Sådan demonstrerer du overholdelse af GDPR artikel 14

UK GDPR-version

Oplysninger, der skal gives, hvor personoplysninger ikke er indhentet fra den registrerede

1. Hvis der ikke er indhentet personoplysninger fra den registrerede, skal den dataansvarlige give den registrerede følgende oplysninger:
• Den registeransvarliges identitet og kontaktoplysninger og, hvor det er relevant, for den registeransvarliges repræsentant;
• Kontaktoplysningerne for den databeskyttelsesansvarlige, hvor det er relevant;
• Formålene med den behandling, som personoplysningerne er beregnet til, samt det juridiske grundlag for behandlingen;
• De pågældende kategorier af personoplysninger;
• Eventuelle modtagere eller kategorier af modtagere af de personlige data;
• Hvor det er relevant, at den registeransvarlige har til hensigt at overføre personoplysninger til en modtager i et tredjeland eller en international organisation, og eksistensen eller fraværet af relevante tilstrækkelighedsregler i henhold til § 17A i 2018-loven, eller i tilfælde af overførsler som omhandlet i artikel 46 eller 47, eller artikel 49, stk. 1, andet afsnit, henvisning til passende eller passende sikkerhedsforanstaltninger og midlerne til at få en kopi af dem, eller hvor de er blevet gjort tilgængelige.
2. Ud over de oplysninger, der er nævnt i stk. 1, skal den registeransvarlige give den registrerede følgende oplysninger, der er nødvendige for at sikre en retfærdig og gennemsigtig behandling af den registrerede:
• Den periode, hvori de personlige data vil blive opbevaret, eller hvis det ikke er muligt, de kriterier, der er brugt til at bestemme denne periode;
• Hvis behandlingen er baseret på artikel 6, stk. 1, litra f), de legitime interesser, der forfølges af den registeransvarlige eller af en tredjepart;
• Eksistensen af ​​retten til at anmode den dataansvarlige om adgang til og berigtigelse eller sletning af personoplysninger eller begrænsning af behandling vedrørende den registrerede og til at gøre indsigelse mod behandling samt retten til dataportabilitet;
• Hvor behandlingen er baseret på litra a) i artikel 6, stk. 1, eller litra a), i artikel 9, stk. tilbagetrækning;
• Retten til at indgive en klage til kommissæren;
• Fra hvilken kilde de personlige data stammer, og hvis det er relevant, om de kom fra offentligt tilgængelige kilder;
• Eksistensen af ​​automatiseret beslutningstagning, herunder profilering, som omhandlet i artikel 22, stk. 1 og 4, og, i det mindste i disse tilfælde, meningsfuld information om den involverede logik, såvel som betydningen og de forventede konsekvenser af en sådan behandling for den registrerede.
3. Den registeransvarlige skal give de oplysninger, der er omhandlet i stk. 1 og 2:
• Inden for en rimelig frist efter indhentning af personoplysningerne, dog senest inden for en måned, under hensyntagen til de konkrete omstændigheder, hvorunder personoplysningerne behandles;
• Hvis personoplysningerne skal bruges til kommunikation med den registrerede, senest på tidspunktet for den første kommunikation til den registrerede; eller
• Hvis der påtænkes videregivelse til en anden modtager, senest når personoplysningerne først videregives.
4. Hvis den dataansvarlige har til hensigt at behandle personoplysningerne yderligere til et andet formål end det, til hvilket personoplysningerne er indhentet, skal den dataansvarlige forud for den videre behandling give den registrerede oplysninger om dette andet formål og alle relevante yderligere oplysninger som nævnt. til i stk.
5. 1-4 finder ikke anvendelse, hvor og i det omfang:
• Den registrerede har allerede oplysningerne;
• Tilvejebringelse af sådanne oplysninger viser sig umuligt eller vil medføre en uforholdsmæssig stor indsats, navnlig til behandling til arkiveringsformål i almen interesse, videnskabelige eller historiske forskningsformål eller statistiske formål, med forbehold af de betingelser og garantier, der er nævnt i artikel 89, stk. i det omfang den forpligtelse, der er omhandlet i stk. 1 i denne artikel, er egnet til at umuliggøre eller alvorligt forringe opnåelsen af ​​formålene med denne behandling. I sådanne tilfælde skal den dataansvarlige træffe passende foranstaltninger for at beskytte den registreredes rettigheder og friheder og legitime interesser, herunder at gøre oplysningerne offentligt tilgængelige;
• Indhentning eller videregivelse er udtrykkeligt fastsat i national lovgivning, som giver passende foranstaltninger til at beskytte den registreredes legitime interesser; eller
• Hvor personoplysningerne skal forblive fortrolige underlagt en tavshedspligt reguleret af national lovgivning, herunder en lovbestemt tavshedspligt.

