GDPR Artikkel 28 tar for seg outsourcing av databehandlingsaktiviteter til tjenesteleverandører og skisserer et juridisk rammeverk for slikt samarbeid, beskytter de registrertes rettigheter og sikrer overholdelse.
prosessor
- Når behandling skal utføres på vegne av en behandlingsansvarlig, skal den behandlingsansvarlige kun bruke databehandlere som gir tilstrekkelige garantier for å iverksette hensiktsmessige tekniske og organisatoriske tiltak på en slik måte at behandlingen oppfyller kravene i denne forordning og sikrer beskyttelse av rettighetene til den registrerte.
- Databehandleren skal ikke engasjere en annen databehandler uten forutgående spesifikk eller generell skriftlig tillatelse fra behandlingsansvarlig. Ved generell skriftlig fullmakt skal databehandleren informere behandlingsansvarlig om eventuelle tiltenkte endringer vedrørende tillegg eller utskifting av andre databehandlere, og dermed gi behandlingsansvarlig mulighet til å protestere mot slike endringer.
- Behandling av en databehandler skal være underlagt en kontrakt eller annen rettslig handling i henhold til unions- eller medlemsstatslovgivningen, som er bindende for databehandleren med hensyn til den behandlingsansvarlige og som angir gjenstanden og varigheten av behandlingen, arten og formålet. av behandlingen, typen personopplysninger og kategorier av registrerte og den behandlingsansvarliges forpliktelser og rettigheter. Denne kontrakten eller andre rettslige handlinger skal spesielt fastsette at databehandleren:
- (a) Behandler personopplysningene kun etter dokumenterte instrukser fra behandlingsansvarlig, inkludert med hensyn til overføringer av personopplysninger til et tredjeland eller en internasjonal organisasjon, med mindre det er pålagt å gjøre det i henhold til unions- eller medlemsstatslovgivningen som databehandleren er underlagt; i et slikt tilfelle skal databehandleren informere den behandlingsansvarlige om det rettslige kravet før behandlingen, med mindre denne loven forbyr slik informasjon på grunn av viktige allmenne interesser.
- (b) Sikrer at personer som er autorisert til å behandle personopplysningene har forpliktet seg til konfidensialitet eller er underlagt en passende lovbestemt taushetsplikt.
- (c) Iverksetter alle nødvendige tiltak i henhold til artikkel 32.
- (d) Respekterer vilkårene nevnt i paragraf 2 og 4 for å engasjere en annen prosessor.
- (e) Under hensyntagen til behandlingens art, bistår den behandlingsansvarlige med hensiktsmessige tekniske og organisatoriske tiltak, så langt dette er mulig, for å oppfylle den behandlingsansvarliges plikt til å svare på forespørsler om å utøve den registrertes rettigheter fastsatt i kapittel III .
- (f) Bistår den behandlingsansvarlige med å sikre overholdelse av forpliktelsene i henhold til artikkel 32 til 36, under hensyntagen til behandlingens art og informasjonen som er tilgjengelig for databehandleren.
- (g) Etter valg av behandlingsansvarlig, sletter eller returnerer alle personopplysninger til behandlingsansvarlig etter avsluttet levering av tjenester knyttet til behandling, og sletter eksisterende kopier med mindre unions- eller medlemsstatslovgivning krever lagring av personopplysningene.
- (h) Gjøre tilgjengelig for behandlingsansvarlig all informasjon som er nødvendig for å demonstrere overholdelse av forpliktelsene fastsatt i denne artikkel og tillate og bidra til revisjoner, inkludert inspeksjoner, utført av behandlingsansvarlig eller en annen revisor som er gitt mandat av behandlingsansvarlig.
Når det gjelder første ledd bokstav h) skal databehandleren umiddelbart informere den behandlingsansvarlige dersom en instruks etter dens mening bryter med denne forordningen eller andre unions- eller medlemsstatsdatabeskyttelsesbestemmelser.- Når en databehandler engasjerer en annen databehandler for å utføre spesifikke behandlingsaktiviteter på vegne av den behandlingsansvarlige, skal de samme databeskyttelsesforpliktelsene som fastsatt i kontrakten eller annen rettsakt mellom den behandlingsansvarlige og databehandleren som nevnt i nr. 3 pålegges annen databehandler i form av en kontrakt eller annen rettsakt i henhold til unions- eller medlemsstatslovgivningen, særlig ved å gi tilstrekkelige garantier for å iverksette passende tekniske og organisatoriske tiltak på en slik måte at behandlingen vil oppfylle kravene i denne forordningen. Dersom den andre databehandleren ikke oppfyller sine databeskyttelsesforpliktelser, skal den første databehandleren forbli fullt ansvarlig overfor den behandlingsansvarlige for utførelsen av den andre databehandlerens forpliktelser.
