Sådan demonstrerer du overholdelse af GDPR artikel 13

UK GDPR-version

Artikel 13: Oplysninger, der skal gives, når personoplysninger indsamles fra den registrerede

1. Hvor personoplysninger vedrørende en registreret indsamles fra den registrerede, skal den dataansvarlige på det tidspunkt, hvor personoplysninger indhentes, give den registrerede alle følgende oplysninger:
• Den registeransvarliges identitet og kontaktoplysninger og, hvor det er relevant, for den registeransvarliges repræsentant;
• Kontaktoplysningerne for den databeskyttelsesansvarlige, hvor det er relevant;
• Formålene med den behandling, som personoplysningerne er beregnet til, samt det juridiske grundlag for behandlingen;
• Hvis behandlingen er baseret på artikel 6, stk. 1, litra f), de legitime interesser, der forfølges af den registeransvarlige eller af en tredjepart;
• Eventuelle modtagere eller kategorier af modtagere af de personlige data;
• Hvor det er relevant, den kendsgerning, at den dataansvarlige har til hensigt at overføre personoplysninger til et tredjeland eller en international organisation, og eksistensen eller fraværet af relevante tilstrækkelighedsregler i henhold til paragraf 17A i 2018-loven, eller i tilfælde af overførsler omhandlet i artikel 46 eller 47 eller artikel 49, stk. 1, andet afsnit, henvisning til passende eller passende sikkerhedsforanstaltninger og midlerne til at opnå en kopi af dem, eller hvor de er blevet gjort tilgængelige.
2. Ud over de oplysninger, der er nævnt i stk. 1, skal den dataansvarlige på det tidspunkt, hvor personoplysninger indhentes, give den registrerede følgende yderligere oplysninger, der er nødvendige for at sikre retfærdig og gennemsigtig behandling:
• Den periode, i hvilken personoplysningerne vil blive opbevaret, eller hvis det ikke er muligt, de kriterier, der er brugt til at bestemme denne periode;
• Eksistensen af ​​retten til at anmode den dataansvarlige om adgang til og berigtigelse eller sletning af personoplysninger eller begrænsning af behandling vedrørende den registrerede eller til at gøre indsigelse mod behandling samt retten til dataportabilitet;
• Hvor behandlingen er baseret på artikel 6, stk. 1, litra a), eller artikel 9, stk. 2, litra a), eksisterer retten til at trække samtykke tilbage til enhver tid, uden at det påvirker lovligheden af ​​behandling baseret på samtykke før dets tilbagetrækning;
• Retten til at indgive en klage til kommissæren;
• Hvorvidt levering af personoplysninger er et lovbestemt eller kontraktmæssigt krav, eller et krav, der er nødvendigt for at indgå en kontrakt, samt om den registrerede er forpligtet til at udlevere personoplysningerne og om de mulige konsekvenser af manglende levering af sådanne data;
• Eksistensen af ​​automatiseret beslutningstagning, herunder profilering, som omhandlet i artikel 22, stk. 1 og 4, og, i det mindste i disse tilfælde, meningsfuld information om den involverede logik, såvel som betydningen og de forventede konsekvenser af en sådan behandling for den registrerede.
3. Hvis den dataansvarlige har til hensigt at behandle personoplysningerne yderligere til et andet formål end det, som personoplysningerne blev indsamlet til, skal den dataansvarlige forud for den videre behandling give den registrerede oplysninger om dette andet formål og alle relevante yderligere oplysninger som nævnt. til i stk.
4. 1, 2 og 3 finder ikke anvendelse, hvor og i det omfang den registrerede allerede har oplysningerne.

Teknisk kommentar

Organisationer skal stille følgende oplysninger til rådighed på indsamlingsstedet, hvor det er relevant (f.eks. internationale overførsler):

1. Identiteten på deres databeskyttelsesansvarlige.
2. Kontaktoplysninger på deres databeskyttelsesansvarlige.
3. Formålet og det juridiske grundlag for indsamling af data.
4. Eventuelle legitime interesser.
5. Modtagernes identitet.
6. Internationale overførsler af data, herunder landeoplysninger og sikkerhedsforanstaltninger.

Forpligtelser til at give oplysninger, når persondata er indhentet

I overensstemmelse med vejledningen i artikel 13 skal organisationer også give følgende oplysninger:

• Detaljer om dataopbevaringsperioden.
• Specifikt for den registreredes rettigheder i henhold til databeskyttelsesloven.
• Oplysninger om, hvordan du trækker samtykke tilbage.
• Sådan indgiver du en klage.
• Kilden til de data, der er opnået.
• Eventuelle kontraktmæssige eller lovbestemte krav.
• Detaljer om automatiserede beslutningsprocesser.

EU GDPR artikel 13 (1)(a), (1)(b), (1)(c), (1)(d), (1)(e), (1)(f), (2)( c), (2)(d), (2)(e), (3), (4) og ISO 27701, paragraf 7.3.2

Fastlæggelse af oplysninger til PII Principals

Organisationer bør skitsere et detaljeret sæt krav, der styrer, hvordan og hvornår oplysninger skal gives til PII-princippere.