Teknisk kommentar

Organisationer skal gøre følgende oplysninger tilgængelige efter indsamling af emnets data:

1. Identiteten på deres databeskyttelsesansvarlige.
2. Kontaktoplysninger på deres databeskyttelsesansvarlige.
3. Formålet og det juridiske grundlag for indsamling af data.
4. De kategorier af personoplysninger, der er blevet indirekte indhentet.
5. Eventuelle legitime interesser.
6. Modtagernes identitet.
7. Internationale overførsler af data, herunder landeoplysninger og sikkerhedsforanstaltninger.

Forpligtelser til at give oplysninger, når persondata er indhentet

Ud over ovenstående oplysninger skal organisationen også levere:

1. Detaljer om dataopbevaringsperioden;
2. De nærmere specifikationer for den registreredes rettigheder i henhold til databeskyttelsesloven;
3. Oplysninger om, hvordan du trækker samtykke tilbage;
4. Hvordan man indgiver en klage;
5. Eventuelle kontraktmæssige eller lovbestemte krav;
6. Detaljer om automatiserede beslutningsprocesser.

Tidsgrænser for, hvilke oplysninger om behandling der skal gives

• Scenario 1 – Personlige data indsamlet med ingen hensigt at kontakte den registrerede eller videregive oplysningerne til en tredjepart
• Tidsgrænse for kontakt – En måned
• Scenario 2 – Personlige data indsamlet med en hensigt at kontakte den registrerede
• Tidsfrist for kontakt – To måneder
• Personlige data indsamlet med en hensigt at videregive dem til en tredjepart
• Tidsfrist for kontakt – To måneder

EU GDPR artikel 14 og ISO 27701 paragraf 7.3.2

Dette afsnit henviser til GDPR artikel 14 (1)(a), 14(1)(b), 14(1)(c), 14(1)(d), 14(1)(e), 14(1)( f), 14(2)(b), 14(2)(e), 14(2)(f), 14(3)(a), 14(3)(b), 14(3)(c) , 14 (4), 14 (5)(a), 14 (5)(b), 14 (5)(c), 14 (5)(d)

Se ISO 27701 paragraf 7.3.2 vejledning i artikel 13.

EU GDPR artikel 14 (2)(d) og ISO 27701 paragraf 7.3.4

Se ISO 27701 paragraf 7.3.4 vejledning i artikel 13.

EU GDPR artikel 14 (2)(c) og ISO 27701 paragraf 7.3.5

Se ISO 27701 paragraf 7.3.5 vejledning i artikel 13.

EU GDPR artikel 14 (2)(c) og ISO 27701 paragraf 7.3.6

Se ISO 27701 paragraf 7.3.6 vejledning i artikel 13.

EU GDPR artikel 14 (2)(g) og ISO 27701 paragraf 7.3.10

Se ISO 27701 paragraf 7.3.10 vejledning i artikel 13.

EU GDPR artikel 14 (2)(a) og ISO 27701 paragraf 7.4.7

Se ISO 27701 paragraf 7.4.7 vejledning i artikel 13.

Understøttende kontroller fra ISO 27701

Hvordan ISMS.online hjælper

Vi leverer et miljø, der er forudbygget til dig til at beskrive og demonstrere din tilgang til beskyttelse af dine europæiske og britiske kundedata, som passer problemfrit ind i dit ledelsessystem.

Det er derfor, vi har skabt en indbygget risikobank og en række andre praktiske værktøjer, der vil hjælpe med alle dele af risikovurderingen og styringsprocessen. Uanset hvilke privatlivsstandarder eller reguleringer, du arbejder på, skal du vise, hvor godt du administrerer anmodninger om datasubjektrettigheder (DRR). Vores sikre DRR-plads holder det hele ét sted og understøtter det med automatisk rapportering og indsigt.

Find ud af mere ved booking af en 30 minutters demo.