Hvordan demonstrere samsvar med GDPR artikkel 26

Felleskontrollører

Bestill en demonstrasjon

virksomhet,folk,på,arbeid,i,et,travelt,luksus,kontor,plass

GDPR Artikkel 26 sikrer at i tilfelle felles behandlingsansvarlige opererer med samme datasett, er ansvaret klart forstått mellom alle parter, og registrerte holdes godt informert om hvordan dataene deres administreres mellom to forskjellige, men samarbeidende behandlingsansvarlige.

GDPR artikkel 26 juridisk tekst

EU GDPR-versjon

Felleskontrollere

  1. Der to eller flere behandlingsansvarlige i fellesskap bestemmer formålene og metodene for behandlingen, skal de være felles behandlingsansvarlige. De skal på en gjennomsiktig måte fastsette sitt respektive ansvar for å overholde forpliktelsene i henhold til denne forordning, særlig når det gjelder utøvelse av rettighetene til den registrerte og deres respektive plikter til å gi informasjonen nevnt i artikkel 13 og 14, ved hjelp av av en ordning mellom dem med mindre, og i den grad, de respektive ansvarsområdene til de behandlingsansvarlige er bestemt av unions- eller medlemsstatslovgivningen som de behandlingsansvarlige er underlagt. Ordningen kan utpeke et kontaktpunkt for registrerte.

  2. Ordningen nevnt i nr. 1 skal behørig gjenspeile de respektive rollene og forholdene til de felles behandlingsansvarlige i forhold til de registrerte. Essensen av ordningen skal gjøres tilgjengelig for den registrerte.

  3. Uavhengig av vilkårene for ordningen nevnt i nr. 1, kan den registrerte utøve sine rettigheter i henhold til denne forordning med hensyn til og mot hver av de behandlingsansvarlige.

UK GDPR-versjon

Felleskontrollere

  1. Der to eller flere behandlingsansvarlige i fellesskap bestemmer formålene og metodene for behandlingen, skal de være felles behandlingsansvarlige. De skal på en gjennomsiktig måte fastsette sitt respektive ansvar for å overholde forpliktelsene i henhold til denne forordning, særlig når det gjelder utøvelse av rettighetene til den registrerte og deres respektive plikter til å gi informasjonen nevnt i artikkel 13 og 14, ved hjelp av av en ordning mellom dem med mindre, og i den grad, de respektive ansvarsområdene til de behandlingsansvarlige er bestemt av unions- eller medlemsstatslovgivningen som de behandlingsansvarlige er underlagt. Ordningen kan utpeke et kontaktpunkt for registrerte.

  2. Ordningen nevnt i nr. 1 skal behørig gjenspeile de respektive rollene og forholdene til de felles behandlingsansvarlige i forhold til de registrerte. Essensen av ordningen skal gjøres tilgjengelig for den registrerte.

  3. Uavhengig av vilkårene for ordningen nevnt i nr. 1, kan den registrerte utøve sine rettigheter i henhold til denne forordning med hensyn til og mot hver av de behandlingsansvarlige.

Teknisk kommentar

Konseptet "Joint Controllership"

GDPR artikkel 26 definerer felles behandlingsansvarlig som ethvert scenario der to behandlingsansvarlige «sammen bestemmer formålene og metodene for behandling». På et grunnleggende nivå betyr dette at to felles behandlingsansvarlige må utføre praktiske, snarere enn formelle, roller i behandlingen av en persons data.

Når man analyserer i hvilken grad en part er en felles behandlingsansvarlig, bør det tas hensyn til hvorvidt en organisasjon utøver "avgjørende kontroll" over en persons data.

Dette betyr ikke at to kontroller skal ha en jevn, uniformert innflytelse gjennom hele behandlingsoperasjonen. Ulike grader av kontroll kan utøves av hver kontrollør på forskjellige stadier.

Gå til emnet

ISO 27701 klausul 7.2.7 (Joint PII Controllers) og EU GDPR artikkel 26

I denne delen snakker vi om GDPR artikkel 26 (1), 26 (2) og 26 (3)

Organisasjoner må skissere detaljene for enhver felles PII-behandlingsordning, med en tilhørende PII-kontrollør – dette inkluderer generelle beskyttelsestiltak og alle tilhørende sikkerhetskrav.

Dette inkluderer:

  • hvorfor PII blir delt;

  • datakategorier;

  • en generell oversikt over PII-behandlingsoperasjonen;

  • eventuelle relevante roller og ansvar;

  • hvordan personverninformasjonssikkerhet skal styres;

  • hvilke tiltak som skal iverksettes i tilfelle et databrudd;

  • hvordan PII skal beholdes og ødelegges når det ikke lenger er nødvendig;

  • hva som skjer når en av partene bryter avtalen;

  • hva begge parters forpliktelser er overfor PII-oppdragsgivere;

  • hvilke mekanismer som er på plass for å gi PII-oppdragsgivere gjeldende detaljer om fellesavtalen;

  • hvordan PII-rektorer kan komme med offisielle forespørsler, og hvordan formulere og levere et svar;

  • kontaktpunkter – både internt og for PII-oppdragsgivere å benytte.

Indeks over tilknyttede EU GDPR-artikler og ISO 27701-klausuler

GDPR-artikkelISO 27701 klausulISO 27701 Støtteklausuler
EU GDPR artikkel 26 (1) til 26 (3)ISO 27701none

Hvordan ISMS.online hjelper

Med vårt forhåndsbygde miljø kan du beskrive og demonstrere din tilnærming til å beskytte kundenes data over hele EU og Storbritannia på en måte som passer sømløst inn i styringssystemet ditt.

Du kan oppnå GDPR-samsvar med ISMS.online på et blunk og enkelt demonstrere at du beskytter data utover det som anses å være rimelig, alt på ett sikkert sted som alltid er på.

Gjennom vår "Adopter, Adapt, Add"-implementeringstilnærming gir ISMS.online-plattformen veiledning ved hvert trinn, noe som minimerer innsatsen som kreves for å demonstrere din samsvar med GDPR.

Finn ut mer av bestilling av en 30 minutters demo.

Se ISMS.online
i aksjon

Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din

Hvis du ikke bruker ISMS.online, gjør du livet ditt vanskeligere enn det trenger å være!
Mark Wightman
Chief Technical Officer Aluma
100 % av brukerne våre består sertifiseringen første gang
Bestill demoen din

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer