Hvordan demonstrere samsvar med GDPR artikkel 30

UK GDPR-versjon

Registrering av behandlingsaktiviteter

1. Hver behandlingsansvarlig og, der det er aktuelt, den behandlingsansvarliges representant, skal føre en oversikt over behandlingsaktiviteter under dens ansvar. Denne posten skal inneholde all følgende informasjon:
• Navn og kontaktinformasjon til behandlingsansvarlig og eventuelt felles behandlingsansvarlig, behandlingsansvarligs representant og personvernombud.
• Formålet med behandlingen.
• En beskrivelse av kategoriene av registrerte og av kategoriene av personopplysninger.
• Kategoriene av mottakere som personopplysningene har blitt eller vil bli utlevert til, inkludert mottakere i tredjeland eller internasjonale organisasjoner.
• Der det er aktuelt, overføringer av personopplysninger til et tredjeland eller en internasjonal organisasjon, inkludert identifikasjon av det tredjelandet eller den internasjonale organisasjonen og, når det gjelder overføringer nevnt i annet ledd i artikkel 49 nr. 1, dokumentasjon av passende sikkerhetstiltak.
• Der det er mulig, de planlagte fristene for sletting av de ulike kategoriene av data.
• Der det er mulig, en generell beskrivelse av de tekniske og organisatoriske sikkerhetstiltakene nevnt i artikkel 32 nr. 1, eller, etter behov, sikkerhetstiltakene nevnt i § 28 nr. 3 i 2018-loven.
2. Hver databehandler og eventuelt databehandlerens representant skal føre en oversikt over alle kategorier av behandlingsaktiviteter utført på vegne av en behandlingsansvarlig, som inneholder:
• Navnet og kontaktopplysningene til databehandleren eller databehandlerne og til hver behandlingsansvarlig som databehandleren opptrer på vegne av, og, der det er aktuelt, til behandlingsansvarligs eller databehandlerens representant, og personvernombudet.
• Kategoriene for behandling utført på vegne av hver behandlingsansvarlig.
• Der det er aktuelt, overføringer av personopplysninger til et tredjeland eller en internasjonal organisasjon, inkludert identifikasjon av det tredjelandet eller den internasjonale organisasjonen og, når det gjelder overføringer nevnt i annet ledd i artikkel 49 nr. 1, dokumentasjon av passende sikkerhetstiltak.
• Der det er mulig, en generell beskrivelse av de tekniske og organisatoriske sikkerhetstiltakene nevnt i artikkel 32 nr. 1. Eller, etter behov, sikkerhetstiltakene nevnt i § 28(3) i 2018-loven.
3. Registreringene nevnt i nr. 1 og 2 skal være skriftlige, inkludert i elektronisk form.
4. Den behandlingsansvarlige eller databehandleren og, der det er aktuelt, den behandlingsansvarliges eller databehandlerens representant, skal gjøre journalen tilgjengelig for kommisjonæren på forespørsel.
5. Forpliktelsene nevnt i nr. 1 og 2 skal ikke gjelde for et foretak eller en organisasjon som sysselsetter færre enn 250 personer, med mindre behandlingen den utfører sannsynligvis vil medføre en risiko for de registrertes rettigheter og friheter, behandlingen er ikke tilfeldig , eller behandlingen omfatter spesielle kategorier av opplysninger som nevnt i artikkel 9 nr. 1 eller personopplysninger knyttet til straffedommer og lovbrudd nevnt i artikkel 10.

Teknisk kommentar

GDPR-artikkel 30 tar for seg fire hovedområder for journalvedlikehold:

1. Registrering av behandlingsaktiviteter utført av behandlingsansvarlig.
2. Registrering av behandlingsaktiviteter utført av prosessoren.
3. Skriftlige postformater.
4. Myndighetene til tilsynsmyndighetene.

Artikkel 30 skisserer også unntak som gjelder for noen av de ovennevnte områdene – særlig det enhver organisasjon som sysselsetter mindre enn 250 personer er ikke forpliktet til å føre behandlingsregister, bortsett fra når rettighetene og frihetene til registrerte personer "ikke er sporadiske", eller organisasjonen behandler "spesielle kategorier" av data eller kriminelle data.

ISO 27701 klausul 6.12.1.2 (Adressering av sikkerhet innenfor leverandøravtaler) og EU GDPR artikkel 30 (2)(d)

Når de adresserer sikkerhet i leverandørforhold, bør organisasjoner sikre at begge parter er klar over sine forpliktelser overfor personverninformasjonssikkerhet, og hverandre.

