Forståelse af GDPR Artikel 13 Overholdelse: Din guide til gennemsigtig databehandling
GDPR Artikel 13 omhandler den ofte omfattende mængde information, der skal gives til registrerede, af registeransvarlige, både på indsamlingsstedet og under hele behandlingen.
GDPR Artikel 13 Lovtekst
EU GDPR-version
Oplysninger, der skal gives, hvor personoplysninger indsamles fra den registrerede
- Hvor personoplysninger vedrørende en registreret indsamles fra den registrerede, skal den dataansvarlige på det tidspunkt, hvor personoplysninger indhentes, give den registrerede alle følgende oplysninger:
- Den registeransvarliges identitet og kontaktoplysninger og, hvor det er relevant, for den registeransvarliges repræsentant;
- Kontaktoplysningerne for den databeskyttelsesansvarlige, hvor det er relevant;
- Formålene med den behandling, som personoplysningerne er beregnet til, samt det juridiske grundlag for behandlingen;
- Hvis behandlingen er baseret på artikel 6, stk. 1, litra f), de legitime interesser, der forfølges af den registeransvarlige eller af en tredjepart;
- Eventuelle modtagere eller kategorier af modtagere af de personlige data;
- Hvor det er relevant, det forhold, at den registeransvarlige har til hensigt at overføre personoplysninger til et tredjeland eller en international organisation, og eksistensen eller fraværet af en tilstrækkelighedsbeslutning fra Kommissionen, eller i tilfælde af overførsler som omhandlet i artikel 46 eller 47, eller den anden 49, afsnit, henvisning til passende eller passende sikkerhedsforanstaltninger og midlerne til at opnå en kopi af dem, eller hvor de er blevet gjort tilgængelige.
- Ud over de oplysninger, der er nævnt i stk. 1, skal den dataansvarlige på det tidspunkt, hvor personoplysninger indhentes, give den registrerede følgende yderligere oplysninger, der er nødvendige for at sikre retfærdig og gennemsigtig behandling:
- Den periode, i hvilken personoplysningerne vil blive opbevaret, eller hvis det ikke er muligt, de kriterier, der er brugt til at bestemme denne periode;
- Eksistensen af retten til at anmode den dataansvarlige om adgang til og berigtigelse eller sletning af personoplysninger eller begrænsning af behandling vedrørende den registrerede eller til at gøre indsigelse mod behandling samt retten til dataportabilitet;
- Hvor behandlingen er baseret på artikel 6, stk. 1, litra a), eller artikel 9, stk. 2, litra a), eksisterer retten til at trække samtykke tilbage til enhver tid, uden at det påvirker lovligheden af behandling baseret på samtykke før dets tilbagetrækning;
- Retten til at indgive en klage til en tilsynsmyndighed;
- Hvorvidt levering af personoplysninger er et lovbestemt eller kontraktmæssigt krav, eller et krav, der er nødvendigt for at indgå en kontrakt, samt om den registrerede er forpligtet til at udlevere personoplysningerne og om de mulige konsekvenser af manglende levering af sådanne data;
- Eksistensen af automatiseret beslutningstagning, herunder profilering, som omhandlet i artikel 22, stk. 1 og 4, og, i det mindste i disse tilfælde, meningsfuld information om den involverede logik, såvel som betydningen og de forventede konsekvenser af en sådan behandling for den registrerede.
- Hvis den dataansvarlige har til hensigt at behandle personoplysningerne yderligere til et andet formål end det, som personoplysningerne blev indsamlet til, skal den dataansvarlige forud for den videre behandling give den registrerede oplysninger om dette andet formål og alle relevante yderligere oplysninger som nævnt. til i stk.
- 1, 2 og 3 finder ikke anvendelse, hvor og i det omfang den registrerede allerede har oplysningerne.
ISO 27001 gjort nemt
Et forspring på 81% fra dag ét
Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på. Alt du skal gøre er at udfylde de tomme felter.
UK GDPR-version
Artikel 13: Oplysninger, der skal gives, når personoplysninger indsamles fra den registrerede
- Hvor personoplysninger vedrørende en registreret indsamles fra den registrerede, skal den dataansvarlige på det tidspunkt, hvor personoplysninger indhentes, give den registrerede alle følgende oplysninger:
- Den registeransvarliges identitet og kontaktoplysninger og, hvor det er relevant, for den registeransvarliges repræsentant;
- Kontaktoplysningerne for den databeskyttelsesansvarlige, hvor det er relevant;
- Formålene med den behandling, som personoplysningerne er beregnet til, samt det juridiske grundlag for behandlingen;
- Hvis behandlingen er baseret på artikel 6, stk. 1, litra f), de legitime interesser, der forfølges af den registeransvarlige eller af en tredjepart;
- Eventuelle modtagere eller kategorier af modtagere af de personlige data;
- Hvor det er relevant, den kendsgerning, at den dataansvarlige har til hensigt at overføre personoplysninger til et tredjeland eller en international organisation, og eksistensen eller fraværet af relevante tilstrækkelighedsregler i henhold til paragraf 17A i 2018-loven, eller i tilfælde af overførsler omhandlet i artikel 46 eller 47 eller artikel 49, stk. 1, andet afsnit, henvisning til passende eller passende sikkerhedsforanstaltninger og midlerne til at opnå en kopi af dem, eller hvor de er blevet gjort tilgængelige.
