GDPR Artikel 35 pålægger organisationer at udføre en Data Protection Impact Assessment (DPIA) når deres handlinger som databehandler har potentiale til at påvirke enkeltpersoners rettigheder og friheder, som givet af deres nationale regeringer.
Konsekvensvurdering af databeskyttelse
- Hvor en form for behandling, især ved brug af nye teknologier, og under hensyntagen til behandlingens art, omfang, kontekst og formål sandsynligvis vil medføre en høj risiko for fysiske personers rettigheder og frihedsrettigheder, skal den dataansvarlige forud for behandlingen, foretage en vurdering af virkningen af de påtænkte behandlinger på beskyttelsen af personoplysninger. En enkelt vurdering kan omhandle et sæt lignende behandlingsoperationer, der udgør lignende høje risici.
- Den registeransvarlige skal søge råd hos den databeskyttelsesansvarlige, hvis den er udpeget, når han udfører en konsekvensanalyse for databeskyttelse.
- En databeskyttelseskonsekvensvurdering som omhandlet i stk. 1 kræves især i tilfælde af:
- a) en systematisk og omfattende vurdering af personlige forhold vedrørende fysiske personer, som er baseret på automatiseret behandling, herunder profilering, og som er baseret på afgørelser, der har retsvirkninger for den fysiske person eller på lignende måde væsentligt påvirker den fysiske person.
- b) behandling i stor skala af særlige kategorier af oplysninger som omhandlet i artikel 9, stk. 1, eller af personoplysninger vedrørende straffedomme og lovovertrædelser som omhandlet i artikel 10 eller
- c) en systematisk overvågning af et offentligt tilgængeligt område i stor skala.
- Kommissæren udarbejder og offentliggør en liste over den type behandlinger, der er omfattet af kravet om en databeskyttelseskonsekvensvurdering i henhold til stk. 1. Tilsynsmyndigheden meddeler disse lister til det i artikel 68 omhandlede udvalg.
- Kommissæren kan også udarbejde og offentliggøre en liste over den type behandlingsoperationer, for hvilke der ikke kræves en konsekvensanalyse af databeskyttelse. Tilsynsmyndigheden meddeler disse lister til bestyrelsen.
- Vurderingen skal mindst indeholde:
- a) en systematisk beskrivelse af de påtænkte behandlinger og formålene med behandlingen, herunder, hvor det er relevant, den legitime interesse, som den registeransvarlige forfølger.
- b) en vurdering af nødvendigheden og proportionaliteten af behandlingsoperationerne i forhold til formålene.
- c) en vurdering af risiciene for de registreredes rettigheder og friheder som omhandlet i stk. og
- d) de påtænkte foranstaltninger for at imødegå risici, herunder beskyttelsesforanstaltninger, sikkerhedsforanstaltninger og mekanismer til at sikre beskyttelsen af personoplysninger og til at påvise overholdelse af denne forordning under hensyntagen til de registreredes og andre berørte personers rettigheder og legitime interesser.
- De relevante dataansvarliges eller databehandleres overholdelse af godkendte adfærdskodekser, som omhandlet i artikel 40, skal tages i betragtning ved vurderingen af virkningen af de behandlingsoperationer, der udføres af sådanne dataansvarlige eller databehandlere, især med henblik på en konsekvensanalyse for databeskyttelse.
- Hvor det er relevant, skal den dataansvarlige indhente synspunkter fra registrerede eller deres repræsentanter om den påtænkte behandling, uden at dette berører beskyttelsen af kommercielle eller offentlige interesser eller sikkerheden ved behandlingsoperationer.
- I tilfælde af behandling i henhold til artikel 6, stk. 1, litra c) eller e), finder denne artikels stk. 1-7 ikke anvendelse, hvis der allerede er foretaget en databeskyttelseskonsekvensvurdering for behandlingen som led i en generel konsekvensanalyse, der kræves i henhold til national lovgivning, medmindre andet er fastsat i national lovgivning.
- Hvor det er nødvendigt, skal den registeransvarlige foretage en gennemgang for at vurdere, om behandlingen udføres i overensstemmelse med konsekvensanalysen for databeskyttelse, i det mindste når der er en ændring af den risiko, som behandlingsoperationer udgør.
UK GDPR ligner stort set EU's GDPR-uddrag uden mærkbare forskelle.
Bed om et tilbud
Når organisationer overvejer planlægning og implementering af en DPIA, skal organisationer overveje 11 nøgleområder:
PII og privatlivsbeskyttelse har potentiale til at påvirke et stort antal medarbejdere, brugere, kunder, både internt og eksternt.
Organisationer skal opnå en klar forståelse af behovene hos berørt personale, og hvad ISO betragter som "interesserede parter".
Organisationens behov for at etablere og dokumentere:
Organisationer bør også tage hensyn til eventuelle juridiske, reguleringsmæssige eller kontraktlige forpligtelser ud over praktiske og operationelle krav.
Når de implementerer et PIMS, skal organisationer kortlægge en liste over interesserede parter, der enten er berørt af et PIMS eller har en rolle at spille i behandlingen af PII.
Når det drejer sig om PII, kan en interesseret part være en af følgende (men ikke begrænset til):
Det er vigtigt at bemærke, at PII-krav – som relateret til en PIMS – ofte stammer fra en lang række kilder, herunder:
Det kan ofte være svært for styrende og regulerende organisationer at bekræfte overholdelse af offentliggjorte privatlivsbeskyttelsesstandarder fra en organisations side i dens rolle som PII-behandler og dataansvarlig.
Som sådan skal organisationer forvente, at sådanne organer kræver uafhængige gennemgange af ethvert relevant ledelsessystem for at opfylde deres egne revisionskrav.
I dette afsnit taler vi om GDPR artikel 35 (1), 35 (10), 35 (11), 35 (2), 35 (3)(a), 35 (3)(b), 35 (3)(c). ), 35 (4), 35 (5), 35 (7) (a), 35 (7) (b), 35 (7) (c), 35 (7) (d), 35 (8) og 35 (9)
Vurderinger af privatlivets fred giver organisationer mulighed for at måle eventuelle informationssikkerhedsimplikationer, når de behandler et nyt sæt PII eller ændrer den måde, eksisterende data behandles på.
PII-behandling er en risikotung forretningsfunktion, der skal vurderes grundigt for at sikre integriteten, ægtheden og lovligheden af de data, der behandles.
Afhængigt af jurisdiktionen skal nogle organisationer overholde en kategorisk liste over scenarier, hvor der kræves en vurdering af privatlivets fred, såsom:
Organisationer skal fastslå, hvad der udgør en passende konsekvensanalyse, herunder (men ikke begrænset til):
Vi er omkostningseffektive og hurtige
Kontrakter skal indeholde:
| GDPR artikel | ISO 27701 klausul | ISO 27701 understøttende klausuler |
|---|---|---|
| EU GDPR artikel 35 (9) | ISO 27701 5.2.2 | Ingen |
| EU GDPR artikel 35 (1) til 35 (9) | ISO 27701 7.2.5 | Ingen |
| EU GDPR artikel 35 (1) | ISO 27701 8.2.1 | ISO 27701 7.4 ISO 27701 8.4 |
En overtrædelse af GDPR kan resultere i betydelige bøder, hvilket gør det til en af de skrappeste regler for privatliv og sikkerhed i verden. Derfor skal organisationer beskytte persondata i et 'rimeligt' omfang.
Men her er de gode nyheder.
Ved at bruge ISMS.online kan du springe direkte ind i GDPR-overholdelse og demonstrere et beskyttelsesniveau, der rækker ud over 'rimeligt'. Vi gør datakortlægning let. Registrer og gennemse nemt din organisations behandlingsaktivitet ved at tilføje dine oplysninger til vores forudkonfigurerede dynamiske værktøj til registrering af behandlingsaktivitet.
Med vores værktøjer kan du planlægge, kommunikere, dokumentere og lære af ethvert brud.
Find ud af mere ved booking af en demo.
ISMS.online er en
one-stop-løsning, der radikalt fremskyndede vores implementering.