- En databehandlers overholdelse av en godkjent atferdskodeks som nevnt i artikkel 40 eller en godkjent sertifiseringsmekanisme som referert til i artikkel 42 kan brukes som et element for å demonstrere tilstrekkelige garantier som nevnt i nr. 1 og 4 i denne artikkelen. .
- Uten at det berører en individuell kontrakt mellom den behandlingsansvarlige og databehandleren, kan kontrakten eller den andre rettshandlingen nevnt i nr. 3 og 4 i denne artikkel være basert, helt eller delvis, på standard kontraktsklausuler nevnt i nr. 7 og 8 i denne artikkelen, inkludert når de er en del av en sertifisering gitt til behandlingsansvarlig eller databehandler i henhold til artikkel 42 og 43.
- Kommisjonen kan fastsette standard kontraktsbestemmelser for sakene nevnt i nr. 3 og 4 i denne artikkel og i samsvar med undersøkelsesprosedyren nevnt i artikkel 93 nr. 2.
- En tilsynsmyndighet kan vedta standard kontraktsbestemmelser for sakene nevnt i nr. 3 og 4 i denne artikkel og i samsvar med konsistensmekanismen nevnt i artikkel 63.
- Kontrakten eller den andre rettshandlingen nevnt i nr. 3 og 4 skal være skriftlig, inkludert i elektronisk form.
- Uten at det berører artikkel 82, 83 og 84, skal databehandleren anses å være behandlingsansvarlig med hensyn til denne behandlingen, dersom en databehandler bryter denne forordningen ved å fastsette formålene og midlene for behandlingen.
Bestill en 30 minutters prat med oss, så viser vi deg hvordan
prosessor
- Når behandling skal utføres på vegne av en behandlingsansvarlig, skal den behandlingsansvarlige kun bruke databehandlere som gir tilstrekkelige garantier for å iverksette hensiktsmessige tekniske og organisatoriske tiltak på en slik måte at behandlingen oppfyller kravene i denne forordning og sikrer beskyttelse av rettighetene til den registrerte.
- Databehandleren skal ikke engasjere en annen databehandler uten forutgående spesifikk eller generell skriftlig tillatelse fra behandlingsansvarlig. Ved generell skriftlig fullmakt skal databehandleren informere behandlingsansvarlig om eventuelle tiltenkte endringer vedrørende tillegg eller utskifting av andre databehandlere, og dermed gi behandlingsansvarlig mulighet til å protestere mot slike endringer.
- Behandling av en databehandler skal være underlagt en kontrakt eller annen rettslig handling i henhold til nasjonal rett, som er bindende for databehandleren med hensyn til den behandlingsansvarlige og som angir innholdet og varigheten av behandlingen, arten og formålet med behandlingen. , typen personopplysninger og kategorier av registrerte og den behandlingsansvarliges forpliktelser og rettigheter. Denne kontrakten eller andre rettslige handlinger skal spesielt fastsette at databehandleren:
- (a) Behandler personopplysningene kun etter dokumenterte instrukser fra den behandlingsansvarlige, inkludert med hensyn til overføringer av personopplysninger til et tredjeland eller en internasjonal organisasjon, med mindre det er pålagt å gjøre det i henhold til nasjonal lovgivning som databehandleren er underlagt; i et slikt tilfelle skal databehandleren informere den behandlingsansvarlige om det rettslige kravet før behandlingen, med mindre denne loven forbyr slik informasjon på grunn av viktige allmenne interesser.
- (b) Sikrer at personer som er autorisert til å behandle personopplysningene har forpliktet seg til konfidensialitet eller er underlagt en passende lovbestemt taushetsplikt.
- (c) Iverksetter alle nødvendige tiltak i henhold til artikkel 32.
- (d) Respekterer vilkårene nevnt i paragraf 2 og 4 for å engasjere en annen prosessor.
- (e) Under hensyntagen til behandlingens art, bistår den behandlingsansvarlige med hensiktsmessige tekniske og organisatoriske tiltak, så langt dette er mulig, for å oppfylle den behandlingsansvarliges plikt til å svare på forespørsler om å utøve den registrertes rettigheter fastsatt i kapittel III .
- (f) Bistår den behandlingsansvarlige med å sikre overholdelse av forpliktelsene i henhold til artikkel 32 til 36, under hensyntagen til behandlingens art og informasjonen som er tilgjengelig for databehandleren.
- (g) Etter behandlingsansvarligs valg sletter eller returnerer alle personopplysningene til behandlingsansvarlig etter avsluttet levering av tjenester knyttet til behandling, og sletter eksisterende kopier med mindre nasjonal lovgivning krever lagring av personopplysningene.
- (h) Gjøre tilgjengelig for behandlingsansvarlig all informasjon som er nødvendig for å demonstrere overholdelse av forpliktelsene fastsatt i denne artikkel og tillate og bidra til revisjoner, inkludert inspeksjoner, utført av behandlingsansvarlig eller en annen revisor som er gitt mandat av behandlingsansvarlig.
Når det gjelder første ledd bokstav h) skal databehandleren umiddelbart informere den behandlingsansvarlige dersom en instruks etter dens mening bryter med denne forordningen eller annen nasjonal lovgivning knyttet til forpliktelser om databeskyttelse.- Når en databehandler engasjerer en annen databehandler for å utføre spesifikke behandlingsaktiviteter på vegne av den behandlingsansvarlige, skal de samme databeskyttelsesforpliktelsene som fastsatt i kontrakten eller annen rettsakt mellom den behandlingsansvarlige og databehandleren som nevnt i nr. 3 pålegges annen databehandler i form av en kontrakt eller annen rettslig handling i henhold til nasjonal lovgivning, særlig å gi tilstrekkelige garantier for å iverksette passende tekniske og organisatoriske tiltak på en slik måte at behandlingen vil oppfylle kravene i denne forordningen. Dersom den andre databehandleren ikke oppfyller sine databeskyttelsesforpliktelser, skal den første databehandleren forbli fullt ansvarlig overfor den behandlingsansvarlige for utførelsen av den andre databehandlerens forpliktelser.
- En databehandlers overholdelse av en godkjent atferdskodeks som nevnt i artikkel 40 eller en godkjent sertifiseringsmekanisme som referert til i artikkel 42 kan brukes som et element for å demonstrere tilstrekkelige garantier som nevnt i nr. 1 og 4 i denne artikkelen. .
- Uten at det berører en individuell kontrakt mellom den behandlingsansvarlige og databehandleren, kan kontrakten eller den andre rettshandlingen nevnt i nr. 3 og 4 i denne artikkel være basert, helt eller delvis, på standard kontraktsklausuler nevnt i nr. 8 i denne artikkelen, inkludert når de er en del av en sertifisering gitt til behandlingsansvarlig eller databehandler i henhold til artikkel 42 og 43.
- Kommissæren kan vedta standard kontraktsbestemmelser for de saker som er nevnt i paragraf 3 og 4 i denne artikkel.
- Kontrakten eller den andre rettshandlingen nevnt i nr. 3 og 4 skal være skriftlig, inkludert i elektronisk form.
- Uten at det berører artikkel 82, 83 og 84, skal databehandleren anses å være behandlingsansvarlig med hensyn til denne behandlingen, dersom en databehandler bryter denne forordningen ved å fastsette formålene og midlene for behandlingen.
GDPR artikkel 28 omhandler 8 konstituerende områder, som styrer hvordan databehandlingsaktiviteter kan outsources til tredjeparts tjenesteleverandører:
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din
Vi kan ikke tenke på noe selskap hvis tjeneste kan holde et lys til ISMS.online.
I denne delen snakker vi om GDPR artikkel 28 (10), 28 (5) og 28 (6)
Organisasjoner må gjennomgå en kartleggingsøvelse som viser både interne og eksterne faktorer knyttet til implementeringen av en PIMS.
