Hvordan demonstrere samsvar med GDPR artikkel 12

UK GDPR-versjon

1. Den behandlingsansvarlige skal treffe passende tiltak for å gi all informasjon nevnt i artikkel 13 og 14 og enhver kommunikasjon i henhold til artikkel 15 til 22 og 34 knyttet til behandling til den registrerte i en kortfattet, gjennomsiktig, forståelig og lett tilgjengelig form, ved bruk av klar og tydelig språk, spesielt for all informasjon rettet spesifikt til et barn. Informasjonen skal gis skriftlig eller på annen måte, inkludert, der det er hensiktsmessig, elektronisk. Når den registrerte ber om det, kan opplysningene gis muntlig, forutsatt at identiteten til den registrerte er bevist på annen måte.
2. Den behandlingsansvarlige skal legge til rette for utøvelse av den registrertes rettigheter i henhold til artikkel 15 til 22. I tilfellene nevnt i artikkel 11 nr. 2, skal den behandlingsansvarlige ikke nekte å handle på anmodning fra den registrerte om å utøve sine rettigheter i henhold til artiklene 15 til 22, med mindre den behandlingsansvarlige viser at den ikke er i stand til å identifisere den registrerte.
3. Den behandlingsansvarlige skal gi informasjon om tiltak som er iverksatt på en forespørsel i henhold til artikkel 15 til 22 til den registrerte uten ugrunnet opphold og under alle omstendigheter innen én måned etter mottak av forespørselen. Denne perioden kan forlenges med ytterligere to måneder dersom det er nødvendig, under hensyntagen til kompleksiteten og antallet forespørsler. Den behandlingsansvarlige skal informere den registrerte om enhver slik forlengelse innen én måned etter mottak av anmodningen, sammen med årsakene til forsinkelsen . Der den registrerte fremsetter forespørselen på elektronisk form, skal informasjonen gis elektronisk der det er mulig, med mindre den registrerte ber om noe annet.
4. Dersom den behandlingsansvarlige ikke iverksetter tiltak etter anmodning fra den registrerte, skal den behandlingsansvarlige informere den registrerte uten opphold og senest innen en måned etter mottak av anmodningen om årsakene til ikke å iverksette tiltak og om muligheten for å inngi en klage til en tilsynsmyndighet kommissæren og søker en rettslig løsning.
5. Informasjon gitt i henhold til artikkel 13 og 14 og enhver kommunikasjon og alle handlinger utført i henhold til artikkel 15 til 22 og 34 skal gis gratis. Når forespørsler fra en registrert er åpenbart grunnløse eller overdrevne, spesielt på grunn av deres gjentakende karakter, kan den behandlingsansvarlige enten:
• Betale et rimelig gebyr som tar i betraktning de administrative kostnadene ved å gi informasjonen eller kommunikasjonen eller utføre handlingen som kreves; eller
• Nekter å reagere på forespørselen.

Den behandlingsansvarlige skal bære byrden med å vise at anmodningen er åpenbart grunnløs eller overdreven.

6. Uten at det berører artikkel 11, kan den behandlingsansvarlige, dersom den behandlingsansvarlige har rimelig tvil om identiteten til den fysiske personen som fremsetter anmodningen nevnt i artikkel 15 til 21, be om å gi ytterligere informasjon som er nødvendig for å bekrefte identiteten til den registrerte.
• [6A. Kommissæren kan publisere (og endre eller trekke tilbake)
• (a) Standardiserte ikoner for bruk i kombinasjon med informasjon gitt til registrerte under artikkel 13 og 14;
• (b) En melding som sier at andre personer kan publisere (og endre eller trekke tilbake) slike ikoner, forutsatt at ikonene tilfredsstiller kravene spesifisert i kunngjøringen med hensyn til informasjonen som skal presenteres av ikonene og prosedyrene for å gi ikonene.
• 6B. Kommissæren må ikke publisere ikoner eller et varsel i henhold til paragraf 6A med mindre han er overbevist (etter behov) at ikonene gir en meningsfull oversikt over den tiltenkte behandlingen på en lett synlig, forståelig og lett leselig måte, eller at varselet vil resultere i ikoner som gjør det .]
7. Hvis standardiserte ikoner publiseres som beskrevet i paragraf 6A (og ikke trekkes tilbake), kan informasjonen som skal gis til registrerte i henhold til artikkel 13 og 14 gis i kombinasjon med ikonene. Der ikonene presenteres elektronisk, skal de være maskinlesbare.

Teknisk kommentar

Kvaliteten på den gitte informasjonen

Informasjon gitt av den behandlingsansvarlige til rektor bør være:

1. Konsis.
2. Gjennomsiktig.
3. Forståelig.
4. Lett tilgjengelig.
5. Lett forståelig.
6. I riktig format.

Tilrettelegging for den registrertes rettigheter

Selv om GDPR ikke inneholder et spesifikt sett med instruksjoner knyttet til hvordan organisasjoner bør tilby "mekanismer for å be om og, hvis aktuelt, skaffe, gratis, spesielt tilgang til og retting eller sletting av personopplysninger og utøvelse av rettighetene å protestere'.

Tidsfrister

Lovverket utelater enhver presis definisjon av hva som anses som et akseptabelt tidspunkt for å svare på forespørsler. Det er i stedet overlatt til organisasjoner å handle så raskt som mulig (eller "uten unødig forsinkelse") innen en måned – utvidet til to måneder for komplekse forespørsler.

Hvis en organisasjon ikke har til hensikt å handle på en forespørsel, bør den registrerte informeres om årsakene innen en måned, sammen med informasjon om hvordan en klage kan sendes inn.

EU GDPR artikkel 12 (2) og ISO 27701 klausul 7.3.1

Fastsettelse og oppfyllelse av forpliktelser overfor Pii-rektorer

Organisasjoner må dokumentere sine forpliktelser overfor PII-rektorer på tvers av tre nøkkelområder:

1. Lovlig.
2. Regulatorisk.
3. Virksomhet.

Organisasjoner bør gi transparent dokumentasjon og et utpekt kontaktpunkt til PII-oppdragsgivere, for å lette den frie flyten av informasjon og ikke på noen måte hindre PII-oppdragsgiveren fra å etablere den behandlingsansvarliges forpliktelser.

Det er viktig å merke seg at for å sikre ensartethet, bør alle oppgitte kontaktmidler gjenspeile måten organisasjonen samler inn PII – for eksempel å oppgi en e-postadresse eller en PoC, hvis data ble samlet inn via e-post, i stedet for å bare be en rektor om å skrive ett brev.

EU GDPR artikkel 12 (1) og (7) og ISO 27701 klausul 7.3.3

Gi informasjon til PII-rektorer

Organisasjoner må kunne gi informasjon til PII-oppdragsgivere som identifiserer PII-kontrolløren, og hvordan data behandles.

Organisasjoner bør gjøre sitt ytterste for å sikre at de bruker et tilgjengelig språk som unngår bransjesjargong, og formidler informasjon på en enkel måte som er lett å forstå (se ISO 27702 klausul 7.3.2).

Støtter ISO 27701 klausuler

• ISO 27701

EU GDPR artikkel 12 (3), (4), (5), (6) og ISO 27701 klausul 7.3.9

Forespørsler fra PII-rektorer bør styres av prosesser og kontroller som er allment forstått i hele organisasjonen, og imøtekomme spesifikasjonene til eventuelle lov- eller regulatoriske krav, inkludert tilstrekkelige responstider.

Forespørsler kan omfatte:

1. Kopier av data.
2. Klager.
3. Prosedyremessige avklaringer.

Organisasjoner har lovlig lov til å kreve et håndteringsgebyr, men dette brukes vanligvis bare på gjentatte eller overdrevne forespørsler om data.

Støttekontroller fra ISO 27701

Hvordan ISMS.online hjelper

ROPA gjort enkelt

Vi gjør datakartlegging til en enkel oppgave. Det er enkelt å registrere og gjennomgå alt ved å legge til organisasjonens detaljer i vårt forhåndskonfigurerte dynamiske verktøy for registreringer av behandlingsaktivitet.

Vurderingsmaler

Vi tilbyr brukervennlige maler for registrering av personvern og legitime interessevurderinger.

En sikker plass for DRR

Du må vise hvor godt du administrerer forespørsler om datasubjektrettigheter (DRR). Vår sikre DRR-plass holder alt på ett sted, og støtter det med automatisert rapportering og innsikt.

Håndtering av brudd

Hvis det verste skjer, er du klar. Vi gjør det enkelt å planlegge og kommunisere bruddarbeidsflyten din, og dokumentere og lære av hver hendelse.

Finn ut mer av bestille en demo.