Kuinka osoittaa GDPR-artiklan 12 noudattaminen

Yhdistyneen kuningaskunnan GDPR-versio

1. Rekisterinpitäjän on toteutettava aiheelliset toimenpiteet toimittaakseen rekisteröidylle kaikki 13 ja 14 artiklassa tarkoitetut tiedot sekä 15–22 ja 34 artiklan mukaiset käsittelyyn liittyvät tiedot tiiviissä, avoimessa, ymmärrettävässä ja helposti saatavilla olevassa muodossa, selkeästi ja selkeästi. kielellä, erityisesti lapselle osoitettujen tietojen osalta. Tiedot on annettava kirjallisesti tai muulla tavalla, mukaan lukien tarvittaessa sähköiset välineet. Rekisteröidyn pyynnöstä tiedot voidaan antaa suullisesti edellyttäen, että rekisteröidyn henkilöllisyys todistetaan muulla tavoin.
2. Rekisterinpitäjän on helpotettava rekisteröidyn 15–22 artiklan mukaisten oikeuksien käyttöä. Rekisterinpitäjä ei saa 11 artiklan 2 kohdassa tarkoitetuissa tapauksissa kieltäytyä toimimasta rekisteröidyn pyynnöstä, joka koskee 15–22 artiklan mukaisten oikeuksiensa käyttämistä. XNUMX–XNUMX, ellei rekisterinpitäjä osoita, ettei se pysty tunnistamaan rekisteröityä.
3. Rekisterinpitäjän on annettava rekisteröidylle tiedot 15–22 artiklan mukaisen pyynnön johdosta toteutetuista toimista ilman aiheetonta viivytystä ja joka tapauksessa kuukauden kuluessa pyynnön vastaanottamisesta. Tätä määräaikaa voidaan tarvittaessa pidentää kahdella kuukaudella, kun otetaan huomioon pyyntöjen monimutkaisuus ja määrä. Rekisterinpitäjän on ilmoitettava rekisteröidylle tällaisesta jatkamisesta kuukauden kuluessa pyynnön vastaanottamisesta ja ilmoitettava viivästyksen syyt. . Jos rekisteröity esittää pyynnön sähköisessä muodossa, tiedot on mahdollisuuksien mukaan annettava sähköisesti, ellei rekisteröity toisin pyydä.
4. Jos rekisterinpitäjä ei ryhdy toimenpiteisiin rekisteröidyn pyynnöstä, rekisterinpitäjän on ilmoitettava rekisteröidylle viipymättä ja viimeistään kuukauden kuluessa pyynnön vastaanottamisesta syyt olla ryhtymättä toimenpiteisiin ja mahdollisuudesta tehdä ilmoitus valittaa valvontaviranomaiselle komission jäsenelle ja hakea oikeussuojakeinoja.
5. Edellä 13 ja 14 artiklan mukaisesti annetut tiedot sekä 15–22 ja 34 artiklan mukaiset viestintä ja toimet on toimitettava maksutta. Jos rekisteröidyn pyynnöt ovat ilmeisen perusteettomia tai liiallisia erityisesti toistuvan luonteensa vuoksi, rekisterinpitäjä voi joko:
• periä kohtuullinen maksu ottaen huomioon tiedon tai viestinnän toimittamisesta tai pyydettyjen toimenpiteiden toteuttamisesta aiheutuvat hallinnolliset kustannukset; tai
• Kieltäytyä toimimasta pyynnöstä.

Rekisterinpitäjällä on velvollisuus osoittaa pyynnön ilmeisen perusteeton tai liiallinen luonne.

6. Jos rekisterinpitäjällä on perusteltuja epäilyjä 11–15 artiklassa tarkoitetun pyynnön esittäneen luonnollisen henkilön henkilöllisyydestä, rekisterinpitäjä voi pyytää toimittamaan lisätietoja, jotka ovat tarpeen rekisteröidyn henkilöllisyyden vahvistamiseksi, sanotun kuitenkaan rajoittamatta 21 artiklan soveltamista.
• [6A. Komissaari voi julkaista (ja muuttaa tai peruuttaa)
• a) standardoidut kuvakkeet käytettäväksi yhdessä rekisteröidyille 13 ja 14 artiklan mukaisesti toimitettujen tietojen kanssa;
• (b) Ilmoitus, jossa todetaan, että muut henkilöt voivat julkaista (ja muuttaa tai peruuttaa) tällaisia ​​kuvakkeita edellyttäen, että kuvakkeet täyttävät ilmoituksessa määritellyt vaatimukset, jotka koskevat kuvakkeiden esittämiä tietoja ja kuvakkeiden toimittamistapoja.
• 6B. Komissaari ei saa julkaista kuvakkeita tai 6A kohdan mukaista ilmoitusta, ellei ole vakuuttunut (tarvittaessa), että kuvakkeet antavat tarkoituksenmukaisen yleiskuvan aiotusta käsittelystä helposti näkyvällä, ymmärrettävällä ja selvästi luettavalla tavalla tai että ilmoitus johtaa kuvakkeisiin, jotka tekevät niin. .]
7. Jos standardoidut kuvakkeet julkaistaan ​​kohdassa 6A kuvatulla tavalla (eikä peruuteta), rekisteröidyille 13 ja 14 artiklan mukaisesti annettavat tiedot voidaan toimittaa yhdessä kuvakkeiden kanssa. Jos kuvakkeet esitetään sähköisesti, niiden on oltava koneellisesti luettavia.

