GDPR Artikkel 30 pålegger organisasjoner å føre tilstrekkelige registre (i hovedsak skriftlige regnskaper) over alle behandlingsrelaterte aktiviteter.
Denne forpliktelsen representerer uttrykk for flere databehandlingsprinsipper:
Registrering av behandlingsaktiviteter
- Hver behandlingsansvarlig og, der det er aktuelt, den behandlingsansvarliges representant, skal føre en oversikt over behandlingsaktiviteter under dens ansvar. Denne posten skal inneholde all følgende informasjon:
- Navn og kontaktinformasjon til behandlingsansvarlig og eventuelt felles behandlingsansvarlig, behandlingsansvarligs representant og personvernombud.
- Formålet med behandlingen.
- En beskrivelse av kategoriene av registrerte og av kategoriene av personopplysninger.
- Kategoriene av mottakere som personopplysningene har blitt eller vil bli utlevert til, inkludert mottakere i tredjeland eller internasjonale organisasjoner.
- Der det er aktuelt, overføringer av personopplysninger til et tredjeland eller en internasjonal organisasjon, inkludert identifikasjon av det tredjelandet eller den internasjonale organisasjonen og, når det gjelder overføringer nevnt i annet ledd i artikkel 49 nr. 1, dokumentasjon av passende sikkerhetstiltak.
- Der det er mulig, de planlagte fristene for sletting av de ulike kategoriene av data.
- Der det er mulig, en generell beskrivelse av de tekniske og organisatoriske sikkerhetstiltakene nevnt i artikkel 32 nr. 1.
- Hver databehandler og eventuelt databehandlerens representant skal føre en oversikt over alle kategorier av behandlingsaktiviteter utført på vegne av en behandlingsansvarlig, som inneholder:
- Navnet og kontaktopplysningene til databehandleren eller databehandlerne og til hver behandlingsansvarlig som databehandleren opptrer på vegne av, og, der det er aktuelt, til behandlingsansvarligs eller databehandlerens representant, og personvernombudet.
- Kategoriene for behandling utført på vegne av hver behandlingsansvarlig.
- Der det er aktuelt, overføringer av personopplysninger til et tredjeland eller en internasjonal organisasjon, inkludert identifikasjon av det tredjelandet eller den internasjonale organisasjonen og, når det gjelder overføringer nevnt i annet ledd i artikkel 49 nr. 1, dokumentasjon av passende sikkerhetstiltak.
- Der det er mulig, en generell beskrivelse av de tekniske og organisatoriske sikkerhetstiltakene nevnt i artikkel 32 nr. 1.
- Registreringene nevnt i nr. 1 og 2 skal være skriftlige, inkludert i elektronisk form.
- Den behandlingsansvarlige eller databehandleren og eventuelt den behandlingsansvarliges eller databehandlerens representant skal på forespørsel gjøre journalen tilgjengelig for tilsynsmyndigheten.
- Forpliktelsene nevnt i nr. 1 og 2 skal ikke gjelde for et foretak eller en organisasjon som sysselsetter færre enn 250 personer, med mindre behandlingen den utfører sannsynligvis vil medføre en risiko for de registrertes rettigheter og friheter, behandlingen er ikke tilfeldig , eller behandlingen omfatter spesielle kategorier av opplysninger som nevnt i artikkel 9 nr. 1 eller personopplysninger knyttet til straffedommer og lovbrudd nevnt i artikkel 10.
Bestill en 30 minutters prat med oss, så viser vi deg hvordan
Registrering av behandlingsaktiviteter
- Hver behandlingsansvarlig og, der det er aktuelt, den behandlingsansvarliges representant, skal føre en oversikt over behandlingsaktiviteter under dens ansvar. Denne posten skal inneholde all følgende informasjon:
- Navn og kontaktinformasjon til behandlingsansvarlig og eventuelt felles behandlingsansvarlig, behandlingsansvarligs representant og personvernombud.
- Formålet med behandlingen.
- En beskrivelse av kategoriene av registrerte og av kategoriene av personopplysninger.
- Kategoriene av mottakere som personopplysningene har blitt eller vil bli utlevert til, inkludert mottakere i tredjeland eller internasjonale organisasjoner.
- Der det er aktuelt, overføringer av personopplysninger til et tredjeland eller en internasjonal organisasjon, inkludert identifikasjon av det tredjelandet eller den internasjonale organisasjonen og, når det gjelder overføringer nevnt i annet ledd i artikkel 49 nr. 1, dokumentasjon av passende sikkerhetstiltak.
- Der det er mulig, de planlagte fristene for sletting av de ulike kategoriene av data.
- Der det er mulig, en generell beskrivelse av de tekniske og organisatoriske sikkerhetstiltakene nevnt i artikkel 32 nr. 1, eller, etter behov, sikkerhetstiltakene nevnt i § 28 nr. 3 i 2018-loven.
