GDPR Artikel 24 er det første afsnit af GDPR, der omhandler den dataansvarliges generelle forpligtelser, som er beskrevet mere detaljeret i efterfølgende artikler.
Skiftet i tone fra passiv overholdelse til brug af obligatorisk sprog er et kendetegn for GDPR-lovgivningen, og sætter tonen for, hvordan registeransvarlige forventes at opføre sig senere i lovgivningen.
Controllerens ansvar
- Under hensyntagen til behandlingens art, omfang, kontekst og formål samt risici for varierende sandsynlighed og alvorlighed for fysiske personers rettigheder og frihedsrettigheder, skal den dataansvarlige gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre og for at kunne påvise, at behandlingen udføres i overensstemmelse med denne forordning. Disse foranstaltninger skal revideres og ajourføres om nødvendigt.
- Hvor det står i rimeligt forhold til behandlingsaktiviteter, skal de foranstaltninger, der er omhandlet i stk. 1, omfatte den registeransvarliges gennemførelse af passende databeskyttelsespolitikker.
- Overholdelse af godkendte adfærdskodekser som omhandlet i artikel 40 eller godkendte certificeringsmekanismer som omhandlet i artikel 42 kan bruges som et element til at påvise overholdelse af den registeransvarliges forpligtelser.
Controllerens ansvar
- Under hensyntagen til behandlingens art, omfang, kontekst og formål samt risici for varierende sandsynlighed og alvorlighed for fysiske personers rettigheder og frihedsrettigheder, skal den dataansvarlige gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre og for at kunne påvise, at behandlingen udføres i overensstemmelse med denne forordning. Disse foranstaltninger skal revideres og ajourføres om nødvendigt.
- Hvor det står i rimeligt forhold til behandlingsaktiviteter, skal de foranstaltninger, der er omhandlet i stk. 1, omfatte den registeransvarliges gennemførelse af passende databeskyttelsespolitikker.
- Overholdelse af godkendte adfærdskodekser som omhandlet i artikel 40 eller godkendte certificeringsmekanismer som omhandlet i artikel 42 kan bruges som et element til at påvise overholdelse af den registeransvarliges forpligtelser.
GDPR definerer faktisk ikke, hvad en teknisk foranstaltning er, hvilket har ført til en vis forvirring blandt organisationer, der har svært ved at forstå, hvad deres forpligtelser er. Som sådan definerede de fleste juridiske myndigheder 'foranstaltning' som enhver handling, som en organisation kan foretage, hvilket gør dem kompatible.
I betragtning af det brede omfang af begrebet "foranstaltning" bør organisationer for at sikre sig, hvordan man opnår overholdelse, gennemgå en grundig risikovurdering, der tager hensyn til natur, rækkevidde , formål af sine forarbejdningsaktiviteter.
Derudover skal organisationer konstant være opmærksomme på retten til individuel frihed sammen med eventuelle operationelle risici.
Som en generel regel gælder det, at jo mere risikabelt behandlingsoperationen er, desto større mængde bevis kræves der. Organisationer bør være optaget af at indsamle fysiske og digitale beviser, der beviser, at de er en lovlydig organisation.
Book en 30 minutters chat med os, så viser vi dig hvordan
Før organisationer forsøger at behandle privatlivsbeskyttelse og implementere en PII, skal organisationer først opnå en forståelse af deres forpligtelser som en enkelt eller fælles PII-controller og/eller -behandler.
Dette omfatter:
Record management omfatter fire nøgleområder:
Organisationer bør:
ISO går ind for en dobbeltfrontstilgang til organisatorisk beskyttelse af privatlivets fred, der omfatter:
Begge typer af politikker kan enten kombineres i ét dokument eller adskilles, som organisationen finder passende.
Politikker bør formidles til alle relevante medarbejdere (og eksternt personale, hvis det er nødvendigt), for at sikre løbende overholdelse af interne og eksterne krav til beskyttelse af privatlivets fred.
Enhver, der modtager en police, bør bedes bekræfte, helst skriftligt, at de både forstår, hvad der bliver bedt om dem, og er villige til at efterkomme.
Politikker bør gennemgås, når der foretages ændringer i:
Den øverste ledelse bør etablere en privatlivspolitik på topniveau (sammen med andre emnespecifikke politikker), der klart beskriver de processer og praktiske skridt, der vil blive taget for at beskytte PII.
Organisatoriske privatlivspolitikker bør indeholde oplysninger fra og forblive relevante for:
Politikker til beskyttelse af privatlivets fred bør definere organisationens:
Vi er omkostningseffektive og hurtige
Optegnelser (også kendt som "beholdningslister") bør have en delegeret ejer og kan omfatte:
GDPR artikel | ISO 27701 klausul | ISO 27701 understøttende klausuler |
---|---|---|
EU GDPR artikel 24 (3) | ISO 27701 5.2.1 | Ingen |
EU GDPR artikel 24 (2) | ISO 27701 6.15.1.3 | Ingen |
EU GDPR artikel 24 (2) | ISO 27701 6.2.1.1 | Ingen |
EU GDPR artikel 24 (1) | ISO 27701 7.2.8 | Ingen |
ISMS.online tilbyder dig en komplet GDPR-løsning.
Vi leverer et miljø, der er forudbygget til dig til at beskrive og demonstrere din tilgang til beskyttelse af dine europæiske og britiske kundedata, som passer problemfrit ind i dit ledelsessystem.
ISMS.online platformen har indbygget vejledning ved hvert trin kombineret med vores 'Adopter, Adapt, Add' implementeringstilgang, så den indsats, der kræves for at demonstrere din tilgang til GDPR, er væsentligt reduceret.
Har du 30 minutter? Få mere at vide ved booking af en demo.
Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo