GDPR Artikkel 24 er den første delen av GDPR som tar for seg de generelle forpliktelsene til behandlingsansvarlig, som er beskrevet mer detaljert i påfølgende artikler.
Endringen i tone fra passiv etterlevelse til bruk av obligatorisk språk er et kjennetegn på GDPR-lovgivningen, og setter tonen for hvordan behandlingsansvarlige forventes å oppføre seg senere i lovgivningen.
Kontrollørens ansvar
- Under hensyntagen til behandlingens art, omfang, kontekst og formål samt risikoen for varierende sannsynlighet og alvorlighetsgrad for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige iverksette hensiktsmessige tekniske og organisatoriske tiltak for å sikre og for å kunne påvise at behandlingen utføres i samsvar med denne forordningen. Disse tiltakene skal gjennomgås og oppdateres der det er nødvendig.
- Når det er forholdsmessig i forhold til behandlingsaktiviteter, skal tiltakene nevnt i nr. 1 omfatte gjennomføring av hensiktsmessige retningslinjer for databeskyttelse av den behandlingsansvarlige.
- Overholdelse av godkjente etiske retningslinjer som nevnt i artikkel 40 eller godkjente sertifiseringsmekanismer som referert til i artikkel 42 kan brukes som et element for å demonstrere overholdelse av den behandlingsansvarliges forpliktelser.
Kontrollørens ansvar
- Under hensyntagen til behandlingens art, omfang, kontekst og formål samt risikoen for varierende sannsynlighet og alvorlighetsgrad for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige iverksette hensiktsmessige tekniske og organisatoriske tiltak for å sikre og for å kunne påvise at behandlingen utføres i samsvar med denne forordningen. Disse tiltakene skal gjennomgås og oppdateres der det er nødvendig.
- Når det er forholdsmessig i forhold til behandlingsaktiviteter, skal tiltakene nevnt i nr. 1 omfatte gjennomføring av hensiktsmessige retningslinjer for databeskyttelse av den behandlingsansvarlige.
- Overholdelse av godkjente etiske retningslinjer som nevnt i artikkel 40 eller godkjente sertifiseringsmekanismer som referert til i artikkel 42 kan brukes som et element for å demonstrere overholdelse av den behandlingsansvarliges forpliktelser.
GDPR definerer faktisk ikke hva et teknisk tiltak er, noe som har ført til en viss forvirring blant organisasjoner som sliter med å forstå hva deres forpliktelser er. Som sådan definerte de fleste juridiske myndigheter "tiltak" som enhver handling som en organisasjon kan ta, noe som gjør dem kompatible.
Gitt det brede omfanget av begrepet "tiltak", for å finne ut hvordan man oppnår samsvar, bør organisasjoner gjennomgå en grundig risikovurdering som tar hensyn til natur, omfang og formål av sin behandlingsvirksomhet.
I tillegg må organisasjoner kontinuerlig være oppmerksomme på retten til individuell frihet, sammen med eventuelle operasjonelle risikoer.
Som en generell regel, jo mer risikofylt behandlingsoperasjonen er, desto større mengden bevis kreves. Organisasjoner bør være opptatt av å samle inn fysisk og digitalt bevis som beviser at de er en lovlydig organisasjon.
Bestill en 30 minutters prat med oss, så viser vi deg hvordan
Før de forsøker å adressere personvern og implementere en PII, må organisasjoner først få en forståelse av deres forpliktelser som en enkelt eller felles PII-kontrollør og/eller -behandler.
Dette inkluderer:
Rekordhåndtering omfatter fire hovedområder:
Organisasjoner bør:
ISO tar til orde for en tofronts-tilnærming til organisatorisk personvern som inkluderer:
Begge typer policyer kan enten kombineres til ett dokument, eller skilles ut etter organisasjonen.
Retningslinjer bør formidles til alle relevante ansatte (og eksternt personell, om nødvendig), for å sikre kontinuerlig overholdelse av interne og eksterne krav til personvern.
Alle som mottar en polise bør bes om å bekrefte, helst skriftlig, at de både forstår hva de blir bedt om, og er villige til å etterkomme.
Retningslinjer bør gjennomgås når det gjøres endringer i:
Seniorledelsen bør etablere en personvernpolicy på toppnivå (sammen med andre emnespesifikke retningslinjer) som tydelig skisserer prosessene og praktiske skritt som vil bli tatt for å ivareta PII.
Organisatoriske retningslinjer for personvern bør inneholde informasjon fra, og forbli relevant for:
Retningslinjer for personvern bør definere organisasjonens:
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din
Poster (ellers kjent som "beholdningslister") bør ha en delegert eier, og kan omfatte:
GDPR-artikkel | ISO 27701 klausul | ISO 27701 Støtteklausuler |
---|---|---|
EU GDPR artikkel 24 (3) | ISO 27701 | none |
EU GDPR artikkel 24 (2) | ISO 27701 | none |
EU GDPR artikkel 24 (2) | ISO 27701 | none |
EU GDPR artikkel 24 (1) | ISO 27701 | none |
ISMS.online tilbyr deg en komplett GDPR-løsning.
Vi tilbyr et miljø som er forhåndsbygd for deg for å beskrive og demonstrere din tilnærming til å beskytte dine europeiske og britiske kundedata som passer sømløst inn i styringssystemet ditt.
ISMS.online-plattformen har innebygd veiledning ved hvert trinn kombinert med vår 'Adopter, Adapt, Add' implementeringstilnærming, slik at innsatsen som kreves for å demonstrere din tilnærming til GDPR er betydelig redusert.
Har du 30 minutter? Finn ut mer ved bestille en demo.
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din