Forståelse af GDPR Artikel 12: Gennemsigtighed og datasubjekts rettigheder
GDPR Artikel 12 fokuserer på, hvordan dataansvarlige kommunikerer med registrerede, både med hensyn til, hvordan de kommunikerer deres interne processer, hvordan de letter informationsstrømmen, og hvordan de tilgodeser den pågældendes rettigheder.
GDPR Artikel 12 Lovtekst
EU GDPR-version
Gennemsigtig information, kommunikation og modaliteter for udøvelsen af den registreredes rettigheder
- Den registeransvarlige træffer passende foranstaltninger til at give den registrerede enhver information som omhandlet i artikel 13 og 14 og enhver kommunikation i henhold til artikel 15 til 22 og 34 vedrørende behandling til den registrerede i en kortfattet, gennemsigtig, forståelig og let tilgængelig form ved brug af klar og klar sprog, især for enhver information, der er rettet specifikt til et barn. Oplysningerne skal gives skriftligt eller på anden måde, herunder, hvor det er relevant, elektronisk. Efter anmodning fra den registrerede kan oplysningerne gives mundtligt, forudsat at den registreredes identitet bevises på anden vis.
- Den registeransvarlige skal lette udøvelsen af den registreredes rettigheder i henhold til artikel 15 til 22. I de tilfælde, der er omhandlet i artikel 11, stk. 2 til 15, medmindre den registeransvarlige påviser, at den ikke er i stand til at identificere den registrerede.
- Den registeransvarlige skal uden unødig forsinkelse og under alle omstændigheder inden for en måned efter modtagelsen af anmodningen give oplysninger om de foranstaltninger, der er truffet på en anmodning i henhold til artikel 15-22. Denne periode kan forlænges med yderligere to måneder, hvis det er nødvendigt, under hensyntagen til kompleksiteten og antallet af anmodninger. Den registeransvarlige underretter den registrerede om enhver sådan forlængelse inden for en måned efter modtagelsen af anmodningen sammen med årsagerne til forsinkelsen. Hvis den registrerede fremsætter anmodningen i elektronisk form, skal oplysningerne gives elektronisk, hvor det er muligt, medmindre andet anmodes af den registrerede.
- Hvis den dataansvarlige ikke griber ind efter den registreredes anmodning, skal den dataansvarlige straks og senest en måned efter modtagelsen af anmodningen informere den registrerede om årsagerne til, at der ikke er truffet handling og om muligheden for at indgive en klage til en tilsynsmyndighed og søge en retssag.
- Oplysninger givet i henhold til artikel 13 og 14 og enhver kommunikation og enhver handling, der træffes i henhold til artikel 15 til 22 og 34, gives gratis. Hvis anmodninger fra en registreret er åbenlyst ubegrundede eller overdrevne, især på grund af deres gentagne karakter, kan den registeransvarlige enten:
- Opkræve et rimeligt gebyr under hensyntagen til de administrative omkostninger ved at levere informationen eller kommunikationen eller udføre den anmodede handling; eller
- Nægt at reagere på anmodningen.
- Uden at det berører artikel 11, kan den dataansvarlige, hvis den registeransvarlige har rimelig tvivl om identiteten af den fysiske person, der fremsætter anmodningen som omhandlet i artikel 15-21, anmode om yderligere oplysninger, der er nødvendige for at bekræfte den registreredes identitet.
- De oplysninger, der skal gives til registrerede i henhold til artikel 13 og 14, kan gives i kombination med standardiserede ikoner for på en let synlig, forståelig og let læselig måde at give et meningsfuldt overblik over den påtænkte behandling. Hvor ikonerne præsenteres elektronisk, skal de være maskinlæsbare.
- Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 92 med henblik på at bestemme, hvilke oplysninger ikonerne skal præsentere, og procedurerne for at levere standardiserede ikoner.
Den registeransvarlige bærer byrden med at påvise anmodningens åbenlyst ubegrundede eller overdrevne karakter.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
UK GDPR-version
- Den registeransvarlige træffer passende foranstaltninger til at give den registrerede enhver information som omhandlet i artikel 13 og 14 og enhver kommunikation i henhold til artikel 15 til 22 og 34 vedrørende behandling til den registrerede i en kortfattet, gennemsigtig, forståelig og let tilgængelig form ved brug af klar og klar sprog, især for enhver information, der er rettet specifikt til et barn. Oplysningerne skal gives skriftligt eller på anden måde, herunder, hvor det er relevant, elektronisk. Efter anmodning fra den registrerede kan oplysningerne gives mundtligt, forudsat at den registreredes identitet bevises på anden vis.
- Den registeransvarlige skal lette udøvelsen af den registreredes rettigheder i henhold til artikel 15 til 22. I de tilfælde, der er omhandlet i artikel 11, stk. 2 til 15, medmindre den registeransvarlige påviser, at den ikke er i stand til at identificere den registrerede.
- Den registeransvarlige skal uden unødig forsinkelse og under alle omstændigheder inden for en måned efter modtagelsen af anmodningen give oplysninger om de foranstaltninger, der er truffet på en anmodning i henhold til artikel 15-22. Denne periode kan forlænges med yderligere to måneder, hvis det er nødvendigt, under hensyntagen til kompleksiteten og antallet af anmodningerne. Den registeransvarlige underretter den registrerede om enhver sådan forlængelse senest en måned efter modtagelsen af anmodningen sammen med årsagerne til forsinkelsen . Hvis den registrerede fremsætter anmodningen i elektronisk form, skal oplysningerne gives elektronisk, hvor det er muligt, medmindre andet anmodes af den registrerede.
- Hvis den dataansvarlige ikke griber ind efter den registreredes anmodning, skal den dataansvarlige straks og senest en måned efter modtagelsen af anmodningen informere den registrerede om årsagerne til, at der ikke er truffet handling og om muligheden for at indgive en klage til en tilsynsmyndighed, kommissæren og søger en retssag.
- Oplysninger givet i henhold til artikel 13 og 14 og enhver kommunikation og enhver handling, der træffes i henhold til artikel 15 til 22 og 34, gives gratis. Hvis anmodninger fra en registreret er åbenlyst ubegrundede eller overdrevne, især på grund af deres gentagne karakter, kan den registeransvarlige enten:
- Opkræve et rimeligt gebyr under hensyntagen til de administrative omkostninger ved at levere informationen eller kommunikationen eller udføre den anmodede handling; eller
- Nægt at reagere på anmodningen.
- Uden at det berører artikel 11, kan den dataansvarlige, hvis den registeransvarlige har rimelig tvivl om identiteten af den fysiske person, der fremsætter anmodningen som omhandlet i artikel 15-21, anmode om yderligere oplysninger, der er nødvendige for at bekræfte den registreredes identitet.
- [6A. Kommissæren kan offentliggøre (og ændre eller trække tilbage)
- (a) Standardiserede ikoner til brug i kombination med oplysninger givet til registrerede i henhold til artikel 13 og 14;
- (b) En meddelelse om, at andre personer kan offentliggøre (og ændre eller trække tilbage) sådanne ikoner, forudsat at ikonerne opfylder de krav, der er specificeret i meddelelsen med hensyn til den information, der skal præsenteres af ikonerne, og procedurerne for tilvejebringelse af ikonerne.
- 6B. Kommissæren må ikke offentliggøre ikoner eller en meddelelse i henhold til afsnit 6A, medmindre det er overbevist (alt efter omstændighederne), at ikonerne giver et meningsfuldt overblik over den påtænkte behandling på en let synlig, forståelig og klart læselig måde, eller at meddelelsen vil resultere i ikoner, der gør det .]
- Hvis standardiserede ikoner offentliggøres som beskrevet i afsnit 6A (og ikke trækkes tilbage), kan de oplysninger, der skal gives til registrerede i henhold til artikel 13 og 14, gives i kombination med ikonerne. Hvor ikonerne præsenteres elektronisk, skal de være maskinlæsbare.
Den registeransvarlige bærer byrden med at påvise anmodningens åbenlyst ubegrundede eller overdrevne karakter.
Teknisk kommentar
Kvaliteten af den leverede information
Oplysninger givet af den registeransvarlige til hovedforpligtet bør være:
- Kortfattet.
- Gennemsigtig.
- Forståelig.
- Let tilgængeligt.
- Let at forstå.
- I det passende format.