Som eksempler kan nævnes:

• Det underliggende formål med de data, der indsamles og behandles.
• Kontaktoplysninger.
• Hvordan og hvor PII blev opnået.
• Kontraktmæssige og/eller lovbestemte krav.
• Hvordan samtykke kan fjernes.
• PII-overførsler.
• Sådan logger du en klage.
• Hvordan organisationen træffer beslutninger om behandlingen af ​​PII.
• Opbevaringsperioder for oplysninger.

EU GDPR artikel 13 (3) og ISO 27701 paragraf 7.3.3

Oplysninger til PII Principals

Al information bør gives fejlfrit og i et sprog, der er let forståeligt (f.eks. mangler jargon, ikke overdrevent teknisk) af de personer, der har evnen til at læse dem (se ISO 27702 paragraf 7.3.2).

Understøtter ISO 27701 klausuler

• ISO 27701 7.3.2

EU GDPR artikel 13 (2)(c) og ISO 27701 paragraf 7.3.4

Tilvejebringelse af mekanisme til at ændre eller trække samtykke tilbage

Der bør tilvejebringes mekanismer, der imødekommer rettighederne for enhver PII-rektor, der søger at trække sit samtykke tilbage.

Kommunikationskanaler bør afspejle dem, der blev brugt af organisationen til indledningsvis at indsamle dataene, og PII-principper bør være i stand til at begrænse den registeransvarlige i at udføre visse handlinger.

Organisationer bør forpligte sig til en offentliggjort responstid for enhver ændring eller tilbagetrækning af samtykkeanmodninger, og alle sådanne anmodninger bør dokumenteres grundigt.

EU GDPR artikel 13 (2)(b) og ISO 27701 paragraf 7.3.5

Tilvejebringelse af mekanisme til at gøre indsigelse mod PII-behandling

Lokale og nationale love varierer mellem jurisdiktioner, men som helhed bør PII-princippere bevare muligheden for at gøre indsigelse mod, hvordan deres data er blevet opbevaret, behandlet eller overført.

Organisationer bør:

1. Dokumenter eventuelle juridiske eller regulatoriske krav, der er relateret til eventuelle indsigelser fremsat af PII-princippere.
2. Giv de registrerede oplysninger om, hvordan de kan gøre indsigelse.

EU GDPR artikel 13 (2)(b) og ISO 27701 paragraf 7.3.6

Adgang, rettelse og/eller sletning

Organisationer bør dokumentere procedurer, der tillader registrerede at udføre tre grundlæggende funktioner:

1. Adgang deres data.
2. Korrekt deres data.
3. Slette deres data.

Organisationer bør forpligte sig til en offentliggjort responstid for alle anmodninger om adgang, rettelser eller sletning og give en begrundelse for, hvorfor rettelser ikke kan udføres, hvor det er relevant.

Hvis PII er blevet overført til en tredjepart, er organisationer forpligtet til at videresende enhver anmodning til dem og bekræfte bekræftelse (se ISO 27701 paragraf 7.3.7).

Afhængigt af jurisdiktionen kan forskellige regionale og nationale regler gælde. Som sådan bør organisationer bevare en grundig forståelse af alle love eller regler, der gælder for adgang til, rettelse af eller sletning af PII.

Understøtter ISO 27701 klausuler

• ISO 27701 7.3.7

EU GDPR artikel 13 (2)(f) og ISO 27701 paragraf 7.3.10

Automatiseret beslutningstagning

Organisationer bør imødekomme alle juridiske forpligtelser over for PII-princippere, der er relateret til den automatiske behandling af PII.

Organisationer bør tage højde for jurisdiktionsvariationer i automatiseret beslutningstagning vedrørende PII – mere specifikt, at tillade PII-principper at gøre indsigelse og anmode om menneskelig indgriben i stedet for automatiserede procedurer.

EU GDPR artikel 13 (2)(a) og ISO 27701 paragraf 7.4.7

Organisationer skal slette og/eller bortskaffe PII, som det ikke længere kræver eller ikke længere opfylder et specifikt formål.

Organisationer bør arbejde med opbevaringsplaner, der angiver den nøjagtige periode, som PII opbevares i, herunder overholdelse af eventuelle lovmæssige, lovmæssige eller kontraktmæssige krav.

Understøttende kontroller fra ISO 27701

Hvordan ISMS.online hjælper

ROPA gjort let

Vores PIMS-løsning gør datakortlægning til en enkel opgave. Det er nemt at registrere og gennemgå det hele ved at tilføje din organisations detaljer til vores forudkonfigurerede dynamiske værktøj til registreringer af behandlingsaktivitet.

Indbygget risikobank

Risikostyring er nøglen til en vellykket PIMS. Det er derfor, vi har skabt en indbygget risikobank og en række andre praktiske værktøjer, der vil hjælpe med alle dele af risikovurderingen og styringsprocessen.

Sikker plads til DRR

Uanset hvilke privatlivsstandarder eller reguleringer, du arbejder på, skal du vise, hvor godt du administrerer anmodninger om datasubjektrettigheder (DRR). Vores sikre DRR-plads holder det hele ét sted og understøtter det med automatisk rapportering og indsigt.

Find ud af mere ved booking af en demo.