Hvordan demonstrere samsvar med GDPR artikkel 15

GDPR-samsvarsprogramvare

Bestill en demonstrasjon

gruppe,med,glade,kolleger,diskuterer,i,konferanse,rom

Artikkel 15 omhandler en organisasjons plikt til å gi konsistent, pålitelig og nøyaktig informasjon knyttet til deres aktiviteter som behandlingsansvarlig.

Informasjonen som organisasjonen gir til registrerte personer gjør det mulig for enkeltpersoner å øke bevisstheten om hvordan dataene deres brukes, kontrollere hvordan dataene deres behandles og deles, og sikre at dataene deres blir håndtert på lovlig måte.

GDPR artikkel 15 juridisk tekst

UK GDPR-versjon

Rett til innsyn for den registrerte

  1. Den registrerte skal ha rett til å få bekreftelse fra behandlingsansvarlig på om personopplysninger om vedkommende blir behandlet eller ikke, og i så fall tilgang til personopplysningene og følgende opplysninger:

    • formålene med behandlingen;

    • kategoriene av personopplysninger;

    • mottakerne eller kategoriene av mottakere som personopplysningene har blitt eller vil bli utlevert til, spesielt mottakere i tredjeland eller internasjonale organisasjoner;

    • hvor det er mulig, den planlagte perioden for hvilken personopplysningene skal lagres, eller om ikke mulig, kriteriene som ble brukt for å bestemme perioden

    • eksistensen av retten til å be behandlingsansvarlig retting eller sletting av personopplysninger eller begrensning av behandling av personopplysninger om den registrerte eller å protestere mot slik behandling;

    • retten til å sende inn en klage til kommissæren;

    • der personopplysningene ikke er hentet fra den registrerte

    • eksistensen av automatisert beslutningstaking, inkludert profilering, nevnt i artikkel 22(1) og (4) og, i det minste i de tilfellene, meningsfull informasjon om logikken som er involvert, samt betydningen og de forutsatte konsekvensene av slik behandling for den registrerte.
  2. Når personopplysninger overføres til et tredjeland eller til en internasjonal organisasjon, skal den registrerte ha rett til å bli informert om passende sikkerhetstiltak i henhold til artikkel 46 knyttet til overføringen.

  3. Den behandlingsansvarlige skal levere en kopi av personopplysningene som behandles. For ytterligere kopier som den registrerte ber om, kan behandlingsansvarlig kreve et rimelig gebyr basert på administrative kostnader. Der den registrerte fremsetter forespørselen elektronisk, og med mindre den registrerte ber om noe annet, skal opplysningene gis i en vanlig elektronisk form.

  4. Retten til å få en kopi nevnt i nr. 3 skal ikke påvirke andres rettigheter og friheter negativt.

EU GDPR-versjon

Rett til innsyn for den registrerte

  1. Den registrerte skal ha rett til å få bekreftelse fra behandlingsansvarlig på om personopplysninger om vedkommende blir behandlet eller ikke, og i så fall tilgang til personopplysningene og følgende opplysninger:

    • formålene med behandlingen;

    • kategoriene av personopplysninger;

    • mottakerne eller kategoriene av mottakere som personopplysningene har blitt eller vil bli utlevert til, spesielt mottakere i tredjeland eller internasjonale organisasjoner;

    • hvor det er mulig, den planlagte perioden for hvilken personopplysningene skal lagres, eller om ikke mulig, kriteriene som ble brukt for å bestemme perioden

    • eksistensen av retten til å be behandlingsansvarlig retting eller sletting av personopplysninger eller begrensning av behandling av personopplysninger om den registrerte eller å protestere mot slik behandling;

    • retten til å sende inn en klage til en tilsynsmyndighet;

    • der personopplysningene ikke er hentet fra den registrerte

    • eksistensen av automatisert beslutningstaking, inkludert profilering, nevnt i artikkel 22(1) og (4) og, i det minste i de tilfellene, meningsfull informasjon om logikken som er involvert, samt betydningen og de forutsatte konsekvensene av slik behandling for den registrerte.
  2. Når personopplysninger overføres til et tredjeland eller til en internasjonal organisasjon, skal den registrerte ha rett til å bli informert om passende sikkerhetstiltak i henhold til artikkel 46 knyttet til overføringen.

  3. Den behandlingsansvarlige skal levere en kopi av personopplysningene som behandles. For ytterligere kopier som den registrerte ber om, kan behandlingsansvarlig kreve et rimelig gebyr basert på administrative kostnader. Der den registrerte fremsetter forespørselen elektronisk, og med mindre den registrerte ber om noe annet, skal opplysningene gis i en vanlig elektronisk form.

  4. Retten til å få en kopi nevnt i nr. 3 skal ikke påvirke andres rettigheter og friheter negativt.
Gå til emnet

Vi er kostnadseffektive og raske

Finn ut hvordan det vil øke avkastningen din
Få ditt tilbud

Teknisk kommentar

Artikkel 15 inneholder tre grunnleggende rettigheter som innehas av den registrerte:

  1. retten til innsyn (inkludert retten til å motta bekreftelse på behandlingen og ytterligere informasjon om behandlingen);

  2. retten til å motta informasjon om sikkerhetstiltak;

  3. retten til å motta en kopi av personopplysningene;

Artikkel 15 skisserer også noen grenser for retten til innsyn (se ovenfor). Der slik tilgang krenker andres rettigheter og friheter, kan organisasjoner avslå forespørsler om kopier av data.

I tillegg, der slike forespørsler anses å være overdrevne eller åpenbart grunnløse, kan organisasjoner kreve et "rimelig gebyr" for å bekjempe gjentagelsen av informasjonsforespørsler.

ISO 27701 klausul 7.3.2 og EU GDPR artikkel 15

I denne delen snakker vi om GDPR artikkel 15 (1)(a), 15 (1)(b), 15 (1)(c), 15 (1)(d), 15 (1)(e), 15 ( 1)(f), 15 (1)(g), 15 (1)(h) og 15 (2)

Organisasjoner bør skissere et detaljert sett med krav som styrer hvordan og når informasjon skal gis til PII-oppdragsgivere.

Eksempler på dette er:

  • det underliggende formålet med dataene som samles inn og behandles;

  • Kontaktinformasjon;

  • hvordan og hvor PII ble innhentet;

  • kontraktsmessige og/eller lovfestede krav;

  • hvordan samtykke kan fjernes;

  • PII-overføringer;

  • hvordan logge en klage;

  • hvordan organisasjonen tar beslutninger om behandling av PII;

  • oppbevaringsperioder for informasjon.

ISO 27701 klausul 7.3.8 og EU GDPR artikkel 15 (3) og (4)

Organisasjoner må levere kopier av PII-data i et brukervennlig, lett tilgjengelig format.

Organisasjoner bør sørge for at all informasjon som gis gjelder utelukkende til PII-rektor som ba om det i første omgang.

Hvis PII har blitt avidentifisert, bør det ikke gjøres forsøk på å identifisere på nytt, med mindre organisasjonen er juridisk pålagt å gjøre det.

Organisasjoner bør også utforske metoder for å overføre PII direkte til en annen organisasjon, hvis du blir bedt om det.

Se ISMS.online
i aksjon

Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din

Enkel. Sikre. Bærekraftig.

Se vår plattform i aksjon med en skreddersydd praktisk økt basert på dine behov og mål.

Bestill demoen din
img

ISO 27701 klausul 7.3.9 og EU GDPR artikkel 15

I denne delen snakker vi om GDPR artikkel 15 (1)(a), 15 (1)(b), 15 (1)(c), 15 (1)(d), 15 (1)(e), 15 ( 1)(f), 15 (1)(g), 15 (1)(h)

Forespørsler kan inkludere en kopi av PII, eller registrering av en klage, og bør fullføres innen rimelig tid.

Organisasjoner kan også kreve et behandlingsgebyr, men dette er vanligvis begrenset til overdreven eller gjentatte forespørsler, og er avhengig av jurisdiksjonen som organisasjonen opererer innenfor.

ISO 27701 klausul 7.4.5 og EU GDPR artikkel 15 (2)

Organisasjoner må enten ødelegge enhver PII som ikke lenger oppfyller et formål, eller endre den på en måte som forhindrer noen form for hovedidentifikasjon.

ISO 27701 klausul 7.5.1 og EU GDPR artikkel 15 (2)

Det kan oppstå behov for å overføre PII mellom to distinkte jurisdiksjoner. Når dette skjer, bør organisasjoner begrunne og dokumentere behovet for å gjøre det.

Organisasjoner bør ta alle relevante lover, rammeverk og forskrifter i betraktning når de trenger å overføre data mellom jurisdiksjoner. Organisasjoner bør også dokumentere bruken av en utpekt tilsynsmyndighet, der det er relevant.

ISO 27701 klausul 8.3.1 og EU GDPR artikkel 15 (3)

Organisasjoner må sørge for tilstrekkelige midler til å oppfylle sine forpliktelser, på tre hovedområder:

  • lovgivning;

  • regulering;

  • kontrakter.

Indeks over tilknyttede EU GDPR-artikler og ISO 27701-klausuler

GDPR-artikkelISO 27701 klausulISO 27701 Støtteklausuler
EU GDPR artikkel 15 (1) (a) til 15 (2)ISO 27701none
EU GDPR artikkel 15 (3) og 15 (4)ISO 27701none
EU GDPR artikkel 15 (1)(a) til 15 (1)(h)ISO 27701none
EU GDPR artikkel 15 (2)ISO 27701none
EU GDPR artikkel 15 (2)ISO 27701none
EU GDPR artikkel 15 (3)ISO 27701none

Hvordan ISMS.online hjelper

ISMS.online tilbyr et miljø som er forhåndsbygd for deg for å beskrive og demonstrere din tilnærming til å beskytte dine europeiske og britiske kundedata som passer sømløst inn i styringssystemet ditt.

GDPR er generelt sett på som den tøffeste personvern- og sikkerhetsreguleringen i verden, med brudd som resulterer i betydelige bøter. Den kan være tvetydig og åpen for tolkning, noe som tyder på at organisasjoner må gi et "rimelig" beskyttelsesnivå for personopplysninger.

ISMS.online gjør det enkelt for deg å hoppe rett inn på reisen til GDPR-samsvar og enkelt demonstrere et beskyttelsesnivå som går utover "rimelig", alt på ett sikkert sted.

Finn ut hvordan ISMS.online kan hjelpe deg med å demonstrere samsvar med GDPR ved bestille en praktisk demo.

Oppdag vår plattform

Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer