GDPR Artikel 11 Forklaret: Nøglen til dataminimering
GDPR Artikel 11 omhandler dataminimeringsprincipper, som i vid udstrækning begrænser, hvordan data behandles knyttet til kun det, der skønnes nødvendigt.
Dataansvarlige bør slette eller tilsløre henvisninger til den registrerede i det øjeblik, dataene ikke længere er nødvendige. Når dette sker, skal de registeransvarlige også indhente yderligere oplysninger om den registrerede for at forblive i overensstemmelse med reglerne.
Hvis forsøgspersoner ønsker at blive genidentificeret, bør de registeransvarlige tage dette med ombord og formulere trin til at imødekomme anmodningen.
Det er vigtigt at bemærke, at hvis forsøgspersonen ikke er identificeret, gælder artikel 11 delvist, men hvis den registrerede anmoder om genidentifikation, skal den registeransvarlige forsøge dette (medmindre dette viser sig at være umuligt af bevisbyrden).
GDPR Artikel 11 Lovtekst
EU GDPR-version
Behandling, som ikke kræver identifikation
- Hvis de formål, hvortil en dataansvarlig behandler personoplysninger, ikke eller længere kræver, at den dataansvarlige identificerer en registreret, er den dataansvarlige ikke forpligtet til at opbevare, erhverve eller behandle yderligere oplysninger for at identificere den registrerede for eneste formål med at overholde denne forordning.
- Hvis den registeransvarlige i tilfælde, der er omhandlet i stk. 1 i denne artikel, er i stand til at påvise, at den ikke er i stand til at identificere den registrerede, underretter den registeransvarlige om muligt den registrerede herom. I sådanne tilfælde finder artikel 15-20 ikke anvendelse, medmindre den registrerede med henblik på at udøve sine rettigheder i henhold til disse artikler giver yderligere oplysninger, der gør det muligt at identificere ham.
UK GDPR-version
Behandling, som ikke kræver identifikation
- Hvis de formål, hvortil en dataansvarlig behandler personoplysninger, ikke eller længere kræver, at den dataansvarlige identificerer en registreret, er den dataansvarlige ikke forpligtet til at opbevare, erhverve eller behandle yderligere oplysninger for at identificere den registrerede for eneste formål med at overholde denne forordning.
- Hvis den registeransvarlige i tilfælde, der er omhandlet i stk. 1 i denne artikel, er i stand til at påvise, at den ikke er i stand til at identificere den registrerede, underretter den registeransvarlige om muligt den registrerede herom. I sådanne tilfælde finder artikel 15-20 ikke anvendelse, medmindre den registrerede med henblik på at udøve sine rettigheder i henhold til disse artikler giver yderligere oplysninger, der gør det muligt at identificere ham.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
EU GDPR artikel 11 (1) og ISO 27701 paragraf 7.4.5
PII-afidentifikation og sletning ved slutningen af behandlingen
Når PII ikke længere opfylder et erklæret formål, skal organisationer enten fuldstændigt ødelægge dataene eller ændre dem på en måde, der forhindrer enhver form for identifikation på nogen måde, enten internt eller eksternt.
Så snart organisationen har fastslået, at PII ikke skal behandles på noget tidspunkt i fremtiden, bør oplysningerne slettes eller ændres på en måde, der gør det umuligt for den registrerede at blive identificeret
EU GDPR artikel 11 (2) og ISO 27701 paragraf 7.3.2
Fastlæggelse af oplysninger til PII Principals
Organisationer bør dokumentere de oplysninger, som PII-princippere modtager, som beskriver, hvordan PII behandles.
Der skal være et sæt krav, der styrer, hvornår information skal gives, og præcis hvad den information er, såsom:
- Formålet med at PII'en indsamles og behandles.
- Kontaktoplysninger.
- Hvordan PII blev opnået.
- Skriftlige krav (kontraktlige, lovpligtige).
- Processen, hvorigennem samtykke fjernes.
- Dataoverførsler.
- En klageprocedure.
- Den interne beslutningsproces.
- Dataopbevaringsperioder.
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
EU GDPR artikel 11 (2) og ISO 27701 paragraf 7.3.3
Oplysninger til PII Principals
Organisationer skal skitsere, hvem PII-ansvarlig er, og hvordan data behandles, gennem "klare og tilgængelige" midler, der ikke hæmmer spredningen af afgørende information.
Oplysningerne skal være lette at følge og angivet i lægmandssprog, så enhver, der læser den, er i stand til at forstå arten af det, der formidles, sammen med eventuelle tekniske eller operationelle specifikationer (se ISO 27701 paragraf 7.3.2).
Understøtter ISO 27701 klausuler
- ISO 27701 7.3.2
Understøttende kontroller fra ISO 27701
| GDPR artikel | ISO 27701 klausul | ISO 27701 understøttende klausuler |
|---|---|---|
| EU GDPR artikel 11 (1) | ISO 27701 7.4.5 | Ingen |
| EU GDPR artikel 11 (2) | ISO 27701 7.3.2 | Ingen |
| EU GDPR artikel 11 (2) | ISO 27701 7.3.3 | ISO 27701 7.3.2 |
Hvordan ISMS.online hjælper
Vores præbyggede miljø giver dig mulighed for at beskrive og demonstrere din tilgang til at beskytte dine europæiske og britiske kundedata på en måde, der problemfrit integreres i dit ledelsessystem.
ISMS.online platformen indeholder indbygget vejledning ved hvert trin, samt vores 'Adopter, Adapt, Add' implementeringstilgang, som reducerer mængden af indsats, der kræves for at overholde GDPR. Du vil også modtage en række tidsbesparende fordele.
Uanset om du har problemer med at komme til GDPR på grund af manglende selvtillid, evne eller motivation til at handle, kan vi hjælpe dig ved at stille vores interne eksperter til rådighed eller ved at anbefale en af vores betroede partnere.
Find ud af mere ved booking af en demo.