- Hver databehandler og eventuelt databehandlerens representant skal føre en oversikt over alle kategorier av behandlingsaktiviteter utført på vegne av en behandlingsansvarlig, som inneholder:
- Navnet og kontaktopplysningene til databehandleren eller databehandlerne og til hver behandlingsansvarlig som databehandleren opptrer på vegne av, og, der det er aktuelt, til behandlingsansvarligs eller databehandlerens representant, og personvernombudet.
- Kategoriene for behandling utført på vegne av hver behandlingsansvarlig.
- Der det er aktuelt, overføringer av personopplysninger til et tredjeland eller en internasjonal organisasjon, inkludert identifikasjon av det tredjelandet eller den internasjonale organisasjonen og, når det gjelder overføringer nevnt i annet ledd i artikkel 49 nr. 1, dokumentasjon av passende sikkerhetstiltak.
- Der det er mulig, en generell beskrivelse av de tekniske og organisatoriske sikkerhetstiltakene nevnt i artikkel 32 nr. 1. Eller, etter behov, sikkerhetstiltakene nevnt i § 28(3) i 2018-loven.
- Registreringene nevnt i nr. 1 og 2 skal være skriftlige, inkludert i elektronisk form.
- Den behandlingsansvarlige eller databehandleren og, der det er aktuelt, den behandlingsansvarliges eller databehandlerens representant, skal gjøre journalen tilgjengelig for kommisjonæren på forespørsel.
- Forpliktelsene nevnt i nr. 1 og 2 skal ikke gjelde for et foretak eller en organisasjon som sysselsetter færre enn 250 personer, med mindre behandlingen den utfører sannsynligvis vil medføre en risiko for de registrertes rettigheter og friheter, behandlingen er ikke tilfeldig , eller behandlingen omfatter spesielle kategorier av opplysninger som nevnt i artikkel 9 nr. 1 eller personopplysninger knyttet til straffedommer og lovbrudd nevnt i artikkel 10.
GDPR-artikkel 30 tar for seg fire hovedområder for journalvedlikehold:
Artikkel 30 skisserer også unntak som gjelder for noen av de ovennevnte områdene – særlig det enhver organisasjon som sysselsetter mindre enn 250 personer er ikke forpliktet til å føre behandlingsregister, bortsett fra når rettighetene og frihetene til registrerte personer "ikke er sporadiske", eller organisasjonen behandler "spesielle kategorier" av data eller kriminelle data.
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din
Hvis du ikke bruker ISMS.online, gjør du livet ditt vanskeligere enn det trenger å være!
Når de adresserer sikkerhet i leverandørforhold, bør organisasjoner sikre at begge parter er klar over sine forpliktelser overfor personverninformasjonssikkerhet, og hverandre.
Ved å gjøre dette bør organisasjoner:
Organisasjoner bør også opprettholde en register over avtaler, som viser alle avtaler med andre organisasjoner.
Organisasjoner bør overholde juridiske, lovpålagte, regulatoriske og kontraktsmessige krav når:
Organisasjoner bør følge prosedyrer som tillater dem identifisere, analysere og forstå lov- og reguleringsforpliktelser – spesielt de som er opptatt av personvern og PII – uansett hvor de opererer.
Organisasjoner bør kontinuerlig være oppmerksomme på sine personvernforpliktelser når de inngår nye avtaler med tredjeparter, leverandører og kontraktører.
Når organisasjoner implementerer krypteringsmetoder for å styrke personvernet og beskytte PII, bør organisasjoner:
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din
I denne delen snakker vi om GDPR artikkel 30 (1)(a), 30 (1)(b), 30 (1)(c), 30 (1)(d), 30 (1)(f), 30 ( 1)(g), 30 (3), 30 (4) og 30 (5)
Organisasjoner må opprettholde et grundig sett med poster som støtter deres handlinger og forpliktelser som PII-behandler.
Poster (ellers kjent som "beholdningslister") bør ha en delegert eier, og kan omfatte:
Fra tid til annen kan det oppstå behov for å overføre PII mellom to distinkte jurisdiksjoner. Når dette skjer, bør organisasjoner begrunne og dokumentere behovet for å gjøre det.
Regionale reguleringer og juridiske regler varierer avhengig av hvor dataene kommer fra, og hvor de skal overføres til.
Organisasjoner bør ta alle relevante lover, rammer og forskrifter i betraktning når de trenger å overføre data mellom jurisdiksjoner, inkludert bruk av en utpekt tilsynsmyndighet.
Organisasjoner bør føre en dokumentert liste over landene og organisasjonene som de potensielt kan overføre sin PII til, under rimelige omstendigheter.
Når de har formulert en liste, bør organisasjoner gjøre informasjonen tilgjengelig for kundene sine, inkludert eventuelle underleverandører PII-operasjoner (se ISO 27701 klausul 7.5.1).
Under visse omstendigheter – spesielt i tilfelle av kriminelle etterforskninger – kan konfidensialitetslover hindre organisasjonen i å avsløre identiteten til destinasjonslandene og organisasjonene på forhånd (se ISO 27701 klausuler 8.5.4 og 8.5.5).
