Sådan demonstrerer du overholdelse af GDPR artikel 30

UK GDPR-version

Registrering af behandlingsaktiviteter

1. Hver dataansvarlig og, hvor det er relevant, den dataansvarliges repræsentant, skal føre en fortegnelse over behandlingsaktiviteter under dens ansvar. Denne registrering skal indeholde alle følgende oplysninger:
• Navn og kontaktoplysninger på den dataansvarlige og, hvor det er relevant, den fælles dataansvarlige, den dataansvarliges repræsentant og den databeskyttelsesansvarlige.
• Formålene med behandlingen.
• En beskrivelse af kategorierne af registrerede og af kategorierne af personoplysninger.
• De kategorier af modtagere, som personoplysningerne er blevet eller vil blive videregivet til, herunder modtagere i tredjelande eller internationale organisationer.
• Hvor det er relevant, overførsler af personoplysninger til et tredjeland eller en international organisation, herunder identifikation af det pågældende tredjeland eller internationale organisation og, i tilfælde af overførsler som omhandlet i artikel 49, stk. 1, andet afsnit, dokumentation for passende sikkerhedsforanstaltninger.
• Hvor det er muligt, de påtænkte tidsfrister for sletning af de forskellige kategorier af data.
• Hvor det er muligt, en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger, der er omhandlet i artikel 32, stk. 1, eller i givet fald de sikkerhedsforanstaltninger, der er omhandlet i § 28, stk.
2. Hver databehandler og, hvor det er relevant, databehandlerens repræsentant skal føre en fortegnelse over alle kategorier af behandlingsaktiviteter, der udføres på vegne af en dataansvarlig, indeholdende:
• Navn og kontaktoplysninger på databehandleren eller databehandlerne og for hver dataansvarlig, på vegne af hvilken databehandleren handler, og, hvor det er relevant, på databehandlerens eller databehandlerens repræsentant og databeskyttelsesrådgiveren.
• De kategorier af behandling, der udføres på vegne af hver registeransvarlig.
• Hvor det er relevant, overførsler af personoplysninger til et tredjeland eller en international organisation, herunder identifikation af det pågældende tredjeland eller internationale organisation og, i tilfælde af overførsler som omhandlet i artikel 49, stk. 1, andet afsnit, dokumentation for passende sikkerhedsforanstaltninger.
• Hvor det er muligt, en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger, der er omhandlet i artikel 32, stk. Eller i givet fald de sikkerhedsforanstaltninger, der er nævnt i § 1, stk. 28, i 3-loven.
3. De i stk. 1 og 2 nævnte optegnelser skal være skriftlige, herunder i elektronisk form.
4. Den dataansvarlige eller databehandleren og, hvor det er relevant, den dataansvarliges eller databehandlerens repræsentant, stiller optegnelsen til rådighed for kommissæren efter anmodning.
5. 1 og 2 omhandlede forpligtelser gælder ikke for en virksomhed eller en organisation, der beskæftiger færre end 250 personer, medmindre den behandling, den udfører, sandsynligvis vil medføre en risiko for de registreredes rettigheder og friheder, behandlingen er ikke lejlighedsvis , eller behandlingen omfatter særlige kategorier af oplysninger som omhandlet i artikel 9, stk. 1, eller personoplysninger vedrørende straffedomme og lovovertrædelser som omhandlet i artikel 10.

Teknisk kommentar

GDPR Artikel 30 omhandler fire nøgleområder i en registreringsvedligeholdelse:

1. Optegnelser over behandlingsaktiviteter udført af den dataansvarlige.
2. Registreringer af behandlingsaktiviteter udført af databehandleren.
3. Skriftlige optegnelsesformater.
4. Tilsynsmyndighedernes beføjelser.

Artikel 30 skitserer også undtagelser, der anvendes på ethvert af de ovennævnte områder - især det enhver organisation, der beskæftiger mindre end 250 personer, er ikke forpligtet til at føre behandlingsregistre, undtagen hvor de registreredes rettigheder og friheder "ikke er lejlighedsvise", eller organisationen behandler "særlige kategorier" af data eller kriminelle data.

ISO 27701 paragraf 6.12.1.2 (Sikkerhed i forbindelse med leverandøraftaler) og EU GDPR artikel 30 (2)(d)

Når de behandler sikkerhed inden for leverandørforhold, bør organisationer sikre, at begge parter er bevidste om deres forpligtelser med hensyn til privatlivsinformationssikkerhed og hinanden.

