GDPR Artikel 28 omhandler outsourcing af databehandlingsaktiviteter til tjenesteudbydere og skitserer en juridisk ramme for et sådant samarbejde, beskytter de registreredes rettigheder og sikrer overholdelse.
Processor
- Når behandlingen skal udføres på vegne af en dataansvarlig, må den dataansvarlige kun anvende databehandlere, der giver tilstrækkelige garantier til at gennemføre passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen opfylder kravene i denne forordning og sikrer beskyttelsen af rettighederne til den registrerede.
- Databehandleren må ikke ansætte en anden databehandler uden forudgående specifik eller generel skriftlig tilladelse fra den dataansvarlige. I tilfælde af generel skriftlig bemyndigelse skal databehandleren informere den dataansvarlige om eventuelle påtænkte ændringer vedrørende tilføjelse eller udskiftning af andre databehandlere, hvorved den dataansvarlige får mulighed for at gøre indsigelse mod sådanne ændringer.
- En databehandlers behandling er underlagt en kontrakt eller anden retsakt i henhold til EU- eller medlemsstatslovgivningen, der er bindende for databehandleren med hensyn til den dataansvarlige, og som angiver behandlingens genstand og varighed, arten og formålet. af behandlingen, typen af personoplysninger og kategorier af registrerede og den dataansvarliges forpligtelser og rettigheder. I denne kontrakt eller anden retsakt skal det navnlig fastsættes, at databehandleren:
- (a) Behandler kun personoplysningerne efter dokumenterede instruktioner fra den dataansvarlige, herunder med hensyn til overførsler af personoplysninger til et tredjeland eller en international organisation, medmindre det er påkrævet i henhold til EU- eller medlemsstatslovgivningen, som databehandleren er underlagt; i et sådant tilfælde skal databehandleren informere den dataansvarlige om dette lovkrav inden behandlingen, medmindre denne lov forbyder sådanne oplysninger af væsentlige hensyn til offentlighedens interesse.
- (b) Sikrer, at personer, der er autoriseret til at behandle personoplysningerne, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
- (c) Træffer alle nødvendige foranstaltninger i henhold til artikel 32.
- d) Overholder betingelserne i stk. 2 og 4 for at ansætte en anden forarbejdningsvirksomhed.
- (e) Under hensyntagen til behandlingens art bistår den dataansvarlige med passende tekniske og organisatoriske foranstaltninger, så vidt det er muligt, til opfyldelse af den dataansvarliges forpligtelse til at reagere på anmodninger om at udøve den registreredes rettigheder fastsat i kapitel III .
- (f) Assisterer den dataansvarlige med at sikre overholdelse af forpligtelserne i henhold til artikel 32 til 36 under hensyntagen til behandlingens art og de oplysninger, der er tilgængelige for databehandleren.
- (g) Efter den dataansvarliges valg sletter eller returnerer alle personoplysninger til den dataansvarlige efter afslutningen af leveringen af tjenester i forbindelse med behandling og sletter eksisterende kopier, medmindre EU- eller medlemsstatslovgivningen kræver opbevaring af personoplysningerne.
- (h) stiller alle nødvendige oplysninger til rådighed for den registeransvarlige for at påvise overholdelse af forpligtelserne i denne artikel og give mulighed for og bidrage til revisioner, herunder inspektioner, udført af den registeransvarlige eller en anden revisor bemyndiget af den registeransvarlige.
Med hensyn til første afsnit, litra h), skal databehandleren straks underrette den dataansvarlige, hvis en instruks efter dennes opfattelse krænker denne forordning eller andre EU- eller medlemsstats databeskyttelsesbestemmelser.- Hvis en databehandler ansætter en anden databehandler til at udføre specifikke behandlingsaktiviteter på den dataansvarliges vegne, pålægges de samme databeskyttelsesforpligtelser som fastsat i kontrakten eller anden retsakt mellem den dataansvarlige og databehandleren som nævnt i stk. anden databehandler i form af en kontrakt eller anden retsakt i henhold til EU- eller medlemsstatslovgivningen, især ved at give tilstrækkelige garantier til at gennemføre passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen opfylder kravene i denne forordning. Hvis den anden databehandler ikke opfylder sine databeskyttelsesforpligtelser, forbliver den oprindelige databehandler fuldt ud ansvarlig over for den dataansvarlige for udførelsen af den anden databehandlers forpligtelser.
- En databehandlers overholdelse af en godkendt adfærdskodeks som omhandlet i artikel 40 eller en godkendt certificeringsmekanisme som omhandlet i artikel 42 kan bruges som et element til at påvise tilstrækkelige garantier som omhandlet i stk. 1 og 4 i denne artikel .
- Uden at det berører en individuel kontrakt mellem den dataansvarlige og databehandleren, kan kontrakten eller den anden retsakt, der er omhandlet i stk. 3 og 4 i denne artikel, helt eller delvist baseres på standardkontraktklausuler som omhandlet i stk. 7 i denne artikel, herunder når de er en del af en certificering, der er givet til den registeransvarlige eller databehandleren i henhold til artikel 8 og 42.
- Kommissionen kan fastsætte standardkontraktbestemmelser for de spørgsmål, der er omhandlet i stk. 3 og 4 i denne artikel, og i overensstemmelse med undersøgelsesproceduren i artikel 93, stk.
- En tilsynsmyndighed kan vedtage standardkontraktbestemmelser for de forhold, der er omhandlet i stk. 3 og 4 i denne artikel, og i overensstemmelse med den i artikel 63 omhandlede sammenhængsmekanisme.
- Kontrakten eller den anden retsakt, der er omhandlet i stk. 3 og 4, skal være skriftlig, herunder i elektronisk form.
- Med forbehold af artikel 82, 83 og 84 skal databehandleren, hvis en databehandler overtræder denne forordning ved at bestemme formålene med og midlerne til behandlingen, anses for at være en dataansvarlig med hensyn til denne behandling.
Book en 30 minutters chat med os, så viser vi dig hvordan
Processor
- Når behandlingen skal udføres på vegne af en dataansvarlig, må den dataansvarlige kun anvende databehandlere, der giver tilstrækkelige garantier til at gennemføre passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen opfylder kravene i denne forordning og sikrer beskyttelsen af rettighederne til den registrerede.
- Databehandleren må ikke ansætte en anden databehandler uden forudgående specifik eller generel skriftlig tilladelse fra den dataansvarlige. I tilfælde af generel skriftlig bemyndigelse skal databehandleren informere den dataansvarlige om eventuelle påtænkte ændringer vedrørende tilføjelse eller udskiftning af andre databehandlere, hvorved den dataansvarlige får mulighed for at gøre indsigelse mod sådanne ændringer.
- En databehandlers behandling er underlagt en kontrakt eller anden retsakt i henhold til national ret, der er bindende for databehandleren i forhold til den dataansvarlige, og som angiver behandlingens genstand og varighed, arten og formålet med behandlingen. , typen af personoplysninger og kategorier af registrerede og den dataansvarliges forpligtelser og rettigheder. I denne kontrakt eller anden retsakt skal det navnlig fastsættes, at databehandleren:
- (a) Behandler kun personoplysningerne efter dokumenterede instruktioner fra den dataansvarlige, herunder med hensyn til overførsler af personoplysninger til et tredjeland eller en international organisation, medmindre det er påkrævet i henhold til national lovgivning, som databehandleren er underlagt; i et sådant tilfælde skal databehandleren informere den dataansvarlige om dette lovkrav inden behandlingen, medmindre denne lov forbyder sådanne oplysninger af væsentlige hensyn til offentlighedens interesse.
- (b) Sikrer, at personer, der er autoriseret til at behandle personoplysningerne, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
- (c) Træffer alle nødvendige foranstaltninger i henhold til artikel 32.
- d) Overholder betingelserne i stk. 2 og 4 for at ansætte en anden forarbejdningsvirksomhed.