Facilitering af den registreredes rettigheder
Mens GDPR ikke indeholder et specifikt sæt instruktioner vedrørende, hvordan organisationer bør levere "mekanismer til at anmode om og, hvis det er relevant, gratis opnå adgang til og berigtigelse eller sletning af personlige data og udøvelsen af retten at gøre indsigelse'.
Tidsfrister
Lovgivningen udelader enhver præcis definition af, hvad der anses for at være en acceptabel tid til at besvare anmodninger. Det er i stedet overladt til organisationer at handle så hurtigt som muligt (eller 'uden unødig forsinkelse') inden for en periode på en måned – forlænget til to måneder for komplekse anmodninger.
Hvis en organisation ikke har til hensigt at reagere på en anmodning, skal den registrerede informeres om årsagerne inden for en måned sammen med oplysninger om, hvordan man indgiver en klage.
EU GDPR artikel 12 (2) og ISO 27701 paragraf 7.3.1
Fastlæggelse og opfyldelse af forpligtelser over for Pii-rektorer
Organisationer skal dokumentere deres forpligtelser over for PII-principper på tværs af tre nøgleområder:
- Juridisk.
- Regulatorisk.
- Forretning.
Organisationer bør levere gennemsigtig dokumentation og et udpeget kontaktpunkt til PII-princippere for at lette den frie informationsstrøm og ikke på nogen måde forhindre PII-principperen i at fastslå den registeransvarliges forpligtelser.
Det er vigtigt at bemærke, at for at sikre ensartethed bør enhver tilvejebragt kontaktform afspejle den måde, hvorigennem organisationen indsamler PII – f.eks. at angive en e-mailadresse eller en PoC, hvis data blev indsamlet via e-mail, i stedet for udelukkende at bede en rektor om at skrive et brev.
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
EU GDPR artikel 12 (1) og (7) og ISO 27701 paragraf 7.3.3
Oplysninger til PII Principals
Organisationer skal være i stand til at give oplysninger til PII-princippere, der identificerer PII-ansvarlig, og hvordan data behandles.
Organisationer bør gøre deres yderste for at sikre, at de bruger et tilgængeligt sprog, der undgår branche-jargon og formidler information i klare vendinger, der er letforståelige (se ISO 27702, paragraf 7.3.2).
Understøtter ISO 27701 klausuler
- ISO 27701 7.3.2
EU GDPR artikel 12 (3), (4), (5), (6) og ISO 27701 paragraf 7.3.9
Anmodninger fra PII-princippere bør styres af processer og kontroller, der er bredt forstået i hele organisationen, og imødekomme de specifikke krav i lovgivningen eller regulatoriske krav, herunder passende responstider.
Anmodninger kan omfatte:
- Kopier af data.
- Klager.
- Proceduremæssige præciseringer.
Organisationer har lovligt lov til at opkræve et håndteringsgebyr, men dette gælder normalt kun for gentagne eller overdrevne anmodninger om data.
Understøttende kontroller fra ISO 27701
| GDPR artikel | ISO 27701 klausul | ISO 27701 understøttende klausuler |
|---|---|---|
| EU GDPR artikel 12 (2) | ISO 27701 7.3.1 | Ingen |
| EU GDPR artikel 12 (1), (7) | ISO 27701 7.3.3 | ISO 27701 7.3.2 |
| EU GDPR artikel 12 (3), (4), (5), (6) | ISO 27701 7.3.9 | Ingen |
Hvordan ISMS.online hjælper
ROPA gjort let
Vi gør datakortlægning til en simpel opgave. Det er nemt at registrere og gennemgå det hele ved at tilføje din organisations detaljer til vores forudkonfigurerede dynamiske værktøj til registreringer af behandlingsaktivitet.
Vurderingsskabeloner
Vi leverer brugervenlige skabeloner til registrering af privatliv og legitime interessevurderinger.
En sikker plads til DRR
Du skal vise, hvor godt du administrerer anmodninger om datasubjektrettigheder (DRR). Vores sikre DRR-plads holder det hele ét sted og understøtter det med automatisk rapportering og indsigt.
Håndtering af brud
Hvis det værste sker, er du klar. Vi gør det nemt at planlægge og kommunikere dit brud-workflow og dokumentere og lære af hver hændelse.
Find ud af mere ved booking af en demo.
