GDPR Artikel 12 fokuserer på, hvordan dataansvarlige kommunikerer med registrerede, både med hensyn til, hvordan de kommunikerer deres interne processer, hvordan de letter informationsstrømmen, og hvordan de tilgodeser den pågældendes rettigheder.
Gennemsigtig information, kommunikation og modaliteter for udøvelsen af den registreredes rettigheder
Den registeransvarlige bærer byrden med at påvise anmodningens åbenlyst ubegrundede eller overdrevne karakter.
Vi er omkostningseffektive og hurtige
Den registeransvarlige bærer byrden med at påvise anmodningens åbenlyst ubegrundede eller overdrevne karakter.
Oplysninger givet af den registeransvarlige til hovedforpligtet bør være:
Mens GDPR ikke indeholder et specifikt sæt instruktioner vedrørende, hvordan organisationer bør levere "mekanismer til at anmode om og, hvis det er relevant, gratis opnå adgang til og berigtigelse eller sletning af personlige data og udøvelsen af retten at gøre indsigelse'.
Lovgivningen udelader enhver præcis definition af, hvad der anses for at være en acceptabel tid til at besvare anmodninger. Det er i stedet overladt til organisationer at handle så hurtigt som muligt (eller 'uden unødig forsinkelse') inden for en periode på en måned – forlænget til to måneder for komplekse anmodninger.
Hvis en organisation ikke har til hensigt at reagere på en anmodning, skal den registrerede informeres om årsagerne inden for en måned sammen med oplysninger om, hvordan man indgiver en klage.
Organisationer skal dokumentere deres forpligtelser over for PII-principper på tværs af tre nøgleområder:
Organisationer bør levere gennemsigtig dokumentation og et udpeget kontaktpunkt til PII-princippere for at lette den frie informationsstrøm og ikke på nogen måde forhindre PII-principperen i at fastslå den registeransvarliges forpligtelser.
Det er vigtigt at bemærke, at for at sikre ensartethed bør enhver tilvejebragt kontaktform afspejle den måde, hvorigennem organisationen indsamler PII – f.eks. at angive en e-mailadresse eller en PoC, hvis data blev indsamlet via e-mail, i stedet for udelukkende at bede en rektor om at skrive et brev.
Organisationer skal være i stand til at give oplysninger til PII-princippere, der identificerer PII-ansvarlig, og hvordan data behandles.
Organisationer bør gøre deres yderste for at sikre, at de bruger et tilgængeligt sprog, der undgår branche-jargon og formidler information i klare vendinger, der er letforståelige (se ISO 27702, paragraf 7.3.2).
Anmodninger fra PII-princippere bør styres af processer og kontroller, der er bredt forstået i hele organisationen, og imødekomme de specifikke krav i lovgivningen eller regulatoriske krav, herunder passende responstider.
Anmodninger kan omfatte:
Organisationer har lovligt lov til at opkræve et håndteringsgebyr, men dette gælder normalt kun for gentagne eller overdrevne anmodninger om data.
GDPR artikel | ISO 27701 klausul | ISO 27701 understøttende klausuler |
---|---|---|
EU GDPR artikel 12 (2) | ISO 27701 7.3.1 | Ingen |
EU GDPR artikel 12 (1), (7) | ISO 27701 7.3.3 | ISO 27701 7.3.2 |
EU GDPR artikel 12 (3), (4), (5), (6) | ISO 27701 7.3.9 | Ingen |
ROPA gjort let
Vi gør datakortlægning til en simpel opgave. Det er nemt at registrere og gennemgå det hele ved at tilføje din organisations detaljer til vores forudkonfigurerede dynamiske værktøj til registreringer af behandlingsaktivitet.
Vurderingsskabeloner
Vi leverer brugervenlige skabeloner til registrering af privatliv og legitime interessevurderinger.
En sikker plads til DRR
Du skal vise, hvor godt du administrerer anmodninger om datasubjektrettigheder (DRR). Vores sikre DRR-plads holder det hele ét sted og understøtter det med automatisk rapportering og indsigt.
Håndtering af brud
Hvis det værste sker, er du klar. Vi gør det nemt at planlægge og kommunikere dit brud-workflow og dokumentere og lære af hver hændelse.
Find ud af mere ved booking af en demo.
Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo
Vi kan ikke komme i tanke om nogen virksomhed, hvis service kan holde et lys til ISMS.online.