Sådan demonstrerer du overholdelse af GDPR artikel 24

Controllers ansvar

Book en demo

kolleger,arbejde,moderne,studie.produktion,ledere,team,arbejdende,nyt,projekt.ung,virksomhed

GDPR Artikel 24 er det første afsnit af GDPR, der omhandler den dataansvarliges generelle forpligtelser, som er beskrevet mere detaljeret i efterfølgende artikler.

Skiftet i tone fra passiv overholdelse til brug af obligatorisk sprog er et kendetegn for GDPR-lovgivningen, og sætter tonen for, hvordan registeransvarlige forventes at opføre sig senere i lovgivningen.

GDPR Artikel 24 Lovtekst

EU GDPR-version

Controllerens ansvar

  1. Under hensyntagen til behandlingens art, omfang, kontekst og formål samt risici for varierende sandsynlighed og alvorlighed for fysiske personers rettigheder og frihedsrettigheder, skal den dataansvarlige gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre og for at kunne påvise, at behandlingen udføres i overensstemmelse med denne forordning. Disse foranstaltninger skal revideres og ajourføres om nødvendigt.

  2. Hvor det står i rimeligt forhold til behandlingsaktiviteter, skal de foranstaltninger, der er omhandlet i stk. 1, omfatte den registeransvarliges gennemførelse af passende databeskyttelsespolitikker.

  3. Overholdelse af godkendte adfærdskodekser som omhandlet i artikel 40 eller godkendte certificeringsmekanismer som omhandlet i artikel 42 kan bruges som et element til at påvise overholdelse af den registeransvarliges forpligtelser.

UK GDPR-version

Controllerens ansvar

  1. Under hensyntagen til behandlingens art, omfang, kontekst og formål samt risici for varierende sandsynlighed og alvorlighed for fysiske personers rettigheder og frihedsrettigheder, skal den dataansvarlige gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre og for at kunne påvise, at behandlingen udføres i overensstemmelse med denne forordning. Disse foranstaltninger skal revideres og ajourføres om nødvendigt.

  2. Hvor det står i rimeligt forhold til behandlingsaktiviteter, skal de foranstaltninger, der er omhandlet i stk. 1, omfatte den registeransvarliges gennemførelse af passende databeskyttelsespolitikker.

  3. Overholdelse af godkendte adfærdskodekser som omhandlet i artikel 40 eller godkendte certificeringsmekanismer som omhandlet i artikel 42 kan bruges som et element til at påvise overholdelse af den registeransvarliges forpligtelser.

Teknisk kommentar

'Foranstaltninger'

GDPR definerer faktisk ikke, hvad en teknisk foranstaltning er, hvilket har ført til en vis forvirring blandt organisationer, der har svært ved at forstå, hvad deres forpligtelser er. Som sådan definerede de fleste juridiske myndigheder 'foranstaltning' som enhver handling, som en organisation kan foretage, hvilket gør dem kompatible.

Vedtagelse af en risikobaseret tilgang

I betragtning af det brede omfang af begrebet "foranstaltning" bør organisationer for at sikre sig, hvordan man opnår overholdelse, gennemgå en grundig risikovurdering, der tager hensyn til natur, rækkevidde , formål af sine forarbejdningsaktiviteter.

Derudover skal organisationer konstant være opmærksomme på retten til individuel frihed sammen med eventuelle operationelle risici.

Påvisning af overholdelse

Som en generel regel gælder det, at jo mere risikabelt behandlingsoperationen er, desto større mængde bevis kræves der. Organisationer bør være optaget af at indsamle fysiske og digitale beviser, der beviser, at de er en lovlydig organisation.

Gå til emne

ISO 27701 paragraf 5.2.1 (Forståelse af organisationen og dens kontekst) og EU GDPR artikel 24 (3)

Før organisationer forsøger at behandle privatlivsbeskyttelse og implementere en PII, skal organisationer først opnå en forståelse af deres forpligtelser som en enkelt eller fælles PII-controller og/eller -behandler.

Dette omfatter:

  • gennemgang af gældende love, regler eller "retlige afgørelser" om privatlivets fred;

  • under hensyntagen til organisationens unikke sæt af krav i forhold til den type produkter og service, de sælger, og virksomhedsspecifikke styringsdokumenter, politikker og procedurer;

  • administrative faktorer;

  • tredjepartsaftaler eller servicekontrakter.

ISO 27701 paragraf 6.15.1.3 (Beskyttelse af optegnelser) og EU GDPR artikel 24, stk.

Record management omfatter fire nøgleområder:

  1. Autenticitet;
  2. Pålidelighed;
  3. Integritet;
  4. Brugbarhed.

Organisationer bør:

  • udgive retningslinjer, der omhandler:

    • opbevaring;

    • håndtering (chain of custody);

    • bortskaffelse;

    • forhindre manipulation.

  • skitsere, hvor længe hver posttype skal opbevares;

  • overholde alle love, der omhandler registrering;

  • overholde kundernes forventninger til, hvordan organisationer skal håndtere deres optegnelser;

  • ødelægge optegnelser, når de ikke længere er nødvendige;

  • klassificere poster baseret på deres sikkerhedsrisiko, f.eks.

    • regnskab;

    • forretningstransaktioner;

    • personaleregistre;

    • lovlig.

  • sikre, at de er i stand til at hente optegnelser inden for et acceptabelt tidsrum, hvis de bliver bedt om det af en tredjepart eller et retshåndhævende organ;

  • Overhold altid producentens retningslinjer, når du opbevarer eller håndterer optegnelser på elektroniske mediekilder.

ISO 27701 paragraf 6.2.1.1 (Politik for informationssikkerhed) og EU GDPR artikel 24, stk.

ISO går ind for en dobbeltfrontstilgang til organisatorisk beskyttelse af privatlivets fred, der omfatter:

  • en generel privatlivspolitik;

  • emnespecifikke privatlivspolitikker.

Begge typer af politikker kan enten kombineres i ét dokument eller adskilles, som organisationen finder passende.

Politikker bør formidles til alle relevante medarbejdere (og eksternt personale, hvis det er nødvendigt), for at sikre løbende overholdelse af interne og eksterne krav til beskyttelse af privatlivets fred.

Enhver, der modtager en police, bør bedes bekræfte, helst skriftligt, at de både forstår, hvad der bliver bedt om dem, og er villige til at efterkomme.

Politikker bør gennemgås, når der foretages ændringer i:

  • forretningsstrategi;

  • operationel praksis/tekniske miljøer;

  • enhver lovgivning (herunder GDPR), regulatoriske bestemmelser eller generelle PII-relaterede retningslinjer, som organisationen har et ansvar for at overholde;

  • risikoniveauer for beskyttelse af privatlivets fred og det fremherskende/forventede trussellandskab.

Generelle politikker

Den øverste ledelse bør etablere en privatlivspolitik på topniveau (sammen med andre emnespecifikke politikker), der klart beskriver de processer og praktiske skridt, der vil blive taget for at beskytte PII.

Organisatoriske privatlivspolitikker bør indeholde oplysninger fra og forblive relevante for:

  1. den overordnede forretningsstrategi;

  2. eventuelle gældende lovgivningsmæssige, juridiske eller kontraktmæssige krav;

  3. eventuelle klare og aktuelle risici for beskyttelse af privatlivets fred.

Politikker til beskyttelse af privatlivets fred bør definere organisationens:

  • operationel definition af beskyttelse af privatlivets fred;

  • erklærede privatlivsbeskyttelsesmål;

  • bredere sæt af styrende principper vedrørende beskyttelse af PII;

  • forpligtelse til at opfylde deres PII-relaterede mål og forbedre dem på en løbende basis;

  • tilgang til at uddelegere ansvaret for hele eller dele af privatlivspolitikken til de relevante rolletyper;

  • tilgang til håndtering af undtagelser fra politikken;

  • planlægger, at den øverste ledelse skal gennemgå og godkende ændringer.

Oplev vores platform

Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo

Vi er omkostningseffektive og hurtige

Find ud af, hvordan det vil øge dit investeringsafkast
Få dit tilbud

ISO 27701 paragraf 7.2.8 (Optegnelser vedrørende behandling af PII) og EU GDPR artikel 24 (1)

Optegnelser (også kendt som "beholdningslister") bør have en delegeret ejer og kan omfatte:

  1. operationel – den specifikke type PII-behandling, der udføres;

  2. begrundelser - hvorfor PII'en behandles;

  3. kategorisk – lister over PII-modtagere, herunder internationale organisationer;

  4. sikkerhed – et overblik over, hvordan PII bliver beskyttet;

  5. privatliv – altså en rapport om konsekvensanalyse af privatlivets fred.

Indeks over linkede EU GDPR-artikler og ISO 27701-klausuler

GDPR artikelISO 27701 klausulISO 27701 understøttende klausuler
EU GDPR artikel 24 (3)ISO 27701 5.2.1Ingen
EU GDPR artikel 24 (2)ISO 27701 6.15.1.3Ingen
EU GDPR artikel 24 (2)ISO 27701 6.2.1.1Ingen
EU GDPR artikel 24 (1)ISO 27701 7.2.8Ingen

Hvordan ISMS.online hjælper

ISMS.online tilbyder dig en komplet GDPR-løsning.

Vi leverer et miljø, der er forudbygget til dig til at beskrive og demonstrere din tilgang til beskyttelse af dine europæiske og britiske kundedata, som passer problemfrit ind i dit ledelsessystem.

ISMS.online platformen har indbygget vejledning ved hvert trin kombineret med vores 'Adopter, Adapt, Add' implementeringstilgang, så den indsats, der kræves for at demonstrere din tilgang til GDPR, er væsentligt reduceret.

Har du 30 minutter? Få mere at vide ved booking af en demo.

Se ISMS.online
i aktion

Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo

Enkel. Sikker. Bæredygtig.

Se vores platform i aktion med en skræddersyet hands-on session baseret på dine behov og mål.

Book din demo
img

ISMS.online understøtter nu ISO 42001 - verdens første AI Management System. Klik for at finde ud af mere