Det er svært viktig at organisasjoner fører en nøyaktig oversikt over PII-overføringer til tredjepartsorganisasjoner.
Organisasjoner bør kunne registrere PII som har blitt endret på noen måte (i tråd med kontrollørenes forpliktelser og mål), eller overføringer som kreves før det vedtas en forespørsel fra PII-oppdragsgiveren om å endre eller slette PII.
Registreringer bør være underlagt en proporsjonal oppbevaringsperiode, og bør være underlagt dataminimeringsregler som bare returnerer det som er nødvendig for å oppfylle et spesifikt mål.
Organisasjoner bør logge enhver avsløring av PII til tredjeparter, inkludert følgende tre opplysninger:
Det er standard praksis å avsløre PII av en rekke årsaker, gjennom en organisasjons informasjonsbehandlingsoperasjon.
Logger bør lages over avsløringer som skjer under normal forretningspraksis, og eventuelle spesielle omstendigheter som oppstår (dvs. regulatoriske eller juridiske undersøkelser.
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din
I denne delen snakker vi om GDPR artikkel 30 (2)(a), 30 (2)(b), 30 (3), 30 (4) og 30 (5)
Organisasjoner bør føre nøyaktige og oppdaterte registre som gjør at de til enhver tid kan bevise overholdelse av eventuelle kontraktsmessige forpliktelser knyttet til behandlingen av PII.
Avhengig av jurisdiksjonen kan det være nødvendig å inkludere følgende:
Organisasjoner må ha konkrete planer på plass som styrer hvordan PII kan være returnert, overføres or anordnet av, og gjøre alle slike retningslinjer tilgjengelig for kunden.
Det er ulike scenarier som krever avhending av PII, inkludert (men ikke begrenset til):
Organisasjoner må gi kategoriske forsikringer om at enhver PII som ikke lenger er nødvendig, vil bli ødelagt i samsvar med gjeldende lovgivning eller regionale retningslinjer.
Alle avhendingspolicyer bør være tilgjengelige for kunden på forespørsel, og bør dekke tidsperioden som organisasjoner må ødelegge PII, når en kontrakt er avsluttet.
Organisasjoner bør føre en nøyaktig, oppdatert liste over alle land eller organisasjoner der PII har potensial til å bli overført til.
Kunder bør kunne se en liste over potensielle mottakerland og organisasjoner til enhver tid, inkludert en logg over alle land som er involvert i PII-underleverandører (se ISO 27701 klausul 8.5.1).
Under visse omstendigheter vil ikke organisasjoner alltid være i stand til å avsløre på forhånd hvor overføringsforespørsler stammer fra – særlig når det gjelder straffesaker. Dette er uunngåelig, og det bør være organisasjonens prioritet å opprettholde integriteten til en rettshåndhevelsesoperasjon (se ISO 27701 klausuler 7.5.1, 8.5.4 og 8.5.5).
Organisasjoner bør omhyggelig registrere alle tilfeller der de trenger å avsløre PII til en tredjepart.
Når PII avsløres – enten som en del av standard forretningsrutiner eller under spesielle omstendigheter, for eksempel en pågående juridisk eller regulatorisk prosess – bør organisasjoner registrere hva som er avslørt, mottakeren og den underliggende årsaken til dette.
GDPR-artikkel | ISO 27701 klausul | ISO 27002 kontroller |
---|---|---|
EU GDPR artikkel 30 (2)(d) | 6.12.1.2 | 5.10 5.12 5.13 5.20 |
EU GDPR artikkel 30 (2)(d) | 6.15.1.1 | 5.20 |
EU GDPR artikkel 30 (1) (a) til 30 (5) | 7.2.8 | none |
EU GDPR artikkel 30 (1)(e) | 7.5.1 | none |
EU GDPR artikkel 30 (1)(e) | 7.5.2 7.5.1 8.5.4 8.5.5 | none |
EU GDPR artikkel 30 (1)(e) | 7.5.3 | none |
EU GDPR artikkel 30 (1)(d) | 7.5.4 | none |
EU GDPR artikkel 30 (2) (a) til 30 (5) | 8.2.6 | none |
EU GDPR artikkel 30 (1)(f) | 8.4.2 | none |
EU GDPR artikkel 30 (2)(c) | 8.5.2 7.5.1 8.5.1 8.5.4 8.5.5 | none |
EU GDPR artikkel 30 (1)(d) | 8.5.3 | none |
ISMS.online hjelper deg med å demonstrere et beskyttelsesnivå som overstiger "rimelig" på et sikkert sted som alltid er på.
Vi gjør datakartlegging til en enkel oppgave. Ved å legge til organisasjonens detaljer i vårt forhåndskonfigurerte dynamiske Records of Processing Activity-verktøy, kan du enkelt registrere og gjennomgå alt.
Hvis det verste skjer, er du klar.
Med våre verktøy kan du planlegge, kommunisere, dokumentere og lære av hvert brudd.
Finn ut mer av bestilling av en 30 minutters demo.
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din
Etterspør et sitat