Sådan demonstrerer du overholdelse af GDPR artikel 22

GDPR Compliance Software

Book en demo

forretning,hold,møde.,foto,professionel,investor,arbejder,ny,start,up

GDPR Artikel 22 omhandler et begreb kaldet "dataprofilering" - i det væsentlige en metode, der bruges til at profilere en persons personlighed Alene gennem automatiseret dataanalyse, der har mulighed for at påvirke dem juridisk eller økonomisk (f.eks. kreditscoring og realkreditansøgninger).

I henhold til artikel 22 har enkeltpersoner ret til ikke at blive profileret på en sådan måde, medmindre det udtrykkeligt er aftalt i form af en kontrakt mellem forsøgspersonen og den organisation, der udfører profileringen.

GDPR Artikel 22 Lovtekst

EU GDPR-version

Automatiseret individuel beslutningstagning, herunder profilering

  1. Den registrerede har ret til ikke at blive underlagt en afgørelse, der udelukkende er baseret på automatiseret behandling, herunder profilering, som har retsvirkninger for ham eller hende eller tilsvarende påvirker ham eller hende væsentligt.

  2. 1 finder ikke anvendelse, hvis afgørelsen:

    • er nødvendig for at indgå eller opfylde en kontrakt mellem den registrerede og en dataansvarlig;

    • er godkendt af EU- eller medlemsstatslovgivningen, som den dataansvarlige er underlagt, og som også fastsætter passende foranstaltninger til at beskytte den registreredes rettigheder og friheder og legitime interesser eller

    • er baseret på den registreredes udtrykkelige samtykke.

  3. I de tilfælde, der er omhandlet i stk. 2, litra a) og c), skal den dataansvarlige gennemføre passende foranstaltninger til at beskytte den registreredes rettigheder og friheder og legitime interesser, i det mindste retten til at opnå menneskelig indgriben fra dens side. registeransvarlig for at give udtryk for sit synspunkt og at anfægte beslutningen.

  4. 2 omhandlede afgørelser må ikke baseres på særlige kategorier af personoplysninger som omhandlet i artikel 9, stk. 1, medmindre artikel 9, stk. 2, litra a) eller g), finder anvendelse, og passende foranstaltninger til at beskytte den registreredes rettigheder og friheder og legitime interesser er på plads.

UK GDPR-version

Automatiseret individuel beslutningstagning, herunder profilering

  1. Den registrerede har ret til ikke at blive underlagt en afgørelse, der udelukkende er baseret på automatiseret behandling, herunder profilering, som har retsvirkninger for ham eller hende eller tilsvarende påvirker ham eller hende væsentligt.

  2. 1 finder ikke anvendelse, hvis afgørelsen:

    • er nødvendig for at indgå eller opfylde en kontrakt mellem den registrerede og en dataansvarlig;

    • er påkrævet eller godkendt af national lovgivning, som også fastsætter passende foranstaltninger til at beskytte den registreredes rettigheder og friheder og legitime interesser; eller

    • er baseret på den registreredes udtrykkelige samtykke.

  3. I de tilfælde, der er omhandlet i stk. 2, litra a) og c), skal den dataansvarlige gennemføre passende foranstaltninger til at beskytte den registreredes rettigheder og friheder og legitime interesser, i det mindste retten til at opnå menneskelig indgriben fra dens side. registeransvarlig for at give udtryk for sit synspunkt og at anfægte beslutningen.

    • 3A. § 14 i loven fra 2018 og bestemmelser i henhold til denne paragraf indeholder bestemmelser om at beskytte de registreredes rettigheder, friheder og legitime interesser i sager, der falder ind under litra b) i stk. 2 (men ikke inden for litra a) eller c). i dette stykke).

  4. 4. Afgørelser som omhandlet i stk. 2 må ikke baseres på særlige kategorier af personoplysninger som omhandlet i artikel 9, stk. 1, medmindre artikel 9, stk. 2, litra a) eller g), finder anvendelse og passende foranstaltninger til at beskytte dataene. subjektets rettigheder og friheder og legitime interesser er på plads.
Gå til emne
Enkel. Sikker. Bæredygtig.

Se vores platform i aktion med en skræddersyet hands-on session baseret på dine behov og mål.

Book din demo
img

Teknisk kommentar

Anvendelsesområde

Generelt er artikel 22 ikke relevant, hvis beslutninger berører flere registrerede personer eller grupper af individer forbundet med bestemte variabler – f.eks. alder, køn, placering.

I stedet fokuserer loven på den enkeltes – altså én persons – rettigheder til ikke at blive underlagt profilering uden dennes samtykke.

Hvad er en 'beslutning'

På trods af at det er det primære emne, er beslutninger noget af en gråzone. Loven er uklar med hensyn til, hvad der er en afgørelse. Disse kan spænde fra en beslutning fra en statslig myndighed eller noget, der er lettere genkendeligt, såsom en kreditvurdering eller handlinger, der er truffet på en realkreditansøgning.

For at gøre tingene endnu mere vage, kan beslutninger også udgøre en holdning eller mening til en registreret, baseret på deres data, men kun hvis der er sandsynlighed for, at der bliver handlet på det.

Juridiske virkninger

En 'retlig virkning' er en bindende handling, der træffes over for en person. Afgørelser er scenarier som f.eks. et ydelseskrav, en selvangivelse eller en sundhedsvurdering.

Selvom nogle eller alle disse måske ikke specifikt ændrer en persons grundlæggende juridiske status, kan de stadig have en dybtgående indvirkning på denne persons liv, herunder:

  • ændring af en persons omstændigheder eller valg, der er tilgængelige for dem;

  • har en langvarig effekt på en person i løbet af deres liv;

  • (under visse omstændigheder) fører til diskrimination eller uretfærdige handlinger mod nogen.

ISO 27701 paragraf 7.2.2 og EU GDPR artikel 22

I dette afsnit taler vi om GDPR artikel 22(2)(a), 22(2)(b), 22(2)(c), 22(4)

Identifikation af et lovligt grundlag

For at danne et retsgrundlag for behandling af PII bør organisationer dokumentere deres handlinger og:

  1. søge samtykke;

  2. udarbejde en kontrakt eller kontakter;

  3. overholde eventuelle andre juridiske forpligtelser;

  4. beskytte de "vitale interesser" for de personer og grupper, de har data om;

  5. sikre, at de opererer i offentlighedens interesse og er en legitim interesse.

Organisationer skal også overveje eventuelle "særlige kategorier" af PII, der vedrører deres organisation, i deres dataklassifikationsskema (se ISO 27701, punkt 7.2.8) (klassifikationer kan variere fra region til region).

Hvis organisationer oplever ændringer i deres underliggende årsager til at behandle PII, bør dette straks afspejles i deres dokumenterede retsgrundlag.

Understøtter ISO 27701 klausuler

  • ISO 27701 7.2.8

ISO 27701 paragraf 7.3.10 og EU GDPR artikel 22

I dette afsnit taler vi om GDPR artikel 22 (1) og 22 (3)

Automatiseret beslutningstagning

Organisationer bør tage højde for jurisdiktionsvariationer i automatiseret beslutningstagning vedrørende PII.

Organisationer bør respektere et individs ret til at gøre indsigelse og anmode om menneskelig indgriben i stedet for automatiserede procedurer.

Indeks over linkede EU GDPR-artikler og ISO 27701-klausuler

GDPR artikelISO 27701 klausulISO 27701 understøttende klausuler
EU GDPR artikel 22 (2)(a), 22(2)(b), 22(2)(c), 22(4)ISO 27701 7.2.2ISO 27701 7.2.8
EU GDPR artikel 22 (1) og 22 (3)ISO 27701 7.3.10Ingen

Hvordan ISMS.online hjælper

Ved at tilføje en PIMS til din ISMS på ISMS.online platformen forbliver din sikkerhedsposition alt-på-et-sted, og du undgår duplikering, hvor standarderne overlapper hinanden.

Med dit PIMS øjeblikkeligt tilgængeligt for interesserede parter, har det aldrig været nemmere at overvåge, rapportere og revidere i forhold til både ISO 27701 og ISO 27001 med et klik på en knap.

Find ud af, hvor meget tid og penge du vil spare på din rejse til en kombineret ISO 27701- og ISO 27001-certificering ved hjælp af ISMS.online af booking af en demo.

Oplev vores platform

Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo

Vi er omkostningseffektive og hurtige

Find ud af, hvordan det vil øge dit investeringsafkast
Få dit tilbud

ISMS.online understøtter nu ISO 42001 - verdens første AI Management System. Klik for at finde ud af mere