GDPR Artikkel 6 skisserer de grunnleggende rettslige prinsippene som forbyr all behandling av personopplysninger med mindre den er basert på spesifikke lovbestemmelser.
Behandlingens lovlighet
- Behandling skal bare være lovlig dersom og i den grad minst ett av følgende gjelder:
- (a) den registrerte har gitt samtykke til behandling av hans eller hennes personopplysninger for ett eller flere spesifikke formål;
- (b) behandling er nødvendig for å oppfylle en kontrakt som den registrerte er part i, eller for å iverksette tiltak på forespørsel fra den registrerte før en kontrakt inngås;
- (c) behandling er nødvendig for å overholde en juridisk forpliktelse som den behandlingsansvarlige er underlagt;
- (d) behandling er nødvendig for å beskytte de vitale interessene til den registrerte eller en annen fysisk person;
- (e) behandling er nødvendig for å utføre en oppgave utført i allmennhetens interesse eller i utøvelse av offentlig myndighet som er tillagt den behandlingsansvarlige;
- (f) behandling er nødvendig for formålet med de legitime interessene som forfølges av den behandlingsansvarlige eller av en tredjepart, unntatt der slike interesser overstyres av interessene eller grunnleggende rettigheter og friheter til den registrerte som krever beskyttelse av personopplysninger, særlig der den registrerte er et barn.
Første ledd bokstav f får ikke anvendelse på behandling som utføres av offentlige myndigheter under utførelsen av sine oppgaver.- Medlemsstatene kan opprettholde eller innføre mer spesifikke bestemmelser for å tilpasse anvendelsen av reglene i denne forordning med hensyn til behandling for overholdelse av nr. 1 bokstav c) og e) ved å fastsette mer presist spesifikke krav til behandlingen og andre tiltak for å sikre lovlig og rettferdig behandling, inkludert for andre spesifikke behandlingssituasjoner som fastsatt i kapittel IX.
- Grunnlaget for behandlingen nevnt i nr. 1 bokstav c) og e) skal fastsettes av:
- (a) unionsrett; eller
- (b) Medlemsstatslovgivningen som den behandlingsansvarlige er underlagt.
Formålet med behandlingen skal fastsettes i det rettslige grunnlaget, eller, når det gjelder behandlingen nevnt i nr. 1 bokstav e), skal det være nødvendig for å utføre en oppgave utført i allmennhetens interesse eller i utøvelse av tjenestemann. myndighet tillagt den behandlingsansvarlige. Dette rettsgrunnlaget kan inneholde spesifikke bestemmelser for å tilpasse anvendelsen av reglene i denne forordningen, blant annet: de generelle vilkårene for lovligheten av behandling fra den behandlingsansvarlige; hvilke typer data som er gjenstand for behandlingen; de berørte registrerte; enhetene til, og formålene som personopplysningene kan avsløres for; formålsbegrensningen; lagringsperioder; og behandlingsoperasjoner og behandlingsprosedyrer, inkludert tiltak for å sikre lovlig og rettferdig behandling, slik som for andre spesifikke behandlingssituasjoner som fastsatt i kapittel IX. Unionens eller medlemsstatens lov skal oppfylle et mål av allmenn interesse og stå i forhold til det legitime mål som forfølges.
- Der behandlingen for et annet formål enn det som personopplysningene er samlet inn for ikke er basert på den registrertes samtykke eller på en unions- eller medlemsstatslov som utgjør et nødvendig og forholdsmessig tiltak i et demokratisk samfunn for å ivareta målene nevnt i i artikkel 23 nr. 1 skal den behandlingsansvarlige, for å forvisse seg om hvorvidt behandling for et annet formål er forenlig med formålet som personopplysningene opprinnelig samles inn for, ta hensyn til bl.a.
- (a) enhver kobling mellom formålene som personopplysningene er samlet inn for og formålene med den tiltenkte videre behandlingen;
- (b) konteksten personopplysningene er samlet inn i, spesielt angående forholdet mellom registrerte og behandlingsansvarlig;
- (c) arten av personopplysningene, særlig om spesielle kategorier av personopplysninger behandles, i henhold til artikkel 9, eller om personopplysninger knyttet til straffedommer og lovbrudd behandles, i henhold til artikkel 10;
- (d) de mulige konsekvensene av den tiltenkte videre behandlingen for registrerte;
- e) eksistensen av passende sikkerhetstiltak, som kan omfatte kryptering eller pseudonymisering.
Behandlingens lovlighet
- Behandling skal bare være lovlig dersom og i den grad minst ett av følgende gjelder:
- (a) den registrerte har gitt samtykke til behandling av hans eller hennes personopplysninger for ett eller flere spesifikke formål;
- (b) behandling er nødvendig for å oppfylle en kontrakt som den registrerte er part i, eller for å iverksette tiltak på forespørsel fra den registrerte før en kontrakt inngås;
- (c) behandling er nødvendig for å overholde en juridisk forpliktelse som den behandlingsansvarlige er underlagt;
- (d) behandling er nødvendig for å beskytte de vitale interessene til den registrerte eller en annen fysisk person;
- (e) behandling er nødvendig for å utføre en oppgave utført i allmennhetens interesse eller i utøvelse av offentlig myndighet som er tillagt den behandlingsansvarlige;
- (f) behandling er nødvendig for formålet med de legitime interessene som forfølges av den behandlingsansvarlige eller av en tredjepart, unntatt der slike interesser overstyres av interessene eller grunnleggende rettigheter og friheter til den registrerte som krever beskyttelse av personopplysninger, særlig der den registrerte er et barn.
