GDPR Artikel 30 pålægger organisationer at føre passende optegnelser (i det væsentlige skriftlige regnskaber) over alle behandlingsrelaterede aktiviteter.
Denne forpligtelse repræsenterer udtryk for flere databehandlingsprincipper:
Registrering af behandlingsaktiviteter
- Hver dataansvarlig og, hvor det er relevant, den dataansvarliges repræsentant, skal føre en fortegnelse over behandlingsaktiviteter under dens ansvar. Denne registrering skal indeholde alle følgende oplysninger:
- Navn og kontaktoplysninger på den dataansvarlige og, hvor det er relevant, den fælles dataansvarlige, den dataansvarliges repræsentant og den databeskyttelsesansvarlige.
- Formålene med behandlingen.
- En beskrivelse af kategorierne af registrerede og af kategorierne af personoplysninger.
- De kategorier af modtagere, som personoplysningerne er blevet eller vil blive videregivet til, herunder modtagere i tredjelande eller internationale organisationer.
- Hvor det er relevant, overførsler af personoplysninger til et tredjeland eller en international organisation, herunder identifikation af det pågældende tredjeland eller internationale organisation og, i tilfælde af overførsler som omhandlet i artikel 49, stk. 1, andet afsnit, dokumentation for passende sikkerhedsforanstaltninger.
- Hvor det er muligt, de påtænkte tidsfrister for sletning af de forskellige kategorier af data.
- Hvor det er muligt, en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger, der er omhandlet i artikel 32, stk.
- Hver databehandler og, hvor det er relevant, databehandlerens repræsentant skal føre en fortegnelse over alle kategorier af behandlingsaktiviteter, der udføres på vegne af en dataansvarlig, indeholdende:
- Navn og kontaktoplysninger på databehandleren eller databehandlerne og for hver dataansvarlig, på vegne af hvilken databehandleren handler, og, hvor det er relevant, på databehandlerens eller databehandlerens repræsentant og databeskyttelsesrådgiveren.
- De kategorier af behandling, der udføres på vegne af hver registeransvarlig.
- Hvor det er relevant, overførsler af personoplysninger til et tredjeland eller en international organisation, herunder identifikation af det pågældende tredjeland eller internationale organisation og, i tilfælde af overførsler som omhandlet i artikel 49, stk. 1, andet afsnit, dokumentation for passende sikkerhedsforanstaltninger.
- Hvor det er muligt, en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger, der er omhandlet i artikel 32, stk.
- De i stk. 1 og 2 nævnte optegnelser skal være skriftlige, herunder i elektronisk form.
- Den dataansvarlige eller databehandleren og, hvor det er relevant, den dataansvarliges eller databehandlerens repræsentant, stiller optegnelsen til rådighed for tilsynsmyndigheden efter anmodning.
- 1 og 2 omhandlede forpligtelser gælder ikke for en virksomhed eller en organisation, der beskæftiger færre end 250 personer, medmindre den behandling, den udfører, sandsynligvis vil medføre en risiko for de registreredes rettigheder og friheder, behandlingen er ikke lejlighedsvis , eller behandlingen omfatter særlige kategorier af oplysninger som omhandlet i artikel 9, stk. 1, eller personoplysninger vedrørende straffedomme og lovovertrædelser som omhandlet i artikel 10.
Book en 30 minutters chat med os, så viser vi dig hvordan
Registrering af behandlingsaktiviteter
- Hver dataansvarlig og, hvor det er relevant, den dataansvarliges repræsentant, skal føre en fortegnelse over behandlingsaktiviteter under dens ansvar. Denne registrering skal indeholde alle følgende oplysninger:
- Navn og kontaktoplysninger på den dataansvarlige og, hvor det er relevant, den fælles dataansvarlige, den dataansvarliges repræsentant og den databeskyttelsesansvarlige.
- Formålene med behandlingen.
- En beskrivelse af kategorierne af registrerede og af kategorierne af personoplysninger.
- De kategorier af modtagere, som personoplysningerne er blevet eller vil blive videregivet til, herunder modtagere i tredjelande eller internationale organisationer.
- Hvor det er relevant, overførsler af personoplysninger til et tredjeland eller en international organisation, herunder identifikation af det pågældende tredjeland eller internationale organisation og, i tilfælde af overførsler som omhandlet i artikel 49, stk. 1, andet afsnit, dokumentation for passende sikkerhedsforanstaltninger.
- Hvor det er muligt, de påtænkte tidsfrister for sletning af de forskellige kategorier af data.
- Hvor det er muligt, en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger, der er omhandlet i artikel 32, stk. 1, eller i givet fald de sikkerhedsforanstaltninger, der er omhandlet i § 28, stk.
- Hver databehandler og, hvor det er relevant, databehandlerens repræsentant skal føre en fortegnelse over alle kategorier af behandlingsaktiviteter, der udføres på vegne af en dataansvarlig, indeholdende:
- Navn og kontaktoplysninger på databehandleren eller databehandlerne og for hver dataansvarlig, på vegne af hvilken databehandleren handler, og, hvor det er relevant, på databehandlerens eller databehandlerens repræsentant og databeskyttelsesrådgiveren.