Organisasjonen må være i stand til å forstå hvordan den skal oppnå sine personvernresultater, og eventuelle problemer som står i veien for å ivareta PII bør identifiseres og adresseres.
Før de forsøker å adressere personvern og implementere en PII, må organisasjoner først få en forståelse av deres forpliktelser som en enkelt eller felles PII-kontrollør og/eller -behandler.
Dette inkluderer:
I denne delen snakker vi om GDPR artikkel 28 (3)(b), (1), (3)(a), (3)(b), (3)(c), (3)(d), (3) )(e), (3)(f), (3)(g) og (3)(h)
Når de adresserer sikkerhet i leverandørforhold, bør organisasjoner sikre at begge parter er klar over sine forpliktelser overfor personverninformasjonssikkerhet, og hverandre.
Ved å gjøre dette bør organisasjoner:
Organisasjoner bør også opprettholde en register over avtaler, som viser alle avtaler med andre organisasjoner.
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din
I denne delen snakker vi om GDPR artikkel 28 (1), (3)(a), (3)(b), (3)(c), (3)(d), (3)(e), (3) )(f), (3)(g) og (3)(h)
Organisasjoner bør overholde juridiske, lovpålagte, regulatoriske og kontraktsmessige krav når:
Organisasjoner bør følge prosedyrer som tillater dem identifisere, analysere og forstå lov- og reguleringsforpliktelser – spesielt de som er opptatt av personvern og PII – uansett hvor de opererer.
Organisasjoner bør kontinuerlig være oppmerksomme på sine personvernforpliktelser når de inngår nye avtaler med tredjeparter, leverandører og kontraktører.
Når organisasjoner implementerer krypteringsmetoder for å styrke personvernet og beskytte PII, bør organisasjoner:
Organisasjoner må skissere detaljene for enhver felles PII-behandlingsordning, med en tilhørende PII-kontrollør – dette inkluderer generelle beskyttelsestiltak og alle tilhørende sikkerhetskrav.
Roller og ansvar må være klare og utvetydige, og skissert i et juridisk bindende dokument (noen ganger kalt en "datadelingsavtale").
Avtaler kan inkludere (blant andre tiltak):
I denne delen snakker vi om GDPR artikkel 28 (3)(e) og 28 (3)(f) og 28 (9)
Kundekontrakter bør inneholde:
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din
Kontrakter bør inkludere SLAer knyttet til gjensidige mål, og eventuelle tilhørende tidsskalaer som de må fullføres innenfor.
Organisasjoner bør erkjenne sin rett til å velge de distinkte metodene som brukes til å behandle PII, som lovlig oppnår det kunden ser etter, men uten behov for å innhente detaljerte tillatelser om hvordan organisasjonen går frem på et teknisk nivå.
Organisasjoner må opprettholde en grundig arbeidsforståelse av hvordan instruksjoner kan komme i konflikt med gjeldende lovgivning eller regulatoriske forpliktelser.
Krenkelser forekommer vanligvis rundt tre faktorer.
Organisasjoner må kunne gi sine kunder tilstrekkelig informasjon, slik at kundene til enhver tid kan oppfylle sine forpliktelser.
Den nødvendige informasjonen kan omfatte et bredt spekter av funksjoner, men er vanligvis knyttet til internrevisjoner, og organisasjonens rolle i å tilrettelegge for dem gjennom informasjonsforsyning.
Behandlingsansvarliges forpliktelser styres av tre faktorer:
Kontrakter bør inneholde evt informasjon or tekniske operasjoner som lar organisasjonen oppfylle sine forpliktelser som behandlingsansvarlig.
Det er ulike scenarier som krever avhending av PII, inkludert (men ikke begrenset til):
Organisasjoner må gi kategoriske forsikringer om at enhver PII som ikke lenger er nødvendig, vil bli ødelagt i samsvar med gjeldende lovgivning eller regionale retningslinjer.
Alle avhendingspolicyer bør være tilgjengelige for kunden på forespørsel, og bør dekke tidsperioden som organisasjoner må ødelegge PII, når en kontrakt er avsluttet.
Organisasjoner bør utarbeide en prosedyre som styrer hvordan PII-oppdragsgivere blir varslet om juridisk bindende tredjepartsforespørsler om deres informasjon, inkludert en rimelig tidsramme og en kontraktsbestemmelse som skisserer hele prosessen.
Fremfor alt må organisasjoner etterkomme forespørsler fra rettshåndhevelsesbyråer, som har rett til å be om at kunden ikke blir varslet om noen forespørsel, og sikre at de ikke bryter noen lover ved utilsiktet eller med vilje å informere kunden om situasjonen.
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din
Alle bestemmelser for bruk av underleverandører bør være oppført som sådan i SLA/kundekontrakten.
Informasjon om underleverandører bør omfatte:
NDAer bør utarbeides for å avsløre all informasjon som vil representere en økt sikkerhetsrisiko hvis den blir offentlig eksponert.
Organisasjoner må innhente skriftlig godkjenning fra kundene sine før PII behandles av en tredjepartsorganisasjon.
Underleverandører bør være underlagt en bindende avtale (vanligvis i form av en skriftlig kontrakt), som sikrer at underleverandører forstår deres forpliktelser til å implementere kontrollene som er oppført i ISO 27701 vedlegg B.
Kontrakter bør ta hensyn til ulike risikovurderingsprosesser (se ISO 27701 klausul 5.4.1.2), og hele omfanget av organisasjonens PII-behandlingsoperasjon (se ISO 27701 klausul 6.12). Som ovenfor, bør alle kontroller oppført i vedlegg B følges, med eventuelle utelatelser oppført, sammen med begrunnelsen for å gjøre det.
Når det oppstår behov for å endre måten organisasjonen outsourcer noen del av sin PII-behandling på, bør kundene informeres om endringene i god tid for å gi dem tid til å stille spørsmål ved eller protestere mot nevnte endringer.
Kontrakter bør inneholde klausuler som gir skriftlig tillatelse fra kunden til å gå videre med endringen, før noen PII behandles.
Organisasjoner kan også søke godkjenning for endringer innenfor skriftlige ad hoc-avtaler, utenom eventuelle kontraktsmessige vilkår.
GDPR-artikkel | ISO 27701 klausul | ISO 27002 kontroller |
---|---|---|
EU GDPR artikkel 28 (3)(b) til (3)(h) | 6.12.1.2 | 5.10 5.12 5.13 5.20 |
EU GDPR artikkel 28 (1) til (3)(h) | 6.15.1.1 | 5.20 |
EU GDPR artikkel 28 (3)(e) og 28 (9) | 7.2.6 | none |
EU GDPR artikkel 28 (3) (e) til 28 (9) | 8.2.1 7.4 8.4 | none |
EU GDPR artikkel 28 (3)(a) | 8.2.2 | none |
EU GDPR artikkel 28 (3)(h) | 8.2.4 | none |
EU GDPR artikkel 28 (3)(h) | 8.2.5 | none |
EU GDPR artikkel 28 (3)(h) | 8.3.1 | none |
EU GDPR artikkel 28 (3)(g) | 8.4.2 | none |
EU GDPR artikkel 28 (3)(a) | 8.5.4 | none |
EU GDPR artikkel 28 (2) og 28 (4) | 8.5.6 8.5.2 8.5.7 | none |
EU GDPR artikkel 28 (2) og 28 (3)(d) | 8.5.7 5.4.1.2 6.12 | none |
EU GDPR artikkel 28 (2) | 8.4 | none |
Bygget etter ISO 27701, på linje med andre forskrifter.
Med ISO 27701 kan du lage et styringssystem for personverninformasjon som overholder de fleste personvernforskrifter. Dette inkluderer EUs Generell databeskyttelsesforskrift, BS 10012 og Sør-Afrikas POPIA.
Du kan enkelt følge den internasjonale standarden med vår forenklede, sikre og bærekraftige programvare.
Alt-i-ett-plattformen vi tilbyr sikrer at personvernarbeidet ditt er i tråd med ISO 27701 og oppfyller kravene.
Finn ut mer av bestilling av en kort 30 minutters demo.
Jeg vil absolutt anbefale ISMS.online, det gjør oppsett og administrasjon av ISMS så enkelt som det kan bli.
Hvis du ikke bruker ISMS.online, gjør du livet ditt vanskeligere enn det trenger å være!