Hvordan demonstrere samsvar med GDPR artikkel 22

GDPR-samsvarsprogramvare

Bestill en demonstrasjon

virksomhet,team,møte.,foto,profesjonell,investor,jobber,ny,oppstart,opp

GDPR Artikkel 22 omhandler et konsept kalt "dataprofilering" - i hovedsak en metode som brukes til å profilere en persons personlighet utelukkende gjennom automatisert dataanalyse, som har sjansen til å påvirke dem juridisk eller økonomisk (f.eks. kredittscoring og boliglånssøknader).

I henhold til artikkel 22 har enkeltpersoner rett til ikke å bli profilert på en slik måte, med mindre det er uttrykkelig avtalt i form av en kontrakt mellom subjektet og organisasjonen som utfører profileringen.

GDPR artikkel 22 juridisk tekst

EU GDPR-versjon

Automatisert individuell beslutningstaking, inkludert profilering

  1. Den registrerte skal ha rett til ikke å bli gjenstand for en avgjørelse som utelukkende er basert på automatisert behandling, herunder profilering, som gir rettsvirkninger for ham eller henne eller på lignende måte påvirker ham eller henne i vesentlig grad.

  2. Punkt 1 får ikke anvendelse dersom vedtaket:

    • er nødvendig for å inngå eller oppfylle en kontrakt mellom den registrerte og en behandlingsansvarlig;

    • er autorisert av unions- eller medlemsstatslovgivningen som den behandlingsansvarlige er underlagt, og som også fastsetter passende tiltak for å ivareta den registrertes rettigheter og friheter og legitime interesser; eller

    • er basert på den registrertes uttrykkelige samtykke.

  3. I tilfellene nevnt i nr. 2 bokstav a) og c) skal den behandlingsansvarlige iverksette egnede tiltak for å ivareta den registrertes rettigheter og friheter og legitime interesser, i det minste retten til å få menneskelig inngripen fra den registrertes side. kontrolløren, for å uttrykke sitt synspunkt og å bestride avgjørelsen.

  4. Avgjørelser nevnt i nr. 2 skal ikke baseres på spesielle kategorier av personopplysninger nevnt i artikkel 9 nr. 1, med mindre artikkel 9 nr. 2 bokstav a) eller g) kommer til anvendelse og egnede tiltak for å ivareta den registrertes rettigheter og friheter og legitime interesser er på plass.

UK GDPR-versjon

Automatisert individuell beslutningstaking, inkludert profilering

  1. Den registrerte skal ha rett til ikke å bli gjenstand for en avgjørelse som utelukkende er basert på automatisert behandling, herunder profilering, som gir rettsvirkninger for ham eller henne eller på lignende måte påvirker ham eller henne i vesentlig grad.

  2. Punkt 1 får ikke anvendelse dersom vedtaket:

    • er nødvendig for å inngå eller oppfylle en kontrakt mellom den registrerte og en behandlingsansvarlig;

    • er påkrevd eller autorisert av nasjonal lovgivning som også fastsetter passende tiltak for å ivareta den registrertes rettigheter og friheter og legitime interesser; eller

    • er basert på den registrertes uttrykkelige samtykke.

  3. I tilfellene nevnt i nr. 2 bokstav a) og c) skal den behandlingsansvarlige iverksette egnede tiltak for å ivareta den registrertes rettigheter og friheter og legitime interesser, i det minste retten til å få menneskelig inngripen fra den registrertes side. kontrolløren, for å uttrykke sitt synspunkt og å bestride avgjørelsen.

    • 3A. § 14 i 2018-loven, og forskrifter under denne paragrafen, gir bestemmelser for å ivareta registrertes rettigheter, friheter og legitime interesser i saker som faller inn under punkt (b) i paragraf 2 (men ikke innenfor punkt (a) eller (c) i det avsnittet).

  4. 4. Vedtak nevnt i nr. 2 skal ikke baseres på spesielle kategorier av personopplysninger nevnt i artikkel 9 nr. 1, med mindre artikkel 9 nr. 2 bokstav a) eller g) gjelder og egnede tiltak for å beskytte opplysningene. subjektets rettigheter og friheter og legitime interesser er på plass.
Gå til emnet
Enkel. Sikre. Bærekraftig.

Se vår plattform i aksjon med en skreddersydd praktisk økt basert på dine behov og mål.

Bestill demoen din
img

Teknisk kommentar

Omfang

Generelt sett er ikke artikkel 22 relevant hvis beslutninger berører flere registrerte personer, eller grupper av individer forbundet med visse variabler – f.eks. alder, kjønn, sted.

I stedet fokuserer loven på rettighetene til den enkelte – altså én person – til ikke å bli gjenstand for profilering uten deres samtykke.

Hva er en "beslutning"

Til tross for at det er hovedtemaet, er beslutninger noe av en gråsone. Loven er uklar om hva som er et vedtak. Disse kan variere fra en avgjørelse fra en statlig myndighet, eller noe som er lettere gjenkjennelig, for eksempel en kredittscore eller handlinger som er tatt på en boliglånssøknad.

For å gjøre ting enda mer vage, kan avgjørelser også utgjøre en holdning eller mening til en registrert person, basert på deres data, men bare hvis det er sannsynlig at det blir handlet på det.

Juridiske effekter

En "rettslig virkning" er en bindende handling som tas mot en person. Avgjørelser er scenarier som et stønadskrav, en selvangivelse eller en helsefaglig vurdering.

Selv om noen eller alle av disse kanskje ikke spesifikt endrer den grunnleggende juridiske statusen til en person, kan de fortsatt ha en dyp innvirkning på den personens liv, inkludert:

  • endre en persons omstendigheter eller valg tilgjengelig for dem;

  • har en langvarig effekt på en person i løpet av livet;

  • (under visse omstendigheter) som fører til diskriminering eller urettferdige handlinger mot noen.

ISO 27701 klausul 7.2.2 og EU GDPR artikkel 22

I denne delen snakker vi om GDPR artikkel 22 (2)(a), 22 (2)(b), 22 (2)(c), 22 (4)

Identifisere et lovlig grunnlag

For å danne et rettslig grunnlag for behandling av PII, bør organisasjoner dokumentere sine handlinger og:

  1. søke samtykke;

  2. utarbeide en kontrakt eller kontakter;

  3. overholde eventuelle andre juridiske forpliktelser;

  4. beskytte de "vitale interessene" til individene og gruppene de har data om;

  5. sikre at de opererer innenfor allmennhetens interesse, og er en legitim interesse.

Organisasjoner må også vurdere eventuelle "spesielle kategorier" av PII som er relatert til deres organisasjon i deres dataklassifiseringsskjema (se ISO 27701 klausul 7.2.8) (klassifiseringer kan variere fra region til region).

Hvis organisasjoner opplever endringer i deres underliggende årsaker til å behandle PII, bør dette umiddelbart gjenspeiles i deres dokumenterte juridiske grunnlag.

Støtter ISO 27701 klausuler

  • ISO 27701

ISO 27701 klausul 7.3.10 og EU GDPR artikkel 22

I denne delen snakker vi om GDPR artikkel 22 (1) og 22 (3)

Automatisert beslutningstaking

Organisasjoner bør ta hensyn til jurisdiksjonsavvik i automatisert beslutningstaking angående PII.

Organisasjoner bør respektere et individs rett til å protestere og be om menneskelig inngripen i stedet for automatiserte prosedyrer.

Indeks over tilknyttede EU GDPR-artikler og ISO 27701-klausuler

GDPR-artikkelISO 27701 klausulISO 27701 Støtteklausuler
EU GDPR artikkel 22 (2)(a), 22 (2)(b), 22 (2)(c), 22 (4)ISO 27701ISO 27701
EU GDPR artikkel 22 (1) og 22 (3)ISO 27701none

Hvordan ISMS.online hjelper

Ved å legge til en PIMS til ISMS-en din på ISMS.online-plattformen, forblir sikkerhetsstillingen din alt-på-ett-sted, og du vil unngå duplisering der standardene overlapper hverandre.

Med din PIMS umiddelbart tilgjengelig for interesserte parter, har det aldri vært enklere å overvåke, rapportere og revidere mot både ISO 27701 og ISO 27001 ved å trykke på en knapp.

Finn ut hvor mye tid og penger du vil spare på reisen til en kombinert ISO 27701- og ISO 27001-sertifisering ved å bruke ISMS.online av bestille en demo.

Oppdag vår plattform

Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din

Vi er kostnadseffektive og raske

Finn ut hvordan det vil øke avkastningen din
Få ditt tilbud

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer