Forståelse af GDPR Artikel 20: Retten til dataportabilitet
GDPR Artikel 20 omhandler en registrerets ret til at modtage en kopi af deres data, så snart de er blevet indsamlet, og under hele behandlingen.
Når de leverer data til emnet, skal organisationer sikre, at de er let tilgængelige, i et fælles format og fri for fejl.
GDPR Artikel 20 Lovtekst
EU GDPR-version
Ret til dataportabilitet
- Den registrerede har ret til at modtage de personoplysninger om ham eller hende, som han eller hun har givet til en dataansvarlig, i et struktureret, almindeligt anvendt og maskinlæsbart format og har ret til at overføre disse data til en anden dataansvarlig uden hindring fra den dataansvarlige, som personoplysningerne er givet til, hvor:
- behandlingen er baseret på samtykke i henhold til artikel 6, stk. 1, litra a), eller artikel 9, stk. 2, litra a), eller på en kontrakt i henhold til artikel 6, stk. 1, litra b). og
- behandlingen udføres på automatiserede måder.
- Når den registrerede udøver sin ret til dataportabilitet i henhold til stk. 1, har den registrerede ret til at få personoplysningerne overført direkte fra en dataansvarlig til en anden, hvor det er teknisk muligt.
- Udøvelsen af den ret, der er omhandlet i stk. 1 i denne artikel, berører ikke artikel 17. Denne ret gælder ikke for behandling, der er nødvendig for udførelsen af en opgave, der udføres i offentlighedens interesse eller under udøvelse af offentlig myndighed controlleren.
- Den i stk. 1 nævnte ret må ikke indvirke negativt på andres rettigheder og friheder.
UK GDPR-version
Ret til dataportabilitet
- Den registrerede har ret til at modtage de personoplysninger om ham eller hende, som han eller hun har givet til en dataansvarlig, i et struktureret, almindeligt anvendt og maskinlæsbart format og har ret til at overføre disse data til en anden dataansvarlig uden hindring fra den dataansvarlige, som personoplysningerne er givet til, hvor:
- behandlingen er baseret på samtykke i henhold til artikel 6, stk. 1, litra a), eller artikel 9, stk. 2, litra a), eller på en kontrakt i henhold til artikel 6, stk. 1, litra b). og
- behandlingen udføres på automatiserede måder.
- Når den registrerede udøver sin ret til dataportabilitet i henhold til stk. 1, har den registrerede ret til at få personoplysningerne overført direkte fra en dataansvarlig til en anden, hvor det er teknisk muligt.
- Udøvelsen af den ret, der er omhandlet i stk. 1 i denne artikel, berører ikke artikel 17. Denne ret gælder ikke for behandling, der er nødvendig for udførelsen af en opgave, der udføres i offentlighedens interesse eller under udøvelse af offentlig myndighed controlleren.
- Den i stk. 1 nævnte ret må ikke indvirke negativt på andres rettigheder og friheder.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Teknisk kommentar
Der er fire nøglerettigheder at overveje, når man diskuterer begrebet dataportabilitet:
- en registrerets underliggende ret til "dataportabilitet";
- en registrerets ret til at få personoplysninger overført direkte til en anden dataansvarlig;
- retten til sletning
- tredjemands (dvs. andre registrerede) rettigheder og friheder, når de overvejer overførsel af data.
ISO 27701 paragraf 7.3.8 og EU GDPR artikel 20
I dette afsnit taler vi om GDPR artikel 20 (1), 20 (2), 20 (3) og 20 (4)
Levering af en kopi af PII
ISO kræver, at organisationer leverer en kopi af en persons data i et let tilgængeligt format, der er klart, fejlfrit og kun vedrører den person, der har fremsat anmodningen.
Hvis data er blevet afidentificeret, bør organisationer ikke forsøg på at genidentificere PII, medmindre det er lovligt forpligtet til at gøre det.
Organisationer bør også overholde deres ansvar med hensyn til direkte overførsel af PII til en anden organisation.
Indeks over linkede EU GDPR-artikler og ISO 27701-klausuler
| GDPR artikel | ISO 27701 klausul | ISO 27701 understøttende klausuler |
|---|---|---|
| EU GDPR artikel 20 (1) til 20 (4) | ISO 27701 7.3.8 | Ingen |
Hvordan ISMS.online hjælper
Vi har fået dig dækket
Selvom GDPR er en selvstændig regulering, som du kan blive certificeret til uafhængigt, er der stor fordel ved at tage en komplementær tilgang sammen med andre vigtige ISO-standarder.
For eksempel giver ISO 27001 som risikostyringsstandard omfattende kontroller omkring beskyttelse af informationsaktiver, mens ISO 27701 giver det samme, men med et specifikt fokus på databeskyttelse. At nærme sig GDPR sammen med en eller begge af disse standarder vil give dig og dine kunder maksimal sikkerhed.
Vores intuitive platform gør det nemt at arbejde hen imod flere informationssikkerheds- og databeskyttelsesmål, kortlægge dit arbejde på tværs af flere standarder og rammer, skære duplikering og gentagelse ud, hvor de krydser hinanden.
Når du med succes har opnået ISO 27001, ISO 27701 eller GDPR-certificering, er du i en fremragende position til at udvide din holdning til databeskyttelse til at omfatte en af vores andre regionale databeskyttelsesrammer:
- POPIA
- BS 10012
- Australske privatlivsprincipper
- NIST Privacy Framework
- OECD retningslinjer for privatliv
- APEC Privacy Framework
- Og mere
Find ud af mere ved Bestilling af en praktisk demo.