- Ud over de oplysninger, der er nævnt i stk. 1, skal den dataansvarlige på det tidspunkt, hvor personoplysninger indhentes, give den registrerede følgende yderligere oplysninger, der er nødvendige for at sikre retfærdig og gennemsigtig behandling:
- Den periode, i hvilken personoplysningerne vil blive opbevaret, eller hvis det ikke er muligt, de kriterier, der er brugt til at bestemme denne periode;
- Eksistensen af retten til at anmode den dataansvarlige om adgang til og berigtigelse eller sletning af personoplysninger eller begrænsning af behandling vedrørende den registrerede eller til at gøre indsigelse mod behandling samt retten til dataportabilitet;
- Hvor behandlingen er baseret på artikel 6, stk. 1, litra a), eller artikel 9, stk. 2, litra a), eksisterer retten til at trække samtykke tilbage til enhver tid, uden at det påvirker lovligheden af behandling baseret på samtykke før dets tilbagetrækning;
- Retten til at indgive en klage til kommissæren;
- Hvorvidt levering af personoplysninger er et lovbestemt eller kontraktmæssigt krav, eller et krav, der er nødvendigt for at indgå en kontrakt, samt om den registrerede er forpligtet til at udlevere personoplysningerne og om de mulige konsekvenser af manglende levering af sådanne data;
- Eksistensen af automatiseret beslutningstagning, herunder profilering, som omhandlet i artikel 22, stk. 1 og 4, og, i det mindste i disse tilfælde, meningsfuld information om den involverede logik, såvel som betydningen og de forventede konsekvenser af en sådan behandling for den registrerede.
- Hvis den dataansvarlige har til hensigt at behandle personoplysningerne yderligere til et andet formål end det, som personoplysningerne blev indsamlet til, skal den dataansvarlige forud for den videre behandling give den registrerede oplysninger om dette andet formål og alle relevante yderligere oplysninger som nævnt. til i stk.
- 1, 2 og 3 finder ikke anvendelse, hvor og i det omfang den registrerede allerede har oplysningerne.
Teknisk kommentar
Organisationer skal stille følgende oplysninger til rådighed på indsamlingsstedet, hvor det er relevant (f.eks. internationale overførsler):
- Identiteten på deres databeskyttelsesansvarlige.
- Kontaktoplysninger på deres databeskyttelsesansvarlige.
- Formålet og det juridiske grundlag for indsamling af data.
- Eventuelle legitime interesser.
- Modtagernes identitet.
- Internationale overførsler af data, herunder landeoplysninger og sikkerhedsforanstaltninger.
Forpligtelser til at give oplysninger, når persondata er indhentet
I overensstemmelse med vejledningen i artikel 13 skal organisationer også give følgende oplysninger:
- Detaljer om dataopbevaringsperioden.
- Specifikt for den registreredes rettigheder i henhold til databeskyttelsesloven.
- Oplysninger om, hvordan du trækker samtykke tilbage.
- Sådan indgiver du en klage.
- Kilden til de data, der er opnået.
- Eventuelle kontraktmæssige eller lovbestemte krav.
- Detaljer om automatiserede beslutningsprocesser.
EU GDPR artikel 13 (1)(a), (1)(b), (1)(c), (1)(d), (1)(e), (1)(f), (2)( c), (2)(d), (2)(e), (3), (4) og ISO 27701, paragraf 7.3.2
Fastlæggelse af oplysninger til PII Principals
Organisationer bør skitsere et detaljeret sæt krav, der styrer, hvordan og hvornår oplysninger skal gives til PII-princippere.
Som eksempler kan nævnes:
- Det underliggende formål med de data, der indsamles og behandles.
- Kontaktoplysninger.
- Hvordan og hvor PII blev opnået.
- Kontraktmæssige og/eller lovbestemte krav.
- Hvordan samtykke kan fjernes.
- PII-overførsler.
- Sådan logger du en klage.
- Hvordan organisationen træffer beslutninger om behandlingen af PII.
- Opbevaringsperioder for oplysninger.
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
EU GDPR artikel 13 (3) og ISO 27701 paragraf 7.3.3
Oplysninger til PII Principals
Al information bør gives fejlfrit og i et sprog, der er let forståeligt (f.eks. mangler jargon, ikke overdrevent teknisk) af de personer, der har evnen til at læse dem (se ISO 27702 paragraf 7.3.2).
Understøtter ISO 27701 klausuler
- ISO 27701 7.3.2
EU GDPR artikel 13 (2)(c) og ISO 27701 paragraf 7.3.4
Tilvejebringelse af mekanisme til at ændre eller trække samtykke tilbage
Der bør tilvejebringes mekanismer, der imødekommer rettighederne for enhver PII-rektor, der søger at trække sit samtykke tilbage.