I den forbindelse bør organisationer:

• Tilbyd en klar beskrivelse, der beskriver de privatlivsoplysninger, der skal tilgås, og hvordan disse oplysninger skal tilgås.
• Klassificer de privatlivsoplysninger, der skal tilgås, i overensstemmelse med et accepteret klassifikationssystem (se ISO 27002 Kontrol 5.10, 5.12 og 5.13).
• Tag tilstrækkeligt hensyn til leverandørens eget klassifikationssystem.
• Kategoriser rettigheder i fire hovedområder – juridiske, lovpligtige, regulatoriske og kontraktmæssige – med en detaljeret beskrivelse af forpligtelser pr. område.
• Sørg for, at hver part er forpligtet til at indføre en række kontroller, der overvåger, vurderer og administrerer risikoniveauer for beskyttelse af privatlivets fred.
• Skitsér behovet for leverandørpersonale for at overholde en organisations informationssikkerhedsstandarder (se ISO 27002 Kontrol 5.20).
• Fremme en klar forståelse af, hvad der udgør både acceptabel og uacceptabel brug af privatlivsoplysninger og fysiske og virtuelle aktiver fra begge parter.
• Indfør autorisationskontroller, der kræves for, at personale på leverandørsiden kan få adgang til eller se en organisations privatlivsoplysninger.
• Overvej, hvad der sker i tilfælde af kontraktbrud eller manglende overholdelse af individuelle bestemmelser.
• Skitser en Incident Management-procedure, herunder hvordan større begivenheder kommunikeres.
• Sørg for, at personalet får undervisning i sikkerhedsbevidsthed.
• (Hvis leverandøren har tilladelse til at bruge underleverandører) tilføjer krav for at sikre, at underleverandører er tilpasset det samme sæt standarder for privatlivsinformationssikkerhed som leverandøren.
• Overvej, hvordan leverandørpersonale screenes, før de interagerer med privatlivsoplysninger.
• Fastlæg behovet for tredjepartsattester, der adresserer leverandørens evne til at opfylde organisatoriske krav til beskyttelse af privatlivets fred.
• Har den kontraktlige ret til at revidere en leverandørs procedurer.
• Kræv, at leverandører leverer rapporter, der beskriver effektiviteten af ​​deres egne processer og procedurer.
• Fokuser på at tage skridt til at påvirke rettidig og grundig løsning af eventuelle defekter eller konflikter.
• Sikre, at leverandører opererer med en passende BUDR-politik for at beskytte integriteten og tilgængeligheden af ​​PII og privatlivsrelaterede aktiver.
• Kræv en ændringsstyringspolitik på leverandørsiden, der informerer organisationen om alle ændringer, der har potentiale til at påvirke beskyttelsen af ​​privatlivets fred.
• Implementer fysiske sikkerhedskontroller, der er proportionale med følsomheden af ​​de data, der lagres og behandles.
• (Hvor data skal overføres) bede leverandører om at sikre, at data og aktiver er beskyttet mod tab, beskadigelse eller korruption.
• Skitser en liste over handlinger, der skal træffes af begge parter i tilfælde af opsigelse.
• Bed leverandøren om at skitsere, hvordan de har til hensigt at ødelægge privatlivsoplysninger efter opsigelse, eller at dataene ikke længere er nødvendige.
• Tag skridt til at sikre minimal forretningsafbrydelse i en overdragelsesperiode.

Organisationer bør også opretholde en overenskomstregister, der viser alle aftaler, der er indgået med andre organisationer.

Understøtter ISO 27002 kontroller

• ISO 27002 5.10
• ISO 27002 5.12
• ISO 27002 5.13
• ISO 27002 5.20

ISO 27701 paragraf 6.15.1.1 (Identifikation af gældende lovgivning og kontraktlige krav) og EU GDPR artikel 30 (2)(d)

Organisationer bør overholde juridiske, lovbestemte, regulatoriske og kontraktmæssige krav, når:

• Udarbejdelse og/eller ændring af procedurer for beskyttelse af privatlivets fred.
• Kategorisering af information.
• Påbegyndelse af risikovurderinger vedrørende privatlivsinformationssikkerhedsaktiviteter.
• At skabe leverandørforhold, herunder eventuelle kontraktlige forpligtelser i hele forsyningskæden.

Organisationer bør følge procedurer, der tillader dem identificere, analysere , forstå lovgivningsmæssige og regulatoriske forpligtelser – især dem, der vedrører privatlivsbeskyttelse og PII – uanset hvor de opererer.