Ved å gjøre dette bør organisasjoner:

• Tilby en tydelig beskrivelse som beskriver personverninformasjonen som må åpnes, og hvordan denne informasjonen skal få tilgang.
• Klassifiser personverninformasjonen som skal åpnes i samsvar med et akseptert klassifiseringsskjema (se ISO 27002 Kontroller 5.10, 5.12 og 5.13).
• Ta tilstrekkelig hensyn til leverandørens eget klassifiseringssystem.
• Kategoriser rettigheter i fire hovedområder – juridisk, lovfestet, regulatorisk og kontraktsmessig – med en detaljert beskrivelse av forpliktelser per område.
• Sikre at hver part er forpliktet til å vedta en rekke kontroller som overvåker, vurderer og administrerer personverninformasjonssikkerhetsrisikonivåer.
• Skisser behovet for leverandørpersonell for å overholde en organisasjons informasjonssikkerhetsstandarder (se ISO 27002 Kontroll 5.20).
• Tilrettelegge for en klar forståelse av hva som utgjør både akseptabel og uakseptabel bruk av personverninformasjon og fysiske og virtuelle eiendeler fra begge parter.
• Vedta autorisasjonskontroller som kreves for at personell på leverandørsiden skal få tilgang til eller se en organisasjons personverninformasjon.
• Ta hensyn til hva som skjer ved kontraktsbrudd eller manglende overholdelse av individuelle bestemmelser.
• Skissere en hendelseshåndteringsprosedyre, inkludert hvordan større hendelser kommuniseres.
• Sørge for at personell får opplæring i sikkerhetsbevissthet.
• (Hvis leverandøren har tillatelse til å bruke underleverandører) legg til krav for å sikre at underleverandører er på linje med det samme sett med standarder for personverninformasjonssikkerhet som leverandøren.
• Vurder hvordan leverandørpersonell blir screenet før de samhandler med personverninformasjon.
• Fastsetter behovet for tredjepartsattester som adresserer leverandørens evne til å oppfylle organisatoriske krav til personverninformasjonssikkerhet.
• Har avtalefestet rett til å revidere en leverandørs prosedyrer.
• Krev at leverandører leverer rapporter som beskriver effektiviteten til deres egne prosesser og prosedyrer.
• Fokuser på å ta skritt for å påvirke rettidig og grundig løsning av eventuelle mangler eller konflikter.
• Sikre at leverandører opererer med en adekvat BUDR-policy for å beskytte integriteten og tilgjengeligheten til PII og personvernrelaterte eiendeler.
• Krev en policy for endringsstyring på leverandørsiden som informerer organisasjonen om eventuelle endringer som har potensial til å påvirke personvernet.
• Implementer fysiske sikkerhetskontroller som er proporsjonale med sensitiviteten til dataene som lagres og behandles.
• (Hvor data skal overføres) be leverandører om å sikre at data og eiendeler er beskyttet mot tap, skade eller korrupsjon.
• Skissere en liste over handlinger som skal iverksettes av begge parter i tilfelle oppsigelse.
• Be leverandøren om å skissere hvordan de har til hensikt å ødelegge personverninformasjon etter oppsigelse, eller at dataene ikke lenger er nødvendige.
• Ta skritt for å sikre minimalt med forretningsavbrudd i løpet av en overleveringsperiode.

Organisasjoner bør også opprettholde en register over avtaler, som viser alle avtaler med andre organisasjoner.

Støtter ISO 27002 kontroller

• ISO 27002
• ISO 27002
• ISO 27002
• ISO 27002

ISO 27701 klausul 6.15.1.1 (identifikasjon av gjeldende lovgivning og kontraktskrav) og EU GDPR artikkel 30 (2)(d)

Organisasjoner bør overholde juridiske, lovpålagte, regulatoriske og kontraktsmessige krav når:

• Utforming og/eller endring av sikkerhetsprosedyrer for personverninformasjon.
• Kategorisering av informasjon.
• Ta fatt på risikovurderinger knyttet til aktiviteter for personverninformasjonssikkerhet.
• Å bygge leverandørforhold, inkludert eventuelle kontraktsmessige forpliktelser gjennom hele forsyningskjeden.

