Hvordan demonstrere samsvar med GDPR artikkel 13

UK GDPR-versjon

Artikkel 13: Informasjon som skal gis der personopplysninger samles inn fra den registrerte

1. Der det samles inn personopplysninger knyttet til en registrert person fra den registrerte, skal den behandlingsansvarlige, på det tidspunktet personopplysningene innhentes, gi den registrerte all følgende informasjon:
• Identiteten og kontaktopplysningene til den behandlingsansvarlige og, der det er aktuelt, til den behandlingsansvarliges representant;
• Kontaktinformasjonen til databeskyttelsesansvarlig, der det er aktuelt;
• Formålet med behandlingen som personopplysningene er ment for, samt det rettslige grunnlaget for behandlingen;
• Når behandlingen er basert på punkt f) i artikkel 6 nr. 1, de legitime interessene som forfølges av den behandlingsansvarlige eller av en tredjepart;
• Mottakerne eller kategoriene av mottakere av personopplysningene, hvis noen;
• Der det er aktuelt, det faktum at den behandlingsansvarlige har til hensikt å overføre personopplysninger til et tredjeland eller internasjonal organisasjon og eksistensen eller fraværet av relevante tilstrekkelighetsforskrifter i henhold til seksjon 17A i 2018-loven, eller i tilfelle overføringer nevnt i artikkel 46 eller 47 , eller annet ledd i artikkel 49 nr. 1, henvisning til passende eller passende sikkerhetstiltak og måtene å få tak i en kopi av dem på eller hvor de er gjort tilgjengelige.
2. I tillegg til informasjonen nevnt i nr. 1, skal den behandlingsansvarlige, på det tidspunktet personopplysningene innhentes, gi den registrerte følgende ytterligere informasjon som er nødvendig for å sikre rettferdig og transparent behandling:
• Perioden som personopplysningene vil bli lagret i, eller hvis det ikke er mulig, kriteriene som brukes for å bestemme denne perioden;
• Eksistensen av retten til å be behandlingsansvarlig om tilgang til og retting eller sletting av personopplysninger eller begrensning av behandling vedrørende den registrerte eller til å protestere mot behandling, samt retten til dataportabilitet;
• Når behandlingen er basert på artikkel 6 nr. 1 (a) eller artikkel 9 nr. 2 (a), eksisterer retten til å trekke tilbake samtykke når som helst, uten at det påvirker lovligheten av behandling basert på samtykke før dets tilbaketrekking;
• Retten til å sende inn en klage til kommissæren;
• Hvorvidt utlevering av personopplysninger er et lovfestet eller kontraktsmessig krav, eller et krav som er nødvendig for å inngå en kontrakt, samt om den registrerte er forpliktet til å oppgi personopplysningene og om de mulige konsekvensene av manglende levering av slike data;
• Eksistensen av automatisert beslutningstaking, inkludert profilering, referert til i artikkel 22(1) og (4) og, i det minste i disse tilfellene, meningsfull informasjon om logikken som er involvert, samt betydningen og de forutsatte konsekvensene av slik behandling for den registrerte.
3. Dersom den behandlingsansvarlige har til hensikt å videre behandle personopplysningene for et annet formål enn det personopplysningene ble samlet inn for, skal den behandlingsansvarlige gi den registrerte før den videre behandlingen informasjon om dette andre formålet og all relevant ytterligere informasjon som nevnt. til i paragraf 2.
4. 1, 2 og 3 gjelder ikke der og i den grad den registrerte allerede har opplysningene.

Teknisk kommentar

Organisasjoner må gjøre følgende informasjon tilgjengelig på innsamlingsstedet, der det er aktuelt (f.eks. internasjonale overføringer):

1. Identiteten til deres databeskyttelsesansvarlige.
2. Kontaktopplysninger til deres databeskyttelsesansvarlige.
3. Formålet og det juridiske grunnlaget for innsamling av dataene.
4. Eventuelle legitime interesser.
5. Mottakernes identitet.
6. Internasjonale overføringer av data, inkludert landdetaljer og sikkerhetstiltak.

Forpliktelser til å gi informasjon når personopplysninger er innhentet

I samsvar med veiledningen skissert i artikkel 13, må organisasjoner også gi følgende informasjon:

• Detaljer om datalagringsperioden.
• Spesifikasjonene til den registrertes rettigheter, i henhold til databeskyttelsesloven.
• Informasjon om hvordan du kan trekke tilbake samtykket.
• Hvordan sende inn en klage.
• Kilden til dataene som er innhentet.
• Eventuelle kontraktsmessige eller lovfestede krav.
• Detaljer om automatiserte beslutningsprosesser.

EU GDPR artikkel 13 (1)(a), (1)(b), (1)(c), (1)(d), (1)(e), (1)(f), (2)( c), (2)(d), (2)(e), (3), (4) og ISO 27701 klausul 7.3.2

Fastsettelse av informasjon for PII-rektorer

Organisasjoner bør skissere et detaljert sett med krav som styrer hvordan og når informasjon skal gis til PII-oppdragsgivere.