Første ledd bokstav f får ikke anvendelse på behandling som utføres av offentlige myndigheter under utførelsen av sine oppgaver.
Grunnlaget for behandlingen nevnt i nr. 1 bokstav c) og e) skal fastsettes i nasjonal lovgivning.
Formålet med behandlingen skal fastsettes i det rettslige grunnlaget, eller, når det gjelder behandlingen nevnt i nr. 1 bokstav e), skal det være nødvendig for å utføre en oppgave utført i allmennhetens interesse eller i utøvelse av tjenestemann. myndighet tillagt den behandlingsansvarlige. Dette rettsgrunnlaget kan inneholde spesifikke bestemmelser for å tilpasse anvendelsen av reglene i denne forordningen, blant annet: de generelle vilkårene for lovligheten av behandling fra den behandlingsansvarlige; hvilke typer data som er gjenstand for behandlingen; de berørte registrerte; enhetene til, og formålene som personopplysningene kan avsløres for; formålsbegrensningen; lagringsperioder; og behandlingsoperasjoner og behandlingsprosedyrer, inkludert tiltak for å sikre lovlig og rettferdig behandling, slik som for andre spesifikke behandlingssituasjoner som fastsatt i kapittel IX. Den interne loven skal oppfylle et mål av allmenn interesse og stå i forhold til det legitime målet som forfølges.- Der behandlingen for et annet formål enn det som personopplysningene er samlet inn for ikke er basert på den registrertes samtykke eller nasjonal lovgivning som utgjør et nødvendig og forholdsmessig tiltak i et demokratisk samfunn for å ivareta [nasjonal sikkerhet, forsvar eller noen av] målene nevnt i artikkel 23 nr. 1, skal den behandlingsansvarlige, for å forvisse seg om hvorvidt behandling for et annet formål er forenlig med formålet som personopplysningene opprinnelig samles inn for, ta hensyn til bl.a.
- (a) enhver kobling mellom formålene som personopplysningene er samlet inn for og formålene med den tiltenkte videre behandlingen;
- (b) konteksten personopplysningene er samlet inn i, spesielt angående forholdet mellom registrerte og behandlingsansvarlig;
- (c) arten av personopplysningene, særlig om spesielle kategorier av personopplysninger behandles, i henhold til artikkel 9, eller om personopplysninger knyttet til straffedommer og lovbrudd behandles, i henhold til artikkel 10;
- (d) de mulige konsekvensene av den tiltenkte videre behandlingen for registrerte;
- e) eksistensen av passende sikkerhetstiltak, som kan omfatte kryptering eller pseudonymisering.
GDPR artikkel 6 skisserer 7 faktorer som bidrar til det den definerer som et "lovlig grunnlag for behandling":
I denne delen snakker vi om GDPR artikkel 6 (1)(a), 6 (1)(b), 6 (1)(c), 6 (1)(d), 6 (1)(e), 6 ( 1)(f), 6 (2), 6 (3), 6 (4)(a), 6 (4)(b), 6 (4)(c), 6 (4)(d) og 6 ( 4)(e)
Avhengig av jurisdiksjonen kan organisasjoner bli nødt til det bevise at PII-behandlingen deres er lovlig før de begynner.
For å danne et juridisk grunnlag for å behandle PII, bør organisasjoner:
For hvert punkt nevnt ovenfor bør organisasjoner kunne tilby dokumentert bekreftelse.
Organisasjoner må også vurdere eventuelle "spesielle kategorier" av PII som er relatert til deres organisasjon i deres dataklassifiseringsskjema (se ISO 27701 klausul 7.2.8) (klassifiseringer kan variere fra region til region).
Hvis organisasjoner opplever endringer i deres underliggende årsaker til å behandle PII, bør dette umiddelbart gjenspeiles i deres dokumenterte juridiske grunnlag.
I denne delen snakker vi om GDPR artikkel 6 (4)(e)
Organisasjoner må enten fullstendig ødelegge enhver PII som ikke lenger oppfyller et formål, eller endre den på en måte som forhindrer noen form for hovedidentifikasjon.
Så snart organisasjonen har fastslått at PII ikke trenger å behandles på noe tidspunkt i fremtiden, bør informasjonen slettet or avidentifisert, slik omstendighetene tilsier.
| GDPR-artikkel | ISO 27701 klausul | ISO 27701 Støtteklausuler |
|---|---|---|
| EU GDPR artikkel 6 (1)(a) til 6 (4)(e) | ISO 27701 | ISO 27701 |
| EU GDPR artikkel 6 (4)(e) | ISO 27701 | none |
ISMS.online-plattformen inkluderer innebygd veiledning ved hvert trinn, kombinert med vår «Adopter, Adapt, Add»-implementeringstilnærming, så det er betydelig enklere å demonstrere at du overholder GDPR. Du vil også dra nytte av en rekke kraftige tidsbesparende funksjoner.
Ved å kartlegge arbeidet ditt på tvers av flere standarder og rammeverk, gjør vår intuitive plattform det enkelt å oppnå flere mål for informasjonssikkerhet og personvern.
Hvis du av en eller annen grunn opplever mangel på selvtillit, evne eller handlingskraft under reisen din til GDPR, kan vi gjøre vårt team av interne eksperter tilgjengelig eller anbefale en av våre pålitelige partnere for å gi din innsats et løft.
Finn ut mer av bestille en kort demo.
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din