Organisasjoner bør følge prosedyrer som tillater dem identifisere, analysere og forstå lov- og reguleringsforpliktelser – spesielt de som er opptatt av personvern og PII – uansett hvor de opererer.

Organisasjoner bør kontinuerlig være oppmerksomme på sine personvernforpliktelser når de inngår nye avtaler med tredjeparter, leverandører og kontraktører.

Når organisasjoner implementerer krypteringsmetoder for å styrke personvernet og beskytte PII, bør organisasjoner:

• Følg alle lover som regulerer import og eksport av maskinvare eller programvare som har potensial til å oppfylle en kryptografisk funksjon
• Gi tilgang til kryptert informasjon i henhold til lovene i jurisdiksjonen de opererer innenfor.
• Bruk tre nøkkelelementer for kryptering:
1. Digitale signaturer.
2. Sel.
3. Digitale sertifikater.

Støtter ISO 27002 kontroller

• ISO 27002

ISO 27701 klausul 7.2.8 (Records Related to Processing PII) og EU GDPR artikkel 30

I denne delen snakker vi om GDPR artikkel 30 (1)(a), 30 (1)(b), 30 (1)(c), 30 (1)(d), 30 (1)(f), 30 ( 1)(g), 30 (3), 30 (4) og 30 (5)

Organisasjoner må opprettholde et grundig sett med poster som støtter deres handlinger og forpliktelser som PII-behandler.

Poster (ellers kjent som "beholdningslister") bør ha en delegert eier, og kan omfatte:

• Operativ – den spesifikke typen PII-behandling som blir utført.
• Begrunnelser – hvorfor PII blir behandlet.
• Kategorisk – lister over PII-mottakere, inkludert internasjonale organisasjoner.
• Sikkerhet – en oversikt over hvordan PII blir beskyttet.
• Personvern – dvs. en konsekvensvurderingsrapport for personvern.

ISO 27701 klausul 7.5.1 (Identifiser grunnlag for PII-overføring mellom jurisdiksjoner) og EU GDPR artikkel 30 (1)(e)

Fra tid til annen kan det oppstå behov for å overføre PII mellom to distinkte jurisdiksjoner. Når dette skjer, bør organisasjoner begrunne og dokumentere behovet for å gjøre det.

Regionale reguleringer og juridiske regler varierer avhengig av hvor dataene kommer fra, og hvor de skal overføres til.

Organisasjoner bør ta alle relevante lover, rammer og forskrifter i betraktning når de trenger å overføre data mellom jurisdiksjoner, inkludert bruk av en utpekt tilsynsmyndighet.

ISO 27701 klausul 7.5.2 (land og internasjonale organisasjoner som PII kan overføres til) og EU GDPR artikkel 30 (1)(e)

Organisasjoner bør føre en dokumentert liste over landene og organisasjonene som de potensielt kan overføre sin PII til, under rimelige omstendigheter.

Når de har formulert en liste, bør organisasjoner gjøre informasjonen tilgjengelig for kundene sine, inkludert eventuelle underleverandører PII-operasjoner (se ISO 27701 klausul 7.5.1).

Under visse omstendigheter – spesielt i tilfelle av kriminelle etterforskninger – kan konfidensialitetslover hindre organisasjonen i å avsløre identiteten til destinasjonslandene og organisasjonene på forhånd (se ISO 27701 klausuler 8.5.4 og 8.5.5).

Støtter ISO 27701 kontroller

• ISO 27701
• ISO 27701
• ISO 27701

ISO 27701 klausul 7.5.3 (Records of Transfer of PII) og EU GDPR artikkel 30 (1)(e)

Det er svært viktig at organisasjoner fører en nøyaktig oversikt over PII-overføringer til tredjepartsorganisasjoner.

Organisasjoner bør kunne registrere PII som har blitt endret på noen måte (i tråd med kontrollørenes forpliktelser og mål), eller overføringer som kreves før det vedtas en forespørsel fra PII-oppdragsgiveren om å endre eller slette PII.

Registreringer bør være underlagt en proporsjonal oppbevaringsperiode, og bør være underlagt dataminimeringsregler som bare returnerer det som er nødvendig for å oppfylle et spesifikt mål.

ISO 27701 klausul 7.5.4 (Records of PII Disclosure to Third Parties) og EU GDPR artikkel 30 (1)(d)

Organisasjoner bør logge enhver avsløring av PII til tredjeparter, inkludert følgende tre opplysninger:

• Hva er avslørt.
• Hvem har informasjonen blitt utlevert til.
• Når avsløringen ble gjort (dato og klokkeslett).