Eksempler på dette er:

• Det underliggende formålet med dataene som samles inn og behandles.
• Kontaktinformasjon.
• Hvordan og hvor PII ble innhentet.
• Kontraktsmessige og/eller lovpålagte krav.
• Hvordan samtykke kan fjernes.
• PII-overføringer.
• Slik logger du en klage.
• Hvordan organisasjonen tar beslutninger om behandling av PII.
• Oppbevaringsperioder for informasjon.

EU GDPR artikkel 13 (3) og ISO 27701 klausul 7.3.3

Gi informasjon til PII-rektorer

All informasjon skal gis feilfri, og på et språk som er lett å forstå (f.eks. mangler sjargong, ikke overdrevent teknisk) av personene som har evnen til å lese den (se ISO 27702 klausul 7.3.2).

Støtter ISO 27701 klausuler

• ISO 27701

EU GDPR artikkel 13 (2)(c) og ISO 27701 klausul 7.3.4

Gi mekanisme for å endre eller trekke tilbake samtykke

Det bør tilbys mekanismer som ivaretar rettighetene til enhver PII-rektor som ønsker å trekke tilbake samtykke.

Kommunikasjonskanaler bør gjenspeile de som ble brukt av organisasjonen til å samle inn dataene i utgangspunktet, og PII-oppdragsgivere bør kunne begrense den behandlingsansvarlige fra å utføre visse handlinger.

Organisasjoner bør forplikte seg til en publisert responstid for alle endringer eller tilbaketrekking av samtykkeforespørsler, og alle slike forespørsler bør dokumenteres grundig.

EU GDPR artikkel 13 (2)(b) og ISO 27701 klausul 7.3.5

Tilbyr mekanisme for å protestere mot PII-behandling

Lokale og nasjonale lover varierer mellom jurisdiksjoner, men generelt sett bør PII-oppdragsgivere beholde muligheten til å reise innvendinger mot hvordan dataene deres har blitt lagret, behandlet eller overført.

Organisasjoner bør:

1. Dokumenter eventuelle juridiske eller forskriftsmessige krav som er relatert til eventuelle innvendinger reist av PII-oppdragsgivere.
2. Gi de registrerte informasjon om hvordan de kan protestere.

EU GDPR artikkel 13 (2)(b) og ISO 27701 klausul 7.3.6

Tilgang, korrigering og/eller sletting

Organisasjoner bør dokumentere prosedyrer som lar registrerte utføre tre grunnleggende funksjoner:

1. Adgang deres data.
2. Riktig deres data.
3. Delete deres data.

Organisasjoner bør forplikte seg til en publisert responstid for alle forespørsler om tilgang, retting eller sletting, og gi en grunn til hvorfor rettelser ikke kan iverksettes, der det er relevant.

Hvis PII har blitt overført til en tredjepart, er organisasjoner forpliktet til å videresende eventuelle forespørsler til dem, og bekrefte bekreftelse (se ISO 27701 paragraf 7.3.7).

Avhengig av jurisdiksjonen kan ulike regionale og nasjonale regler gjelde. Som sådan bør organisasjoner opprettholde en grundig forståelse av alle lover eller forskrifter som gjelder tilgang til, korrigering av eller sletting av PII.

Støtter ISO 27701 klausuler

• ISO 27701

EU GDPR artikkel 13 (2)(f) og ISO 27701 klausul 7.3.10

Automatisert beslutningstaking

Organisasjoner bør ta opp eventuelle juridiske forpliktelser overfor PII-oppdragsgivere som er relatert til automatisert behandling av PII.

Organisasjoner bør ta hensyn til jurisdiksjonsavvik i automatisert beslutningstaking angående PII – mer spesifikt, tillate PII-rektorer å protestere og be om menneskelig inngripen i stedet for automatiserte prosedyrer.

EU GDPR artikkel 13 (2)(a) og ISO 27701 klausul 7.4.7

Organisasjoner må slette og/eller avhende PII som den ikke lenger krever, eller ikke lenger oppfyller et bestemt formål.

Organisasjoner bør operere med oppbevaringsplaner som skisserer den nøyaktige tidsperioden PII oppbevares i, inkludert overholdelse av juridiske, lovfestede eller kontraktsmessige krav.

Støttekontroller fra ISO 27701

Hvordan ISMS.online hjelper

ROPA gjort enkelt

Vår PIMS-løsning gjør datakartlegging til en enkel oppgave. Det er enkelt å registrere og gjennomgå alt ved å legge til organisasjonens detaljer i vårt forhåndskonfigurerte dynamiske verktøy for registreringer av behandlingsaktivitet.

Innebygd risikobank

Å håndtere risiko er nøkkelen til en vellykket PIMS. Det er derfor vi har laget en innebygd risikobank og en rekke andre praktiske verktøy som vil hjelpe med alle deler av risikovurderingen og styringsprosessen.

Sikre plass for DRR

Uansett hvilke personvernstandarder eller reguleringer du jobber med, må du vise hvor godt du administrerer forespørsler om datasubjektrettigheter (DRR). Vår sikre DRR-plass holder alt på ett sted, og støtter det med automatisert rapportering og innsikt.

Finn ut mer av bestille en demo.