GDPR Artikel 22 omhandler et begreb kaldet "dataprofilering" - i det væsentlige en metode, der bruges til at profilere en persons personlighed Alene gennem automatiseret dataanalyse, der har mulighed for at påvirke dem juridisk eller økonomisk (f.eks. kreditscoring og realkreditansøgninger).
I henhold til artikel 22 har enkeltpersoner ret til ikke at blive profileret på en sådan måde, medmindre det udtrykkeligt er aftalt i form af en kontrakt mellem forsøgspersonen og den organisation, der udfører profileringen.
Automatiseret individuel beslutningstagning, herunder profilering
Automatiseret individuel beslutningstagning, herunder profilering
Generelt er artikel 22 ikke relevant, hvis beslutninger berører flere registrerede personer eller grupper af individer forbundet med bestemte variabler – f.eks. alder, køn, placering.
I stedet fokuserer loven på den enkeltes – altså én persons – rettigheder til ikke at blive underlagt profilering uden dennes samtykke.
På trods af at det er det primære emne, er beslutninger noget af en gråzone. Loven er uklar med hensyn til, hvad der er en afgørelse. Disse kan spænde fra en beslutning fra en statslig myndighed eller noget, der er lettere genkendeligt, såsom en kreditvurdering eller handlinger, der er truffet på en realkreditansøgning.
For at gøre tingene endnu mere vage, kan beslutninger også udgøre en holdning eller mening til en registreret, baseret på deres data, men kun hvis der er sandsynlighed for, at der bliver handlet på det.
En 'retlig virkning' er en bindende handling, der træffes over for en person. Afgørelser er scenarier som f.eks. et ydelseskrav, en selvangivelse eller en sundhedsvurdering.
Selvom nogle eller alle disse måske ikke specifikt ændrer en persons grundlæggende juridiske status, kan de stadig have en dybtgående indvirkning på denne persons liv, herunder:
I dette afsnit taler vi om GDPR artikel 22(2)(a), 22(2)(b), 22(2)(c), 22(4)
For at danne et retsgrundlag for behandling af PII bør organisationer dokumentere deres handlinger og:
Organisationer skal også overveje eventuelle "særlige kategorier" af PII, der vedrører deres organisation, i deres dataklassifikationsskema (se ISO 27701, punkt 7.2.8) (klassifikationer kan variere fra region til region).
Hvis organisationer oplever ændringer i deres underliggende årsager til at behandle PII, bør dette straks afspejles i deres dokumenterede retsgrundlag.
I dette afsnit taler vi om GDPR artikel 22 (1) og 22 (3)
Organisationer bør tage højde for jurisdiktionsvariationer i automatiseret beslutningstagning vedrørende PII.
Organisationer bør respektere et individs ret til at gøre indsigelse og anmode om menneskelig indgriben i stedet for automatiserede procedurer.
GDPR artikel | ISO 27701 klausul | ISO 27701 understøttende klausuler |
---|---|---|
EU GDPR artikel 22 (2)(a), 22(2)(b), 22(2)(c), 22(4) | ISO 27701 7.2.2 | ISO 27701 7.2.8 |
EU GDPR artikel 22 (1) og 22 (3) | ISO 27701 7.3.10 | Ingen |
Ved at tilføje en PIMS til din ISMS på ISMS.online platformen forbliver din sikkerhedsposition alt-på-et-sted, og du undgår duplikering, hvor standarderne overlapper hinanden.
Med dit PIMS øjeblikkeligt tilgængeligt for interesserede parter, har det aldrig været nemmere at overvåge, rapportere og revidere i forhold til både ISO 27701 og ISO 27001 med et klik på en knap.
Find ud af, hvor meget tid og penge du vil spare på din rejse til en kombineret ISO 27701- og ISO 27001-certificering ved hjælp af ISMS.online af booking af en demo.
Vi er omkostningseffektive og hurtige