- De kategorier af behandling, der udføres på vegne af hver registeransvarlig.
- Hvor det er relevant, overførsler af personoplysninger til et tredjeland eller en international organisation, herunder identifikation af det pågældende tredjeland eller internationale organisation og, i tilfælde af overførsler som omhandlet i artikel 49, stk. 1, andet afsnit, dokumentation for passende sikkerhedsforanstaltninger.
- Hvor det er muligt, en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger, der er omhandlet i artikel 32, stk. Eller i givet fald de sikkerhedsforanstaltninger, der er nævnt i § 1, stk. 28, i 3-loven.
- De i stk. 1 og 2 nævnte optegnelser skal være skriftlige, herunder i elektronisk form.
- Den dataansvarlige eller databehandleren og, hvor det er relevant, den dataansvarliges eller databehandlerens repræsentant, stiller optegnelsen til rådighed for kommissæren efter anmodning.
- 1 og 2 omhandlede forpligtelser gælder ikke for en virksomhed eller en organisation, der beskæftiger færre end 250 personer, medmindre den behandling, den udfører, sandsynligvis vil medføre en risiko for de registreredes rettigheder og friheder, behandlingen er ikke lejlighedsvis , eller behandlingen omfatter særlige kategorier af oplysninger som omhandlet i artikel 9, stk. 1, eller personoplysninger vedrørende straffedomme og lovovertrædelser som omhandlet i artikel 10.
GDPR Artikel 30 omhandler fire nøgleområder i en registreringsvedligeholdelse:
Artikel 30 skitserer også undtagelser, der anvendes på ethvert af de ovennævnte områder - især det enhver organisation, der beskæftiger mindre end 250 personer, er ikke forpligtet til at føre behandlingsregistre, undtagen hvor de registreredes rettigheder og friheder "ikke er lejlighedsvise", eller organisationen behandler "særlige kategorier" af data eller kriminelle data.
Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo
Hvis du ikke bruger ISMS.online, gør du dit liv sværere, end det behøver at være!
Når de behandler sikkerhed inden for leverandørforhold, bør organisationer sikre, at begge parter er bevidste om deres forpligtelser med hensyn til privatlivsinformationssikkerhed og hinanden.
I den forbindelse bør organisationer:
Organisationer bør også opretholde en overenskomstregister, der viser alle aftaler, der er indgået med andre organisationer.
Organisationer bør overholde juridiske, lovbestemte, regulatoriske og kontraktmæssige krav, når:
Organisationer bør følge procedurer, der tillader dem identificere, analysere , forstå lovgivningsmæssige og regulatoriske forpligtelser – især dem, der vedrører privatlivsbeskyttelse og PII – uanset hvor de opererer.
Organisationer bør konstant være opmærksomme på deres forpligtelser til beskyttelse af privatlivets fred, når de indgår nye aftaler med tredjeparter, leverandører og kontrahenter.
Når de implementerer krypteringsmetoder for at styrke beskyttelsen af privatlivets fred og beskytte PII, bør organisationer:
Vi er omkostningseffektive og hurtige
I dette afsnit taler vi om GDPR artikel 30(1)(a), 30(1)(b), 30(1)(c), 30(1)(d), 30(1)(f), 30( 1)(g), 30 (3), 30 (4) og 30 (5)
Organisationer skal opretholde et grundigt sæt af registreringer, der understøtter deres handlinger og forpligtelser som PII-behandler.
Optegnelser (også kendt som "beholdningslister") bør have en delegeret ejer og kan omfatte:
Fra tid til anden kan der opstå behov for at overføre PII mellem to adskilte jurisdiktioner. Når dette sker, bør organisationer begrunde og dokumentere behovet for at gøre det.
Regionale lovgivningsmæssige og juridiske regler varierer afhængigt af, hvor dataene stammer fra, og hvor de skal overføres til.
Organisationer bør tage alle relevante love, rammer og bestemmelser i betragtning, når de har behov for at overføre data mellem jurisdiktioner, herunder brugen af en udpeget tilsynsmyndighed.
Organisationer bør føre en dokumenteret liste over de lande og organisationer, som de potentielt kan overføre deres PII til under rimelige omstændigheder.
Når de har formuleret en liste, bør organisationer stille informationen til rådighed for deres kunder, herunder eventuelle underentreprise PII-operationer (se ISO 27701 paragraf 7.5.1).
Under visse omstændigheder – især i tilfælde af kriminel efterforskning – kan fortrolighedslovgivning forhindre organisationen i at afsløre identiteten af destinationslande og -organisationer på forhånd (se ISO 27701 paragraf 8.5.4 og 8.5.5).
Det er meget vigtigt, at organisationer fører en nøjagtig registrering af PII-overførsler til tredjepartsorganisationer.
Organisationer bør være i stand til at registrere PII, der er blevet ændret på nogen måde (i overensstemmelse med de registeransvarliges forpligtelser og mål), eller overførsler, der er påkrævet, før de gennemfører en anmodning fra PII-principperen om at ændre eller slette PII.
Optegnelser bør være underlagt en forholdsmæssig opbevaringsperiode og bør være underlagt dataminimeringsregler, der kun returnerer det, der er nødvendigt for at opfylde et specifikt mål.
Organisationer bør logge enhver offentliggørelse af PII til tredjeparter, herunder følgende tre oplysninger:
Det er standardpraksis at afsløre PII af forskellige årsager gennem en organisations informationsbehandlingsoperation.
Der bør laves logs over afsløringer, der sker under normal forretningspraksis, og eventuelle særlige omstændigheder, der opstår (f.eks. lovgivningsmæssige eller juridiske undersøgelser.
Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo
I dette afsnit taler vi om GDPR artikel 30(2)(a), 30(2)(b), 30(3), 30(4) og 30(5)
Organisationer bør føre nøjagtige og ajourførte optegnelser, som gør det muligt for dem på ethvert givet tidspunkt at bevise overholdelse af eventuelle kontraktlige forpligtelser i forbindelse med behandlingen af PII.
Afhængigt af jurisdiktionen skal optegnelserne muligvis omfatte:
Organisationer skal have konkrete planer på plads, der styrer, hvordan PII kan være vendt tilbage, overført or anbragt af og stille alle sådanne politikker til rådighed for kunden.
Der er forskellige scenarier, der kræver bortskaffelse af PII, herunder (men ikke begrænset til):
Organisationer skal give kategoriske forsikringer om, at enhver PII, som ikke længere er nødvendig, vil blive ødelagt i overensstemmelse med enhver gældende lovgivning eller regionale retningslinjer.
Alle bortskaffelsespolitikker bør være tilgængelige for kunden på forlangende og bør dække den periode, organisationer skal ødelægge PII, når en kontrakt er blevet opsagt.
Organisationer bør føre en nøjagtig, ajourført liste over alle lande eller organisationer, hvor PII har potentiale til at blive overført til.
Kunder bør være i stand til at se en liste over potentielle modtagerlande og -organisationer på ethvert givet tidspunkt, herunder en log over alle lande, der er involveret i PII-underleverandører (se ISO 27701 paragraf 8.5.1).
Under visse omstændigheder vil organisationer ikke altid være i stand til på forhånd at oplyse, hvor anmodninger om overførsel stammer fra – især i tilfælde af straffesager. Dette er uundgåeligt, og det bør være organisationens prioritet at opretholde integriteten af en retshåndhævelsesoperation (se ISO 27701 paragraf 7.5.1, 8.5.4 og 8.5.5).
Organisationer bør omhyggeligt registrere alle tilfælde, hvor de har behov for at videregive PII til en tredjepart.
Når som helst PII afsløres – enten som en del af standard forretningsrutiner eller under særlige omstændigheder, såsom en igangværende juridisk eller regulatorisk proces – bør organisationer registrere, hvad der er blevet afsløret, modtageren og den underliggende årsag til at gøre det.
GDPR artikel | ISO 27701 klausul | ISO 27002 kontrol |
---|---|---|
EU GDPR artikel 30 (2)(d) | 6.12.1.2 | 5.10 5.12 5.13 5.20 |
EU GDPR artikel 30 (2)(d) | 6.15.1.1 | 5.20 |
EU GDPR artikel 30 (1)(a) til 30 (5) | 7.2.8 | Ingen |
EU GDPR artikel 30 (1)(e) | 7.5.1 | Ingen |
EU GDPR artikel 30 (1)(e) | 7.5.2 7.5.1 8.5.4 8.5.5 | Ingen |
EU GDPR artikel 30 (1)(e) | 7.5.3 | Ingen |
EU GDPR artikel 30 (1)(d) | 7.5.4 | Ingen |
EU GDPR artikel 30 (2)(a) til 30 (5) | 8.2.6 | Ingen |
EU GDPR artikel 30 (1)(f) | 8.4.2 | Ingen |
EU GDPR artikel 30 (2)(c) | 8.5.2 7.5.1 8.5.1 8.5.4 8.5.5 | Ingen |
EU GDPR artikel 30 (1)(d) | 8.5.3 | Ingen |
ISMS.online hjælper dig med at demonstrere et beskyttelsesniveau, der overstiger 'rimeligt' på et sikkert sted, der altid er tændt.
Vi gør datakortlægning til en simpel opgave. Ved at tilføje din organisations detaljer til vores prækonfigurerede dynamiske værktøj til registrering af behandlingsaktivitet, kan du nemt registrere og gennemgå det hele.
Hvis det værste sker, er du klar.
Med vores værktøjer kan du planlægge, kommunikere, dokumentere og lære af ethvert brud.
Find ud af mere ved booking af en 30 minutters demo.
Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo
Bed om et tilbud