Organisationer bør konstant være opmærksomme på deres forpligtelser til beskyttelse af privatlivets fred, når de indgår nye aftaler med tredjeparter, leverandører og kontrahenter.

Når de implementerer krypteringsmetoder for at styrke beskyttelsen af ​​privatlivets fred og beskytte PII, bør organisationer:

• Overhold alle love, der regulerer import og eksport af hardware eller software, der har potentialet til at opfylde en kryptografisk funktion
• Giv adgang til krypteret information i henhold til lovene i den jurisdiktion, de opererer inden for.
• Brug tre nøgleelementer i kryptering:
1. Digitale underskrifter.
2. Sæler.
3. Digitale certifikater.

Understøtter ISO 27002 kontroller

• ISO 27002 5.20

ISO 27701 paragraf 7.2.8 (Optegnelser relateret til behandling af PII) og EU GDPR artikel 30

I dette afsnit taler vi om GDPR artikel 30(1)(a), 30(1)(b), 30(1)(c), 30(1)(d), 30(1)(f), 30( 1)(g), 30 (3), 30 (4) og 30 (5)

Organisationer skal opretholde et grundigt sæt af registreringer, der understøtter deres handlinger og forpligtelser som PII-behandler.

Optegnelser (også kendt som "beholdningslister") bør have en delegeret ejer og kan omfatte:

• Operationel – den specifikke type PII-behandling, der udføres.
• Begrundelser – hvorfor PII'en behandles.
• Kategorisk – lister over PII-modtagere, herunder internationale organisationer.
• Sikkerhed – et overblik over, hvordan PII bliver beskyttet.
• Privatliv – altså en rapport om konsekvensanalyse af privatlivets fred.

ISO 27701 paragraf 7.5.1 (Identificer grundlag for PII-overførsel mellem jurisdiktioner) og EU GDPR artikel 30 (1)(e)

Fra tid til anden kan der opstå behov for at overføre PII mellem to adskilte jurisdiktioner. Når dette sker, bør organisationer begrunde og dokumentere behovet for at gøre det.

Regionale lovgivningsmæssige og juridiske regler varierer afhængigt af, hvor dataene stammer fra, og hvor de skal overføres til.

Organisationer bør tage alle relevante love, rammer og bestemmelser i betragtning, når de har behov for at overføre data mellem jurisdiktioner, herunder brugen af ​​en udpeget tilsynsmyndighed.

ISO 27701 paragraf 7.5.2 (lande og internationale organisationer, til hvilke PII kan overføres) og EU GDPR artikel 30 (1)(e)

Organisationer bør føre en dokumenteret liste over de lande og organisationer, som de potentielt kan overføre deres PII til under rimelige omstændigheder.

Når de har formuleret en liste, bør organisationer stille informationen til rådighed for deres kunder, herunder eventuelle underentreprise PII-operationer (se ISO 27701 paragraf 7.5.1).

Under visse omstændigheder – især i tilfælde af kriminel efterforskning – kan fortrolighedslovgivning forhindre organisationen i at afsløre identiteten af ​​destinationslande og -organisationer på forhånd (se ISO 27701 paragraf 8.5.4 og 8.5.5).

Understøtter ISO 27701 kontroller

• ISO 27701 7.5.1
• ISO 27701 8.5.4
• ISO 27701 8.5.5

ISO 27701 paragraf 7.5.3 (Records of Transfer of PII) og EU GDPR Artikel 30 (1)(e)

Det er meget vigtigt, at organisationer fører en nøjagtig registrering af PII-overførsler til tredjepartsorganisationer.

Organisationer bør være i stand til at registrere PII, der er blevet ændret på nogen måde (i overensstemmelse med de registeransvarliges forpligtelser og mål), eller overførsler, der er påkrævet, før de gennemfører en anmodning fra PII-principperen om at ændre eller slette PII.

Optegnelser bør være underlagt en forholdsmæssig opbevaringsperiode og bør være underlagt dataminimeringsregler, der kun returnerer det, der er nødvendigt for at opfylde et specifikt mål.

ISO 27701 paragraf 7.5.4 (Records of PII Disclosure to Third Party) og EU GDPR artikel 30 (1)(d)

Organisationer bør logge enhver offentliggørelse af PII til tredjeparter, herunder følgende tre oplysninger:

• Hvad er blevet afsløret.
• Hvem er oplysningerne blevet videregivet til.
• Hvornår offentliggørelsen blev foretaget (dato og klokkeslæt).

Det er standardpraksis at afsløre PII af forskellige årsager gennem en organisations informationsbehandlingsoperation.

Der bør laves logs over afsløringer, der sker under normal forretningspraksis, og eventuelle særlige omstændigheder, der opstår (f.eks. lovgivningsmæssige eller juridiske undersøgelser.

ISO 27701 paragraf 8.2.6 (Optegnelser relateret til behandling af PII) og EU GDPR artikel 30

I dette afsnit taler vi om GDPR artikel 30(2)(a), 30(2)(b), 30(3), 30(4) og 30(5)

Organisationer bør føre nøjagtige og ajourførte optegnelser, som gør det muligt for dem på ethvert givet tidspunkt at bevise overholdelse af eventuelle kontraktlige forpligtelser i forbindelse med behandlingen af ​​PII.

Afhængigt af jurisdiktionen skal optegnelserne muligvis omfatte:

• Kategoriske lister over behandling, på kunde-til-kunde-basis.
• Eventuelle dataoverførsler til andre lande eller internationale organisationer.
• Teknisk sikkerhedskontrol.

ISO 27701 paragraf 8.4.2 (Returnering, overførsel eller bortskaffelse af PII) og EU GDPR artikel 30 (1)(f)

Organisationer skal have konkrete planer på plads, der styrer, hvordan PII kan være vendt tilbage, overført or anbragt af og stille alle sådanne politikker til rådighed for kunden.

• Returnering af enhver PII til kunden.
• Levering af PII til en anden organisation.
• Ødelægge information.
• Afidentifikation.
• Arkivering.

Der er forskellige scenarier, der kræver bortskaffelse af PII, herunder (men ikke begrænset til):

Organisationer skal give kategoriske forsikringer om, at enhver PII, som ikke længere er nødvendig, vil blive ødelagt i overensstemmelse med enhver gældende lovgivning eller regionale retningslinjer.

Alle bortskaffelsespolitikker bør være tilgængelige for kunden på forlangende og bør dække den periode, organisationer skal ødelægge PII, når en kontrakt er blevet opsagt.

ISO 27701 paragraf 8.5.2 (lande og internationale organisationer, til hvilke PII kan overføres) og EU GDPR artikel 30 (2)(c)

Organisationer bør føre en nøjagtig, ajourført liste over alle lande eller organisationer, hvor PII har potentiale til at blive overført til.

Kunder bør være i stand til at se en liste over potentielle modtagerlande og -organisationer på ethvert givet tidspunkt, herunder en log over alle lande, der er involveret i PII-underleverandører (se ISO 27701 paragraf 8.5.1).

Under visse omstændigheder vil organisationer ikke altid være i stand til på forhånd at oplyse, hvor anmodninger om overførsel stammer fra – især i tilfælde af straffesager. Dette er uundgåeligt, og det bør være organisationens prioritet at opretholde integriteten af ​​en retshåndhævelsesoperation (se ISO 27701 paragraf 7.5.1, 8.5.4 og 8.5.5).

Understøtter ISO 27701 kontroller

• ISO 27701 7.5.1
• ISO 27701 8.5.1
• ISO 27701 8.5.4
• ISO 27701 8.5.5

ISO 27701 paragraf 8.5.3 (Records of PII Disclosure to Third Party) og EU GDPR artikel 30 (1)(d)

Organisationer bør omhyggeligt registrere alle tilfælde, hvor de har behov for at videregive PII til en tredjepart.

Når som helst PII afsløres – enten som en del af standard forretningsrutiner eller under særlige omstændigheder, såsom en igangværende juridisk eller regulatorisk proces – bør organisationer registrere, hvad der er blevet afsløret, modtageren og den underliggende årsag til at gøre det.

Understøtter ISO 27701 klausuler og ISO 27002 kontroller

Hvordan ISMS.online hjælper

ISMS.online hjælper dig med at demonstrere et beskyttelsesniveau, der overstiger 'rimeligt' på et sikkert sted, der altid er tændt.

Vi gør datakortlægning til en simpel opgave. Ved at tilføje din organisations detaljer til vores prækonfigurerede dynamiske værktøj til registrering af behandlingsaktivitet, kan du nemt registrere og gennemgå det hele.

Hvis det værste sker, er du klar.

Med vores værktøjer kan du planlægge, kommunikere, dokumentere og lære af ethvert brud.

Find ud af mere ved booking af en 30 minutters demo.