Hvordan demonstrere samsvar med GDPR artikkel 14

UK GDPR-versjon

Informasjon som skal gis der personopplysninger ikke er innhentet fra den registrerte

1. Der det ikke er innhentet personopplysninger fra den registrerte, skal behandlingsansvarlig gi den registrerte følgende informasjon:
• Identiteten og kontaktopplysningene til den behandlingsansvarlige og, der det er aktuelt, til den behandlingsansvarliges representant;
• Kontaktinformasjonen til databeskyttelsesansvarlig, der det er aktuelt;
• Formålet med behandlingen som personopplysningene er ment for, samt det rettslige grunnlaget for behandlingen;
• kategoriene av personopplysninger det gjelder;
• Mottakerne eller kategoriene av mottakere av personopplysningene, hvis noen;
• Der det er aktuelt, at den behandlingsansvarlige har til hensikt å overføre personopplysninger til en mottaker i et tredjeland eller internasjonal organisasjon og eksistensen eller fraværet av relevante tilstrekkelighetsbestemmelser i henhold til seksjon 17A i 2018-loven, eller i tilfelle overføringer nevnt i artikkel 46 eller 47, eller annet ledd i artikkel 49 nr. 1, henvisning til passende eller passende sikkerhetstiltak og midler for å skaffe en kopi av dem eller hvor de er gjort tilgjengelige.
2. I tillegg til informasjonen nevnt i nr. 1, skal den behandlingsansvarlige gi den registrerte følgende informasjon som er nødvendig for å sikre rettferdig og åpen behandling med hensyn til den registrerte:
• Perioden som personopplysningene vil bli lagret i, eller hvis det ikke er mulig, kriteriene som brukes for å bestemme denne perioden;
• Når behandlingen er basert på punkt f) i artikkel 6 nr. 1, de legitime interessene som forfølges av den behandlingsansvarlige eller av en tredjepart;
• Eksistensen av retten til å be behandlingsansvarlig om tilgang til og retting eller sletting av personopplysninger eller begrensning av behandling vedrørende den registrerte og til å protestere mot behandling, samt retten til dataportabilitet;
• Når behandlingen er basert på punkt (a) i artikkel 6 nr. 1 eller nr. a) i artikkel 9 nr. 2, eksisterer retten til å trekke tilbake samtykke når som helst, uten at det påvirker lovligheten av behandling basert på samtykke før det uttak;
• Retten til å sende inn en klage til kommissæren;
• Fra hvilken kilde personopplysningene stammer fra, og hvis aktuelt, om de kom fra offentlig tilgjengelige kilder;
• Eksistensen av automatisert beslutningstaking, inkludert profilering, referert til i artikkel 22(1) og (4) og, i det minste i de tilfellene, meningsfull informasjon om logikken som er involvert, samt betydningen og de forutsatte konsekvensene av slik behandling for den registrerte.
3. Den behandlingsansvarlige skal gi opplysningene nevnt i nr. 1 og 2:
• Innen rimelig tid etter innhenting av personopplysningene, men senest innen én måned, tatt i betraktning de spesifikke omstendighetene der personopplysningene behandles;
• Dersom personopplysningene skal brukes til kommunikasjon med den registrerte, senest på tidspunktet for første kommunikasjon til den registrerte; eller
• Dersom det er tenkt utlevering til en annen mottaker, senest når personopplysningene først utleveres.
4. Dersom den behandlingsansvarlige har til hensikt å videre behandle personopplysningene til et annet formål enn det som personopplysningene ble innhentet for, skal den behandlingsansvarlige gi den registrerte før den videre behandlingen informasjon om dette andre formålet og all relevant ytterligere informasjon som nevnt. til i paragraf 2.
5. Punktene 1 til 4 får ikke anvendelse når og i den grad:
• Den registrerte har allerede informasjonen;
• Levering av slik informasjon viser seg umulig eller vil innebære en uforholdsmessig innsats, særlig for behandling for arkiveringsformål i allmenn interesse, vitenskapelige eller historiske forskningsformål eller statistiske formål, med forbehold om vilkårene og garantiene nevnt i artikkel 89 (1) eller i den grad forpliktelsen nevnt i nr. 1 i denne artikkel er egnet til å umuliggjøre eller alvorlig svekke oppnåelsen av målene med denne behandlingen. I slike tilfeller skal den behandlingsansvarlige treffe passende tiltak for å beskytte den registrertes rettigheter og friheter og legitime interesser, inkludert å gjøre informasjonen offentlig tilgjengelig;
• Innhenting eller avsløring er uttrykkelig fastsatt av nasjonal lovgivning, som gir passende tiltak for å beskytte den registrertes legitime interesser; eller
• Hvor personopplysningene må forbli konfidensielle underlagt en taushetsplikt regulert av nasjonal lovgivning, inkludert en lovbestemt taushetsplikt.