Tekninen kommentti

Toimitettujen tietojen laatu

Rekisterinpitäjän päämiehelle toimittamien tietojen tulee olla:

1. Lyhyt.
2. Läpinäkyvä.
3. Ymmärrettävä.
4. Helposti saatavilla.
5. Helposti ymmärrettävissä.
6. Sopivassa muodossa.

Rekisteröidyn oikeuksien edistäminen

Vaikka GDPR ei sisällä erityisiä ohjeita siitä, kuinka organisaatioiden tulisi tarjota "mekanismeja pyytääkseen ja soveltuvin osin saadakseen maksutta erityisesti pääsyä henkilötietoihin ja niiden oikaisemista tai poistamista sekä oikeuden käyttämistä vastustaa'.

Aikarajat

Lainsäädännöstä puuttuu tarkka määritelmä siitä, mikä aika on hyväksyttävä pyyntöihin vastaamiselle. Sen sijaan organisaatioiden tehtävänä on toimia mahdollisimman nopeasti (tai "ilman aiheetonta viivytystä") kuukauden kuluessa – pidennetään kahdeksi kuukaudeksi monimutkaisissa pyynnöissä.

Jos organisaatio ei aio toimia pyynnön johdosta, rekisteröidylle on ilmoitettava syyt kuukauden kuluessa sekä tiedot valituksen tekemisestä.

EU:n GDPR:n artikla 12 (2) ja ISO 27701 -lauseke 7.3.1

Pii-rehtorien velvollisuuksien määrittäminen ja täyttäminen

Organisaatioiden on dokumentoitava velvollisuutensa PII-päämiehiä kohtaan kolmella avainalueella:

1. Laillista.
2. Sääntely.
3. Liiketoimintaa.

Organisaatioiden olisi tarjottava avoimet asiakirjat ja nimetty yhteyspiste PII-päämiehille helpottaakseen vapaata tiedonkulkua eikä millään tavoin estä PII-päämiestä vahvistamasta rekisterinpitäjän velvollisuuksia.

On tärkeää huomata, että yhdenmukaisuuden varmistamiseksi kaikkien tarjottujen yhteydenottotapojen tulee heijastaa tapaa, jolla organisaatio kerää henkilökohtaisia ​​tunnistetietoja – esim. sähköpostiosoitteen tai PoC:n antaminen, jos tiedot on kerätty sähköpostitse, sen sijaan, että pyytäisivät pelkästään päämiestä kirjoittamaan kirje.

EU:n GDPR:n artiklat 12 (1) ja (7) sekä ISO 27701:n lauseke 7.3.3

Tietojen antaminen henkilökohtaisten tunnistetietojen päämiehille

Organisaatioiden on kyettävä toimittamaan PII-päämiehille tietoja, jotka tunnistavat PII-rekisterinpitäjän ja kuinka tietoja käsitellään.

Organisaatioiden tulee tehdä kaikkensa varmistaakseen, että ne käyttävät esteetöntä kieltä, joka välttää alan ammattikieltä ja välittää tiedot selkein, helposti ymmärrettävin termein (katso ISO 27702, kohta 7.3.2).

Tukee ISO 27701 -lausekkeita

• ISO 27701 7.3.2

EU:n GDPR:n artiklat 12 (3), (4), (5), (6) ja ISO 27701:n lauseke 7.3.9

PII-päämiehiltä tulevia pyyntöjä tulee ohjata prosesseilla ja valvontatoimilla, jotka ymmärretään laajasti koko organisaatiossa, ja niiden tulee ottaa huomioon mahdollisten lakien tai määräysten erityispiirteet, mukaan lukien riittävät vastausajat.

Pyynnöt voivat sisältää:

1. Kopiot tiedoista.
2. Valitukset.
3. Menettelyn selvennykset.

Organisaatiot voivat lain mukaan veloittaa käsittelymaksun, mutta sitä sovelletaan yleensä vain toistuviin tai liiallisiin tietopyyntöihin.

Tuetut säätimet ISO 27701:stä

Miten ISMS.online auttaa

ROPA on tehty helpoksi

Teemme tietojen kartoittamisesta yksinkertaisen tehtävän. Kaiken tallentaminen ja tarkistaminen on helppoa, kun lisäät organisaatiosi tiedot valmiiksi määritettyyn dynaamiseen Records of Processing Activity -työkaluun.

Arviointimallit

Tarjoamme helppokäyttöisiä malleja yksityisyyden ja oikeutetun edun arviointien tallentamiseen.

Turvallinen tila DRR:lle

Sinun on osoitettava, kuinka hyvin hallitset Data Subject Rights Requests (DRR) -pyyntöjä. Suojattu DRR-tilamme pitää kaiken yhdessä paikassa ja tukee sitä automaattisella raportoinnilla ja oivalluksilla.

Rikkomuksen hallinta

Jos pahin tapahtuu, olet valmis. Teemme rikkomusten työnkulkusi suunnittelusta ja viestimisestä helppoa sekä dokumentoimme ja opimme jokaisesta tapauksesta.

Lisätietoja: varata demo.