Kommunikationskanaler bør afspejle dem, der blev brugt af organisationen til indledningsvis at indsamle dataene, og PII-principper bør være i stand til at begrænse den registeransvarlige i at udføre visse handlinger.
Organisationer bør forpligte sig til en offentliggjort responstid for enhver ændring eller tilbagetrækning af samtykkeanmodninger, og alle sådanne anmodninger bør dokumenteres grundigt.
EU GDPR artikel 13 (2)(b) og ISO 27701 paragraf 7.3.5
Tilvejebringelse af mekanisme til at gøre indsigelse mod PII-behandling
Lokale og nationale love varierer mellem jurisdiktioner, men som helhed bør PII-princippere bevare muligheden for at gøre indsigelse mod, hvordan deres data er blevet opbevaret, behandlet eller overført.
Organisationer bør:
- Dokumenter eventuelle juridiske eller regulatoriske krav, der er relateret til eventuelle indsigelser fremsat af PII-princippere.
- Giv de registrerede oplysninger om, hvordan de kan gøre indsigelse.
EU GDPR artikel 13 (2)(b) og ISO 27701 paragraf 7.3.6
Adgang, rettelse og/eller sletning
Organisationer bør dokumentere procedurer, der tillader registrerede at udføre tre grundlæggende funktioner:
- Adgang deres data.
- Korrekt deres data.
- Slette deres data.
Organisationer bør forpligte sig til en offentliggjort responstid for alle anmodninger om adgang, rettelser eller sletning og give en begrundelse for, hvorfor rettelser ikke kan udføres, hvor det er relevant.
Hvis PII er blevet overført til en tredjepart, er organisationer forpligtet til at videresende enhver anmodning til dem og bekræfte bekræftelse (se ISO 27701 paragraf 7.3.7).
Afhængigt af jurisdiktionen kan forskellige regionale og nationale regler gælde. Som sådan bør organisationer bevare en grundig forståelse af alle love eller regler, der gælder for adgang til, rettelse af eller sletning af PII.
Understøtter ISO 27701 klausuler
- ISO 27701 7.3.7
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
EU GDPR artikel 13 (2)(f) og ISO 27701 paragraf 7.3.10
Automatiseret beslutningstagning
Organisationer bør imødekomme alle juridiske forpligtelser over for PII-princippere, der er relateret til den automatiske behandling af PII.
Organisationer bør tage højde for jurisdiktionsvariationer i automatiseret beslutningstagning vedrørende PII – mere specifikt, at tillade PII-principper at gøre indsigelse og anmode om menneskelig indgriben i stedet for automatiserede procedurer.
EU GDPR artikel 13 (2)(a) og ISO 27701 paragraf 7.4.7
Organisationer skal slette og/eller bortskaffe PII, som det ikke længere kræver eller ikke længere opfylder et specifikt formål.
Organisationer bør arbejde med opbevaringsplaner, der angiver den nøjagtige periode, som PII opbevares i, herunder overholdelse af eventuelle lovmæssige, lovmæssige eller kontraktmæssige krav.
Understøttende kontroller fra ISO 27701
| GDPR artikel | ISO 27701 klausul | ISO 27701 understøttende klausuler |
|---|---|---|
| Artikel 14, stk. 1, litra a), (1)(b), (1)(c), (1)(d), (1)(e), (1)(f),(2)(b) , (2)(e), (2)(f), (3)(a), (3)(b), (3)(c), (4), (5)(a), (5) (b), (5)(c) og (5)(d) | ISO 27701 7.3.2 | Ingen |
| Artikel (14)(2)(d) | ISO 27701 7.3.4 | Ingen |
| Artikel (14)(2)(c) | ISO 27701 7.3.5 | Ingen |
| Artikel (14)(2)(c) | ISO 27701 7.3.6 | ISO 27701 7.3.7 |
| Artikel (14)(2)(g) | ISO 27701 7.3.10 | Ingen |
| Artikel (14)(2)(a) | ISO 27701 7.4.7 | Ingen |
Hvordan ISMS.online hjælper
ROPA gjort let
Vores PIMS-løsning gør datakortlægning til en enkel opgave. Det er nemt at registrere og gennemgå det hele ved at tilføje din organisations detaljer til vores forudkonfigurerede dynamiske værktøj til registreringer af behandlingsaktivitet.
Indbygget risikobank
Risikostyring er nøglen til en vellykket PIMS. Det er derfor, vi har skabt en indbygget risikobank og en række andre praktiske værktøjer, der vil hjælpe med alle dele af risikovurderingen og styringsprocessen.
Sikker plads til DRR
Uanset hvilke privatlivsstandarder eller reguleringer, du arbejder på, skal du vise, hvor godt du administrerer anmodninger om datasubjektrettigheder (DRR). Vores sikre DRR-plads holder det hele ét sted og understøtter det med automatisk rapportering og indsigt.
Find ud af mere ved booking af en demo.