Teknisk kommentar

Organisasjoner må gjøre følgende informasjon tilgjengelig etter innsamling av emnets data:

1. Identiteten til deres databeskyttelsesansvarlige.
2. Kontaktopplysninger til deres databeskyttelsesansvarlige.
3. Formålet og det juridiske grunnlaget for innsamling av dataene.
4. Kategoriene av personopplysninger som er indirekte innhentet.
5. Eventuelle legitime interesser.
6. Mottakernes identitet.
7. Internasjonale overføringer av data, inkludert landdetaljer og sikkerhetstiltak.

Forpliktelser til å gi informasjon når personopplysninger er innhentet

I tillegg til informasjonen ovenfor, må organisasjonen også gi:

1. Detaljer om datalagringsperioden;
2. Spesifikasjonene til den registrertes rettigheter, i henhold til databeskyttelsesloven;
3. Informasjon om hvordan du kan trekke tilbake samtykke;
4. Hvordan sende inn en klage;
5. Eventuelle kontraktsmessige eller lovfestede krav;
6. Detaljer om automatiserte beslutningsprosesser.

Tidsbegrensninger for hvilken informasjon om behandling bør gis

• Scenario 1 – Personopplysninger samlet inn med ingen intensjoner å kontakte den registrerte eller utlevere dataene til en tredjepart
• Frist for kontakt – En måned
• Scenario 2 – Personopplysninger samlet inn med en intensjon å kontakte den registrerte
• Frist for kontakt – To måneder
• Personopplysninger samlet inn med en intensjon å avsløre dem til en tredjepart
• Frist for kontakt – To måneder

EU GDPR artikkel 14 og ISO 27701 klausul 7.3.2

Denne delen viser til GDPR-artikkel 14 (1)(a), 14 (1)(b), 14 (1)(c), 14 (1)(d), 14 (1)(e), 14 (1)( f), 14 (2)(b), 14 (2)(e), 14 (2)(f), 14 (3)(a), 14 (3)(b), 14 (3)(c) , 14 (4), 14 (5) (a), 14 (5) (b), 14 (5) (c), 14 (5) (d)

Se ISO 27701 klausul 7.3.2 veiledning i artikkel 13.

EU GDPR artikkel 14 (2)(d) og ISO 27701 klausul 7.3.4

Se ISO 27701 klausul 7.3.4 veiledning i artikkel 13.

EU GDPR artikkel 14 (2)(c) og ISO 27701 klausul 7.3.5

Se ISO 27701 klausul 7.3.5 veiledning i artikkel 13.

EU GDPR artikkel 14 (2)(c) og ISO 27701 klausul 7.3.6

Se ISO 27701 klausul 7.3.6 veiledning i artikkel 13.

EU GDPR artikkel 14 (2)(g) og ISO 27701 klausul 7.3.10

Se ISO 27701 klausul 7.3.10 veiledning i artikkel 13.

EU GDPR artikkel 14 (2)(a) og ISO 27701 klausul 7.4.7

Se ISO 27701 klausul 7.4.7 veiledning i artikkel 13.

Støttekontroller fra ISO 27701

Hvordan ISMS.online hjelper

Vi tilbyr et miljø som er forhåndsbygd for deg for å beskrive og demonstrere din tilnærming til å beskytte dine europeiske og britiske kundedata som passer sømløst inn i styringssystemet ditt.

Det er derfor vi har laget en innebygd risikobank og en rekke andre praktiske verktøy som vil hjelpe med alle deler av risikovurderingen og styringsprosessen. Uansett hvilke personvernstandarder eller reguleringer du jobber med, må du vise hvor godt du administrerer forespørsler om datasubjektrettigheter (DRR). Vår sikre DRR-plass holder alt på ett sted, og støtter det med automatisert rapportering og innsikt.

Finn ut mer av bestilling av en 30 minutters demo.