Hvordan demonstrere samsvar med GDPR artikkel 24

Kontrollørens ansvar

Bestill en demonstrasjon

medarbeidere,arbeid,moderne,studio.produksjon,ledere,team,arbeidende,nytt,prosjekt.ung,bedrift

GDPR Artikkel 24 er den første delen av GDPR som tar for seg de generelle forpliktelsene til behandlingsansvarlig, som er beskrevet mer detaljert i påfølgende artikler.

Endringen i tone fra passiv etterlevelse til bruk av obligatorisk språk er et kjennetegn på GDPR-lovgivningen, og setter tonen for hvordan behandlingsansvarlige forventes å oppføre seg senere i lovgivningen.

GDPR artikkel 24 juridisk tekst

EU GDPR-versjon

Kontrollørens ansvar

  1. Under hensyntagen til behandlingens art, omfang, kontekst og formål samt risikoen for varierende sannsynlighet og alvorlighetsgrad for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige iverksette hensiktsmessige tekniske og organisatoriske tiltak for å sikre og for å kunne påvise at behandlingen utføres i samsvar med denne forordningen. Disse tiltakene skal gjennomgås og oppdateres der det er nødvendig.

  2. Når det er forholdsmessig i forhold til behandlingsaktiviteter, skal tiltakene nevnt i nr. 1 omfatte gjennomføring av hensiktsmessige retningslinjer for databeskyttelse av den behandlingsansvarlige.

  3. Overholdelse av godkjente etiske retningslinjer som nevnt i artikkel 40 eller godkjente sertifiseringsmekanismer som referert til i artikkel 42 kan brukes som et element for å demonstrere overholdelse av den behandlingsansvarliges forpliktelser.

UK GDPR-versjon

Kontrollørens ansvar

  1. Under hensyntagen til behandlingens art, omfang, kontekst og formål samt risikoen for varierende sannsynlighet og alvorlighetsgrad for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige iverksette hensiktsmessige tekniske og organisatoriske tiltak for å sikre og for å kunne påvise at behandlingen utføres i samsvar med denne forordningen. Disse tiltakene skal gjennomgås og oppdateres der det er nødvendig.

  2. Når det er forholdsmessig i forhold til behandlingsaktiviteter, skal tiltakene nevnt i nr. 1 omfatte gjennomføring av hensiktsmessige retningslinjer for databeskyttelse av den behandlingsansvarlige.

  3. Overholdelse av godkjente etiske retningslinjer som nevnt i artikkel 40 eller godkjente sertifiseringsmekanismer som referert til i artikkel 42 kan brukes som et element for å demonstrere overholdelse av den behandlingsansvarliges forpliktelser.

Teknisk kommentar

'Målinger'

GDPR definerer faktisk ikke hva et teknisk tiltak er, noe som har ført til en viss forvirring blant organisasjoner som sliter med å forstå hva deres forpliktelser er. Som sådan definerte de fleste juridiske myndigheter "tiltak" som enhver handling som en organisasjon kan ta, noe som gjør dem kompatible.

Vedta en risikobasert tilnærming

Gitt det brede omfanget av begrepet "tiltak", for å finne ut hvordan man oppnår samsvar, bør organisasjoner gjennomgå en grundig risikovurdering som tar hensyn til natur, omfang og formål av sin behandlingsvirksomhet.

I tillegg må organisasjoner kontinuerlig være oppmerksomme på retten til individuell frihet, sammen med eventuelle operasjonelle risikoer.

Demonstrere samsvar

Som en generell regel, jo mer risikofylt behandlingsoperasjonen er, desto større mengden bevis kreves. Organisasjoner bør være opptatt av å samle inn fysisk og digitalt bevis som beviser at de er en lovlydig organisasjon.

Gå til emnet

ISO 27701 klausul 5.2.1 (Forstå organisasjonen og dens kontekst) og EU GDPR artikkel 24 (3)

Før de forsøker å adressere personvern og implementere en PII, må organisasjoner først få en forståelse av deres forpliktelser som en enkelt eller felles PII-kontrollør og/eller -behandler.

Dette inkluderer:

  • gjennomgå gjeldende personvernlover, forskrifter eller "rettslige avgjørelser";

  • tar hensyn til organisasjonens unike sett med krav knyttet til typen produkter og tjenester de selger, og selskapsspesifikke styringsdokumenter, retningslinjer og prosedyrer;

  • administrative faktorer;

  • tredjepartsavtaler eller tjenestekontrakter.

ISO 27701 klausul 6.15.1.3 (Beskyttelse av poster) og EU GDPR artikkel 24 (2)

Rekordhåndtering omfatter fire hovedområder:

  1. Ekthet;
  2. Pålitelighet;
  3. Integritet;
  4. Brukbarhet.

Organisasjoner bør:

  • publisere retningslinjer som omhandler:

    • Oppbevaring;

    • håndtering (forvaringskjede);

    • avhending;

    • hindre manipulasjon.