- (e) Under hensyntagen til behandlingens art bistår den dataansvarlige med passende tekniske og organisatoriske foranstaltninger, så vidt det er muligt, til opfyldelse af den dataansvarliges forpligtelse til at reagere på anmodninger om at udøve den registreredes rettigheder fastsat i kapitel III .
- (f) Assisterer den dataansvarlige med at sikre overholdelse af forpligtelserne i henhold til artikel 32 til 36 under hensyntagen til behandlingens art og de oplysninger, der er tilgængelige for databehandleren.
- (g) Efter den dataansvarliges valg sletter eller returnerer alle personoplysninger til den dataansvarlige efter afslutningen af leveringen af tjenester vedrørende behandling og sletter eksisterende kopier, medmindre national lovgivning kræver opbevaring af personoplysningerne.
- (h) stiller alle nødvendige oplysninger til rådighed for den registeransvarlige for at påvise overholdelse af forpligtelserne i denne artikel og give mulighed for og bidrage til revisioner, herunder inspektioner, udført af den registeransvarlige eller en anden revisor bemyndiget af den registeransvarlige.
Med hensyn til første afsnit, litra h), underretter databehandleren straks den dataansvarlige, hvis en instruks efter dennes opfattelse er i strid med denne forordning eller anden national lovgivning vedrørende databeskyttelsesforpligtelser.- Hvis en databehandler ansætter en anden databehandler til at udføre specifikke behandlingsaktiviteter på den dataansvarliges vegne, pålægges de samme databeskyttelsesforpligtelser som fastsat i kontrakten eller anden retsakt mellem den dataansvarlige og databehandleren som nævnt i stk. anden databehandler i form af en kontrakt eller anden retlig handling i henhold til national ret, især ved at give tilstrækkelige garantier til at gennemføre passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen opfylder kravene i denne forordning. Hvis den anden databehandler ikke opfylder sine databeskyttelsesforpligtelser, forbliver den oprindelige databehandler fuldt ud ansvarlig over for den dataansvarlige for udførelsen af den anden databehandlers forpligtelser.
- En databehandlers overholdelse af en godkendt adfærdskodeks som omhandlet i artikel 40 eller en godkendt certificeringsmekanisme som omhandlet i artikel 42 kan bruges som et element til at påvise tilstrækkelige garantier som omhandlet i stk. 1 og 4 i denne artikel .
- Uden at det berører en individuel kontrakt mellem den dataansvarlige og databehandleren, kan kontrakten eller den anden retsakt, der er omhandlet i stk. 3 og 4 i denne artikel, helt eller delvist være baseret på standardkontraktbestemmelser som omhandlet i stk. denne artikel, herunder når de er en del af en certificering, der er givet til den registeransvarlige eller databehandleren i henhold til artikel 8 og 42.
- Kommissæren kan vedtage standardkontraktbestemmelser for de forhold, der er nævnt i stk. 3 og 4 i denne artikel.
- Kontrakten eller den anden retsakt, der er omhandlet i stk. 3 og 4, skal være skriftlig, herunder i elektronisk form.
- Med forbehold af artikel 82, 83 og 84 skal databehandleren, hvis en databehandler overtræder denne forordning ved at bestemme formålene med og midlerne til behandlingen, anses for at være en dataansvarlig med hensyn til denne behandling.
GDPR artikel 28 omhandler 8 konstituerende områder, der styrer, hvordan databehandlingsaktiviteter kan outsources til tredjepartstjenesteudbydere:
Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo
Vi kan ikke komme i tanke om nogen virksomhed, hvis service kan holde et lys til ISMS.online.
I dette afsnit taler vi om GDPR artikel 28 (10), 28 (5) og 28 (6)
Organisationer skal gennemgå en kortlægningsøvelse, der viser både interne og eksterne faktorer i forbindelse med implementeringen af et PIMS.
Organisationen skal være i stand til at forstå, hvordan den vil opnå sine resultater med beskyttelse af privatlivets fred, og eventuelle problemer, der står i vejen for at beskytte PII, bør identificeres og behandles.
Før organisationer forsøger at behandle privatlivsbeskyttelse og implementere en PII, skal organisationer først opnå en forståelse af deres forpligtelser som en enkelt eller fælles PII-controller og/eller -behandler.
Dette omfatter:
I dette afsnit taler vi om GDPR artikel 28 (3)(b), (1), (3)(a), (3)(b), (3)(c), (3)(d), (3) )(e), (3)(f), (3)(g) og (3)(h)
Når de behandler sikkerhed inden for leverandørforhold, bør organisationer sikre, at begge parter er bevidste om deres forpligtelser med hensyn til privatlivsinformationssikkerhed og hinanden.
I den forbindelse bør organisationer:
Organisationer bør også opretholde en overenskomstregister, der viser alle aftaler, der er indgået med andre organisationer.
Vi er omkostningseffektive og hurtige
I dette afsnit taler vi om GDPR artikel 28 (1), (3)(a), (3)(b), (3)(c), (3)(d), (3)(e), (3) )(f), (3)(g) og (3)(h)
Organisationer bør overholde juridiske, lovbestemte, regulatoriske og kontraktmæssige krav, når:
Organisationer bør følge procedurer, der tillader dem identificere, analysere , forstå lovgivningsmæssige og regulatoriske forpligtelser – især dem, der vedrører privatlivsbeskyttelse og PII – uanset hvor de opererer.
Organisationer bør konstant være opmærksomme på deres forpligtelser til beskyttelse af privatlivets fred, når de indgår nye aftaler med tredjeparter, leverandører og kontrahenter.
Når de implementerer krypteringsmetoder for at styrke beskyttelsen af privatlivets fred og beskytte PII, bør organisationer:
Organisationer skal skitsere detaljerne i enhver fælles PII-behandlingsordning med en medfølgende PII-controller – dette inkluderer generelle beskyttelsesforanstaltninger og alle tilhørende sikkerhedskrav.
Roller og ansvar skal være klare og utvetydige og skitseret i et juridisk bindende dokument (nogle gange kaldet en 'datadelingsaftale').
Aftaler kan omfatte (blandt andre foranstaltninger):
I dette afsnit taler vi om GDPR artikel 28(3)(e) og 28(3)(f) og 28(9)
Kundekontrakter bør omfatte:
Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo
Kontrakter bør omfatte SLA'er vedrørende gensidige mål og eventuelle tilknyttede tidsskalaer, som de skal gennemføres inden for.
Organisationer bør anerkende deres ret til at vælge de særskilte metoder, der bruges til at behandle PII, som lovligt opnår det, kunden søger, men uden at det er nødvendigt at indhente detaljerede tilladelser til, hvordan organisationen gør det på et teknisk niveau.
Organisationer skal opretholde en grundig arbejdsforståelse af, hvordan instruktioner har potentiale til at komme i konflikt med gældende lovgivning eller regulatoriske forpligtelser.
Overtrædelser sker normalt omkring tre faktorer.
Organisationer skal kunne give deres kunder tilstrækkelig information, så kunderne til enhver tid er i stand til at opfylde deres forpligtelser.
Den nødvendige information kan omfatte en bred vifte af funktioner, men er normalt relateret til interne revisioner og organisationens rolle i at facilitere dem gennem levering af information.
Dataansvarliges forpligtelser er styret af tre faktorer:
Kontrakter bør indeholde evt oplysninger or tekniske operationer som gør det muligt for organisationen at opfylde sine forpligtelser som dataansvarlig.
Der er forskellige scenarier, der kræver bortskaffelse af PII, herunder (men ikke begrænset til):
Organisationer skal give kategoriske forsikringer om, at enhver PII, som ikke længere er nødvendig, vil blive ødelagt i overensstemmelse med enhver gældende lovgivning eller regionale retningslinjer.
Alle bortskaffelsespolitikker bør være tilgængelige for kunden på forlangende og bør dække den periode, organisationer skal ødelægge PII, når en kontrakt er blevet opsagt.
Organisationer bør udarbejde en procedure, der styrer, hvordan PII-princippere underrettes om juridisk bindende tredjepartsanmodninger om deres oplysninger, herunder en rimelig tidsramme og en kontraktbestemmelse, der skitserer hele processen.
Frem for alt har organisationer brug for det efterkomme anmodninger fra retshåndhævende myndigheder, som har ret til at anmode om, at kunden ikke får besked om nogen anmodning, og sikre, at de ikke bryder nogen love ved et uheld eller forsætligt at informere kunden om situationen.
Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo
Alle bestemmelser for brug af underleverandører bør være opført som sådan i SLA/kundekontrakten.
Oplysninger om underleverandører bør omfatte:
NDA'er bør udarbejdes for at afsløre enhver information, der ville udgøre en øget sikkerhedsrisiko, hvis den afsløres offentligt.
Organisationer skal indhente skriftlig godkendelse fra deres kunder, før PII behandles af en tredjepartsorganisation.
Underleverandører bør være underlagt en bindende aftale (normalt i form af en skriftlig kontrakt), som sikrer, at underleverandører forstår deres forpligtelser med hensyn til at implementere kontrollerne anført i ISO 27701 bilag B.
Kontrakter bør tage højde for forskellige risikovurderingsprocesser (se ISO 27701 punkt 5.4.1.2) og hele omfanget af organisationens PII-behandling (se ISO 27701 punkt 6.12). Som ovenfor skal alle kontroller, der er anført i bilag B, overholdes, med eventuelle udeladelser anført sammen med begrundelserne for at gøre det.
Når der opstår behov for at ændre den måde, som organisationen outsourcer ethvert element i sin PII-behandling på, skal kunderne informeres om ændringerne i god tid for at give dem tid til at stille spørgsmålstegn ved eller gøre indsigelse mod disse ændringer.
Kontrakter bør indeholde klausuler, der sørger for skriftlig tilladelse fra kunden til at gå videre med ændringen, før nogen PII behandles.
Organisationer kan også søge godkendelse af ændringer inden for ad-hoc skriftlige aftaler, uden for eventuelle kontraktmæssige vilkår.
GDPR artikel | ISO 27701 klausul | ISO 27002 kontrol |
---|---|---|
EU GDPR artikel 28 (3)(b) til (3)(h) | 6.12.1.2 | 5.10 5.12 5.13 5.20 |
EU GDPR artikel 28 (1) til (3)(h) | 6.15.1.1 | 5.20 |
EU GDPR artikel 28 (3)(e) og 28 (9) | 7.2.6 | Ingen |
EU GDPR artikel 28 (3)(e) til 28 (9) | 8.2.1 7.4 8.4 | Ingen |
EU GDPR artikel 28 (3)(a) | 8.2.2 | Ingen |
EU GDPR artikel 28 (3)(h) | 8.2.4 | Ingen |
EU GDPR artikel 28 (3)(h) | 8.2.5 | Ingen |
EU GDPR artikel 28 (3)(h) | 8.3.1 | Ingen |
EU GDPR artikel 28 (3)(g) | 8.4.2 | Ingen |
EU GDPR artikel 28 (3)(a) | 8.5.4 | Ingen |
EU GDPR artikel 28 (2) og 28 (4) | 8.5.6 8.5.2 8.5.7 | Ingen |
EU GDPR artikel 28 (2) og 28 (3)(d) | 8.5.7 5.4.1.2 6.12 | Ingen |
EU GDPR artikel 28 (2) | 8.4 | Ingen |
Bygget efter ISO 27701, tilpasset andre regler.
Med ISO 27701 kan du oprette et Privacy Information Management System, der overholder de fleste regler om privatliv. Dette inkluderer EU's Generel databeskyttelsesforordning, BS 10012 og Sydafrikas POPIA.
Du kan nemt følge den internationale standard med vores forenklede, sikre og bæredygtige software.
Den alt-i-én-platform, vi leverer, sikrer, at dit privatlivsarbejde er på linje med ISO 27701 og opfylder kravene.
Find ud af mere ved booking af en kort 30 minutters demo.
Jeg vil bestemt anbefale ISMS.online, det gør opsætning og administration af dit ISMS så nemt som det kan blive.
Hvis du ikke bruger ISMS.online, gør du dit liv sværere, end det behøver at være!