet med PII-en som samles inn og behandles.

  • Kontaktinformasjon.

  • Hvordan PII ble innhentet.

  • Skriftlige krav (kontraktsmessige, lovpålagte).

  • Prosessen der samtykke fjernes.

  • Dataoverføringer.

  • En klageprosedyre.

  • Den interne beslutningsprosessen.

  • Oppbevaringsperioder for data.

Oppdag vår plattform

Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din

ISMS.online vil spare deg for tid og penger

Få ditt tilbud

EU GDPR artikkel 11 (2) og ISO 27701 paragraf 7.3.3

Gi informasjon til PII-rektorer

Organisasjoner må skissere hvem PII-kontrolløren er, og hvordan data behandles, gjennom "klare og tilgjengelige" midler som ikke hindrer spredning av viktig informasjon.

Informasjonen skal være lett å følge, og settes ut i lekmannsvilkår, slik at alle som leser den er i stand til å forstå innholdet i det som formidles, sammen med eventuelle tekniske eller operasjonelle spesifikasjoner (se ISO 27701 klausul 7.3.2).

Støtter ISO 27701 klausuler

  • ISO 27701

Støttekontroller fra ISO 27701

GDPR-artikkelISO 27701 klausulISO 27701 Støtteklausuler
EU GDPR artikkel 11 (1)ISO 27701none
EU GDPR artikkel 11 (2)ISO 27701none
EU GDPR artikkel 11 (2)ISO 27701ISO 27701

Hvordan ISMS.online hjelper

Vårt forhåndsbygde miljø lar deg beskrive og demonstrere din tilnærming til å beskytte dine europeiske og britiske kundedata på en måte som sømløst integreres i styringssystemet ditt.

ISMS.online-plattformen inneholder innebygd veiledning ved hvert trinn, i tillegg til vår «Adopter, Adapt, Add» implementeringstilnærming, som reduserer mengden innsats som kreves for å overholde GDPR. Du vil også motta en rekke tidsbesparende fordeler.

Enten du har problemer med å komme deg til GDPR på grunn av mangel på selvtillit, evne eller motivasjon til å iverksette tiltak, kan vi hjelpe deg ved å tilby våre interne eksperter eller ved å anbefale en av våre pålitelige partnere.

Finn ut mer av bestille en demo.

Se ISMS.online
i aksjon

Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer