Hvorfor GDPR artikel 27 betyder noget: Sikring af overholdelse for ikke-EU-virksomheder
GDPR artikel 27 beskæftiger sig i vid udstrækning med at beskytte britiske (eller EU-borgeres) rettigheder i tilfælde af, at deres data bliver behandlet af organisationer uden for deres hjemland (eller uden for deres hjemmehørende politiske fagforening), hovedsageligt gennem udnævnelse af en formel repræsentant.
GDPR Artikel 27 Lovtekst
EU GDPR-version
Repræsentanter for registeransvarlige eller databehandlere, der ikke er etableret i Unionen
- Hvis artikel 3, stk. 2, finder anvendelse, udpeger den dataansvarlige eller databehandleren skriftligt en repræsentant i Unionen.
- Forpligtelsen i stk. 1 i denne artikel gælder ikke for:
- Behandling, der er lejlighedsvis, omfatter ikke i stor skala behandling af særlige kategorier af oplysninger som omhandlet i artikel 9, stk. 1, eller behandling af personoplysninger vedrørende straffedomme og lovovertrædelser, som omhandlet i artikel 10, og resultere i en risiko for fysiske personers rettigheder og friheder under hensyntagen til behandlingens art, kontekst, omfang og formål; eller
- En offentlig myndighed eller et organ.
- Repræsentanten skal være etableret i en af de medlemsstater, hvor de registrerede, hvis personoplysninger behandles i forbindelse med udbud af varer eller tjenesteydelser til dem, eller hvis adfærd overvåges, er.
- Repræsentanten skal have mandat af den dataansvarlige eller databehandleren til at blive adresseret ud over eller i stedet for den dataansvarlige eller databehandleren af især tilsynsmyndigheder og registrerede, i alle spørgsmål vedrørende behandling med det formål at sikre overholdelse af denne Regulering.
- Den dataansvarliges eller databehandlerens udpegelse af en repræsentant berører ikke retssager, der kan indledes mod den dataansvarlige eller databehandleren selv.
UK GDPR-version
Repræsentanter for registeransvarlige eller databehandlere, der ikke er etableret i Det Forenede Kongerige
- Hvis artikel 3, stk. 2, finder anvendelse, udpeger den dataansvarlige eller databehandleren skriftligt en repræsentant i Det Forenede Kongerige.
- Forpligtelsen i stk. 1 i denne artikel gælder ikke for:
- Behandling, der er lejlighedsvis, omfatter ikke i stor skala behandling af særlige kategorier af oplysninger som omhandlet i artikel 9, stk. 1, eller behandling af personoplysninger vedrørende straffedomme og lovovertrædelser, som omhandlet i artikel 10, og resultere i en risiko for fysiske personers rettigheder og friheder under hensyntagen til behandlingens art, kontekst, omfang og formål; eller
- En offentlig myndighed eller et organ.
- Repræsentanten skal have mandat af den dataansvarlige eller databehandleren til at blive adresseret ud over eller i stedet for den dataansvarlige eller databehandleren af især kommissæren og de registrerede i alle spørgsmål vedrørende behandling med det formål at sikre overholdelse af denne Regulering.
- Den dataansvarliges eller databehandlerens udpegelse af en repræsentant berører ikke retssager, der kan indledes mod den dataansvarlige eller databehandleren selv.
Teknisk kommentar
Fortsat overholdelse måles i GDPR artikel 27 gennem fire hovedområder:
- Betingelserne for anvendelse – dvs. hvem der er i stand til at repræsentere den dataansvarlige, det være sig et advokatfirma, en konsulentvirksomhed eller en privat virksomhed;
- Undtagelser;
- Hvor repræsentanterne skal være placeret;
- Repræsentanternes forpligtelser og ansvar.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
ISO 27701 paragraf 6.3.1.1 (Informationssikkerhedsroller og -ansvar) og EU GDPR artikel 27
I dette afsnit taler vi om GDPR artikel 27 (1), (2)(a), (2)(b), (3), (4) og (5)
Organisationer bør definere roller og ansvar, der er specifikke for individuelle funktioner, der er indeholdt i deres privatlivspolitik – både deres generelle politik og emnespecifikke politikker.
Personer med specifikke ansvarsområder bør være dygtige nok til at udføre privatlivsrelaterede opgaver, som bør omfatte:
- Beskyttelse af PII og eventuelle privatlivsrelaterede aktiver;
- Udførelse af procedurer til beskyttelse af privatlivets fred;
- PII-relaterede risikostyringsaktiviteter, herunder afhjælpende handlinger;
- Enhver, der bruger organisationens oplysninger og data, herunder brugen af ikt-aktiver;
- Personer med ansvar på øverste niveau for beskyttelse af privatlivets fred uddelegerer opgaver til andre.
ISO anerkender, at hver organisation er unik i den måde, de behandler information på. Ovenstående ansvarsområder bør ledsages af sted- og facilitetsspecifikke retningslinjer, der tager højde for virkelige faktorer, der påvirker en organisations PII-behandling.
Alle de ovennævnte ansvarsområder og sikkerhedsområder skal være klart dokumenteret og gøres tilgængelige for alle relevante medarbejdere.
Organisationer bør udpege en person, som kunder (og eksterne myndigheder) kan bruge som et dedikeret kontaktpunkt for alle PII-relaterede spørgsmål (se ISO 27701, paragraf 7.3.2).
Derudover bør organisationer uddelegere ansvaret til en eller flere enkeltpersoner for at opbygge et organisatorisk program for styring af privatlivets fred, der understøtter overholdelse af lokale og nationale PII-love og -regler.
Understøtter ISO 27701 klausuler
- ISO 27701 klausul 7.3.2
Indeks over linkede EU GDPR-artikler og ISO 27701-klausuler
| GDPR artikel | ISO 27701 klausul | ISO 27701 understøttende klausuler |
|---|---|---|
| EU GDPR artikel 27 (1) til (5) | ISO 27701 6.3.1.1 | ISO 27701 7.3.2 |
Hvordan ISMS.online hjælper
Vi har brugervenlige funktioner, der lader dig begynde at arbejde med databeskyttelse, så snart du logger på, uanset om du er nybegynder eller ekspert, der ønsker at integrere flere standarder og regler.
Datakortlægning er let med vores PIMS-løsning. Ved at bruge vores forudkonfigurerede dynamiske værktøj til registreringer af behandlingsaktivitet kan du nemt optage og gennemgå det hele.
Hvis du arbejder med privatlivsstandarder eller -forskrifter, skal du demonstrere, at du administrerer anmodninger om datasubjektrettigheder (DRR) godt. Vores sikre DRR-plads holder det hele ét sted og understøtter det med automatisk rapportering og indsigt.
Find ud af, hvordan vi kan hjælpe dig nå dine GDPR-mål ved at bestille en 30 minutters demo.
