GDPR Artikkel 22 omhandler et konsept kalt "dataprofilering" - i hovedsak en metode som brukes til å profilere en persons personlighet utelukkende gjennom automatisert dataanalyse, som har sjansen til å påvirke dem juridisk eller økonomisk (f.eks. kredittscoring og boliglånssøknader).
I henhold til artikkel 22 har enkeltpersoner rett til ikke å bli profilert på en slik måte, med mindre det er uttrykkelig avtalt i form av en kontrakt mellom subjektet og organisasjonen som utfører profileringen.
Automatisert individuell beslutningstaking, inkludert profilering
Automatisert individuell beslutningstaking, inkludert profilering
Generelt sett er ikke artikkel 22 relevant hvis beslutninger berører flere registrerte personer, eller grupper av individer forbundet med visse variabler – f.eks. alder, kjønn, sted.
I stedet fokuserer loven på rettighetene til den enkelte – altså én person – til ikke å bli gjenstand for profilering uten deres samtykke.
Til tross for at det er hovedtemaet, er beslutninger noe av en gråsone. Loven er uklar om hva som er et vedtak. Disse kan variere fra en avgjørelse fra en statlig myndighet, eller noe som er lettere gjenkjennelig, for eksempel en kredittscore eller handlinger som er tatt på en boliglånssøknad.
For å gjøre ting enda mer vage, kan avgjørelser også utgjøre en holdning eller mening til en registrert person, basert på deres data, men bare hvis det er sannsynlig at det blir handlet på det.
En "rettslig virkning" er en bindende handling som tas mot en person. Avgjørelser er scenarier som et stønadskrav, en selvangivelse eller en helsefaglig vurdering.
Selv om noen eller alle av disse kanskje ikke spesifikt endrer den grunnleggende juridiske statusen til en person, kan de fortsatt ha en dyp innvirkning på den personens liv, inkludert:
I denne delen snakker vi om GDPR artikkel 22 (2)(a), 22 (2)(b), 22 (2)(c), 22 (4)
For å danne et rettslig grunnlag for behandling av PII, bør organisasjoner dokumentere sine handlinger og:
Organisasjoner må også vurdere eventuelle "spesielle kategorier" av PII som er relatert til deres organisasjon i deres dataklassifiseringsskjema (se ISO 27701 klausul 7.2.8) (klassifiseringer kan variere fra region til region).
Hvis organisasjoner opplever endringer i deres underliggende årsaker til å behandle PII, bør dette umiddelbart gjenspeiles i deres dokumenterte juridiske grunnlag.
I denne delen snakker vi om GDPR artikkel 22 (1) og 22 (3)
Organisasjoner bør ta hensyn til jurisdiksjonsavvik i automatisert beslutningstaking angående PII.
Organisasjoner bør respektere et individs rett til å protestere og be om menneskelig inngripen i stedet for automatiserte prosedyrer.
GDPR-artikkel | ISO 27701 klausul | ISO 27701 Støtteklausuler |
---|---|---|
EU GDPR artikkel 22 (2)(a), 22 (2)(b), 22 (2)(c), 22 (4) | ISO 27701 | ISO 27701 |
EU GDPR artikkel 22 (1) og 22 (3) | ISO 27701 | none |
Ved å legge til en PIMS til ISMS-en din på ISMS.online-plattformen, forblir sikkerhetsstillingen din alt-på-ett-sted, og du vil unngå duplisering der standardene overlapper hverandre.
Med din PIMS umiddelbart tilgjengelig for interesserte parter, har det aldri vært enklere å overvåke, rapportere og revidere mot både ISO 27701 og ISO 27001 ved å trykke på en knapp.
Finn ut hvor mye tid og penger du vil spare på reisen til en kombinert ISO 27701- og ISO 27001-sertifisering ved å bruke ISMS.online av bestille en demo.
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din