  • skissere hvor lenge hver posttype skal beholdes;

  • overholde alle lover som omhandler journalføring;

  • overholde kundenes forventninger i hvordan organisasjoner skal håndtere sine poster;

  • ødelegge poster når de ikke lenger er nødvendige;

  • klassifisere poster basert på deres sikkerhetsrisiko, for eksempel:

    • regnskap;

    • forretningstransaksjoner;

    • personell poster;

    • lovlig.

  • sikre at de er i stand til å hente journaler innen et akseptabelt tidsrom, hvis de blir bedt om det av en tredjepart eller rettshåndhevelsesbyrå;

  • Følg alltid produsentens retningslinjer ved lagring eller håndtering av poster på elektroniske mediekilder.

ISO 27701 klausul 6.2.1.1 (Retningslinjer for informasjonssikkerhet) og EU GDPR artikkel 24 (2)

ISO tar til orde for en tofronts-tilnærming til organisatorisk personvern som inkluderer:

  • en generell personvernpolicy;

  • emnespesifikke retningslinjer for personvern.

Begge typer policyer kan enten kombineres til ett dokument, eller skilles ut etter organisasjonen.

Retningslinjer bør formidles til alle relevante ansatte (og eksternt personell, om nødvendig), for å sikre kontinuerlig overholdelse av interne og eksterne krav til personvern.

Alle som mottar en polise bør bes om å bekrefte, helst skriftlig, at de både forstår hva de blir bedt om, og er villige til å etterkomme.

Retningslinjer bør gjennomgås når det gjøres endringer i:

  • forretningsstrategi;

  • operativ praksis/tekniske miljøer;

  • eventuelle lover (inkludert GDPR), regulatoriske bestemmelser eller generelle PII-relaterte retningslinjer som organisasjonen har et ansvar for å følge;

  • personvernrisikonivåer og det rådende/projiserte trussellandskapet.

Generelle retningslinjer

Seniorledelsen bør etablere en personvernpolicy på toppnivå (sammen med andre emnespesifikke retningslinjer) som tydelig skisserer prosessene og praktiske skritt som vil bli tatt for å ivareta PII.

Organisatoriske retningslinjer for personvern bør inneholde informasjon fra, og forbli relevant for:

  1. den overordnede forretningsstrategien;

  2. alle gjeldende regulatoriske, juridiske eller kontraktsmessige krav;

  3. eventuelle klare og tilstedeværende personvernrisikoer.

Retningslinjer for personvern bør definere organisasjonens:

  • operasjonell definisjon av personvern;

  • uttalte personvernmål;

  • bredere sett med styrende prinsipper knyttet til beskyttelse av PII;

  • forpliktelse til å oppfylle deres PII-relaterte mål, og forbedre dem på en kontinuerlig basis;

  • tilnærming til å delegere ansvar for hele eller deler av personvernpolicyen til de relevante rolletypene;

  • tilnærming til å håndtere unntak fra politikken;

  • planlegger at toppledelsen skal gjennomgå og godkjenne endringer.

Oppdag vår plattform

Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din

Vi er kostnadseffektive og raske

Finn ut hvordan det vil øke avkastningen din
Få ditt tilbud

ISO 27701 klausul 7.2.8 (Records Relating the Processing of PII) og EU GDPR artikkel 24 (1)

Poster (ellers kjent som "beholdningslister") bør ha en delegert eier, og kan omfatte:

  1. operasjonell – den spesifikke typen PII-behandling som blir utført;

  2. begrunnelser – hvorfor PII blir behandlet;

  3. kategorisk – lister over PII-mottakere, inkludert internasjonale organisasjoner;

  4. sikkerhet – en oversikt over hvordan PII blir beskyttet;

  5. personvern – dvs. en konsekvensanalyserapport for personvern.

Indeks over tilknyttede EU GDPR-artikler og ISO 27701-klausuler

GDPR-artikkelISO 27701 klausulISO 27701 Støtteklausuler
EU GDPR artikkel 24 (3)ISO 27701none
EU GDPR artikkel 24 (2)ISO 27701none
EU GDPR artikkel 24 (2)ISO 27701none
EU GDPR artikkel 24 (1)ISO 27701none

Hvordan ISMS.online hjelper

ISMS.online tilbyr deg en komplett GDPR-løsning.

Vi tilbyr et miljø som er forhåndsbygd for deg for å beskrive og demonstrere din tilnærming til å beskytte dine europeiske og britiske kundedata som passer sømløst inn i styringssystemet ditt.

ISMS.online-plattformen har innebygd veiledning ved hvert trinn kombinert med vår 'Adopter, Adapt, Add' implementeringstilnærming, slik at innsatsen som kreves for å demonstrere din tilnærming til GDPR er betydelig redusert.

Har du 30 minutter? Finn ut mer ved bestille en demo.

Se ISMS.online
i aksjon

Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din

Enkel. Sikre. Bærekraftig.

Se vår plattform i aksjon med en skreddersydd praktisk økt basert på dine behov og mål.

Bestill demoen din
img

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer