GDPR Artikkel 12 fokuserer på hvordan behandlingsansvarlige kommuniserer med registrerte, både når det gjelder hvordan de kommuniserer sine interne prosesser, hvordan de legger til rette for informasjonsflyt og hvordan de ivaretar personens rettigheter.
Gjennomsiktig informasjon, kommunikasjon og modaliteter for utøvelse av rettighetene til den registrerte
Den behandlingsansvarlige skal bære byrden med å vise at anmodningen er åpenbart grunnløs eller overdreven.
Den behandlingsansvarlige skal bære byrden med å vise at anmodningen er åpenbart grunnløs eller overdreven.
Informasjon gitt av den behandlingsansvarlige til rektor bør være:
Selv om GDPR ikke inneholder et spesifikt sett med instruksjoner knyttet til hvordan organisasjoner bør tilby "mekanismer for å be om og, hvis aktuelt, skaffe, gratis, spesielt tilgang til og retting eller sletting av personopplysninger og utøvelse av rettighetene å protestere'.
Lovverket utelater enhver presis definisjon av hva som anses som et akseptabelt tidspunkt for å svare på forespørsler. Det er i stedet overlatt til organisasjoner å handle så raskt som mulig (eller "uten unødig forsinkelse") innen en måned – utvidet til to måneder for komplekse forespørsler.
Hvis en organisasjon ikke har til hensikt å handle på en forespørsel, bør den registrerte informeres om årsakene innen en måned, sammen med informasjon om hvordan en klage kan sendes inn.
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din
Organisasjoner må dokumentere sine forpliktelser overfor PII-rektorer på tvers av tre nøkkelområder:
Organisasjoner bør gi transparent dokumentasjon og et utpekt kontaktpunkt til PII-oppdragsgivere, for å lette den frie flyten av informasjon og ikke på noen måte hindre PII-oppdragsgiveren fra å etablere den behandlingsansvarliges forpliktelser.
Det er viktig å merke seg at for å sikre ensartethet, bør alle oppgitte kontaktmidler gjenspeile måten organisasjonen samler inn PII – for eksempel å oppgi en e-postadresse eller en PoC, hvis data ble samlet inn via e-post, i stedet for å bare be en rektor om å skrive ett brev.
Organisasjoner må kunne gi informasjon til PII-oppdragsgivere som identifiserer PII-kontrolløren, og hvordan data behandles.
Organisasjoner bør gjøre sitt ytterste for å sikre at de bruker et tilgjengelig språk som unngår bransjesjargong, og formidler informasjon på en enkel måte som er lett å forstå (se ISO 27702 klausul 7.3.2).
Forespørsler fra PII-rektorer bør styres av prosesser og kontroller som er allment forstått i hele organisasjonen, og imøtekomme spesifikasjonene til eventuelle lov- eller regulatoriske krav, inkludert tilstrekkelige responstider.
Forespørsler kan omfatte:
Organisasjoner har lovlig lov til å kreve et håndteringsgebyr, men dette brukes vanligvis bare på gjentatte eller overdrevne forespørsler om data.
GDPR-artikkel | ISO 27701 klausul | ISO 27701 Støtteklausuler |
---|---|---|
EU GDPR artikkel 12 (2) | ISO 27701 | none |
EU GDPR artikkel 12 (1), (7) | ISO 27701 | ISO 27701 |
EU GDPR artikkel 12 (3), (4), (5), (6) | ISO 27701 | none |
ROPA gjort enkelt
Vi gjør datakartlegging til en enkel oppgave. Det er enkelt å registrere og gjennomgå alt ved å legge til organisasjonens detaljer i vårt forhåndskonfigurerte dynamiske verktøy for registreringer av behandlingsaktivitet.
Vurderingsmaler
Vi tilbyr brukervennlige maler for registrering av personvern og legitime interessevurderinger.
En sikker plass for DRR
Du må vise hvor godt du administrerer forespørsler om datasubjektrettigheter (DRR). Vår sikre DRR-plass holder alt på ett sted, og støtter det med automatisert rapportering og innsikt.
Håndtering av brudd
Hvis det verste skjer, er du klar. Vi gjør det enkelt å planlegge og kommunisere bruddarbeidsflyten din, og dokumentere og lære av hver hendelse.
Finn ut mer av bestille en demo.
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din
Vi kan ikke tenke på noe selskap hvis tjeneste kan holde et lys til ISMS.online.