Det er standard praksis å avsløre PII av en rekke årsaker, gjennom en organisasjons informasjonsbehandlingsoperasjon.

Logger bør lages over avsløringer som skjer under normal forretningspraksis, og eventuelle spesielle omstendigheter som oppstår (dvs. regulatoriske eller juridiske undersøkelser.

ISO 27701 klausul 8.2.6 (Records Related to Processing PII) og EU GDPR artikkel 30

I denne delen snakker vi om GDPR artikkel 30 (2)(a), 30 (2)(b), 30 (3), 30 (4) og 30 (5)

Organisasjoner bør føre nøyaktige og oppdaterte registre som gjør at de til enhver tid kan bevise overholdelse av eventuelle kontraktsmessige forpliktelser knyttet til behandlingen av PII.

Avhengig av jurisdiksjonen kan det være nødvendig å inkludere følgende:

• Kategoriske lister over behandling, på kunde-til-kunde-basis.
• Eventuelle dataoverføringer til andre land eller internasjonale organisasjoner.
• Tekniske sikkerhetskontroller.

ISO 27701 klausul 8.4.2 (retur, overføring eller avhending av PII) og EU GDPR artikkel 30 (1)(f)

Organisasjoner må ha konkrete planer på plass som styrer hvordan PII kan være returnert, overføres or anordnet av, og gjøre alle slike retningslinjer tilgjengelig for kunden.

• Returnerer eventuell PII til kunden.
• Gi PII til en annen organisasjon.
• Ødelegge informasjon.
• Avidentifikasjon.
• Arkivering.

Det er ulike scenarier som krever avhending av PII, inkludert (men ikke begrenset til):

Organisasjoner må gi kategoriske forsikringer om at enhver PII som ikke lenger er nødvendig, vil bli ødelagt i samsvar med gjeldende lovgivning eller regionale retningslinjer.

Alle avhendingspolicyer bør være tilgjengelige for kunden på forespørsel, og bør dekke tidsperioden som organisasjoner må ødelegge PII, når en kontrakt er avsluttet.

ISO 27701 klausul 8.5.2 (land og internasjonale organisasjoner som PII kan overføres til) og EU GDPR artikkel 30 (2)(c)

Organisasjoner bør føre en nøyaktig, oppdatert liste over alle land eller organisasjoner der PII har potensial til å bli overført til.

Kunder bør kunne se en liste over potensielle mottakerland og organisasjoner til enhver tid, inkludert en logg over alle land som er involvert i PII-underleverandører (se ISO 27701 klausul 8.5.1).

Under visse omstendigheter vil ikke organisasjoner alltid være i stand til å avsløre på forhånd hvor overføringsforespørsler stammer fra – særlig når det gjelder straffesaker. Dette er uunngåelig, og det bør være organisasjonens prioritet å opprettholde integriteten til en rettshåndhevelsesoperasjon (se ISO 27701 klausuler 7.5.1, 8.5.4 og 8.5.5).

Støtter ISO 27701 kontroller

• ISO 27701
• ISO 27701
• ISO 27701
• ISO 27701

ISO 27701 klausul 8.5.3 (Records of PII Disclosure to Third Parties) og EU GDPR artikkel 30 (1)(d)

Organisasjoner bør omhyggelig registrere alle tilfeller der de trenger å avsløre PII til en tredjepart.

Når PII avsløres – enten som en del av standard forretningsrutiner eller under spesielle omstendigheter, for eksempel en pågående juridisk eller regulatorisk prosess – bør organisasjoner registrere hva som er avslørt, mottakeren og den underliggende årsaken til dette.

Støtter ISO 27701-klausuler og ISO 27002-kontroller

Hvordan ISMS.online hjelper

ISMS.online hjelper deg med å demonstrere et beskyttelsesnivå som overstiger "rimelig" på et sikkert sted som alltid er på.

Vi gjør datakartlegging til en enkel oppgave. Ved å legge til organisasjonens detaljer i vårt forhåndskonfigurerte dynamiske Records of Processing Activity-verktøy, kan du enkelt registrere og gjennomgå alt.

Hvis det verste skjer, er du klar.

Med våre verktøy kan du planlegge, kommunisere, dokumentere og lære av hvert brudd.

Finn ut mer av bestilling av en 30 minutters demo.