Kuinka osoittaa GDPR-artiklan 12 noudattaminen

GDPR:n artiklan 12 noudattaminen korostaa vaatimusta selkeästä, läpinäkyvästä ja helposti saatavilla olevasta viestinnästä rekisterinpitäjien ja rekisteröityjen välillä, jotta henkilöt ymmärtävät, kuinka heidän henkilötietojaan käsitellään ja heidän GDPR-asetuksen mukaiset oikeutensa.

Tarvitsemme meille antamiasi tietoja ottaaksemme sinuun yhteyttä palveluihimme liittyen.
Peruuta tilaus milloin tahansa. Lisätietoja saat tutustumalla Tietosuojakäytäntö.

kirjailija
Max Edwards
Päivitetty 5. maaliskuuta 2025
LinkedIn Twitter Twitter

GDPR-artikla 12: Avoimuus ja rekisteröidyn oikeudet

GDPR Asetuksen 12 artiklassa keskitytään siihen, kuinka rekisterinpitäjät kommunikoivat rekisteröityjen kanssa sekä sen suhteen, kuinka he viestivät sisäisistä prosesseistaan, miten ne helpottavat tiedonkulkua ja miten ne huolehtivat rekisteröidyn oikeuksista.

GDPR artiklan 12 lakiteksti

EU:n GDPR-versio

Avoimet tiedot, viestintä ja yksityiskohtaiset säännöt rekisteröidyn oikeuksien käyttämiseksi

  1. Rekisterinpitäjän on toteutettava aiheelliset toimenpiteet toimittaakseen rekisteröidylle kaikki 13 ja 14 artiklassa tarkoitetut tiedot sekä 15–22 ja 34 artiklan mukaiset käsittelyyn liittyvät tiedot tiiviissä, avoimessa, ymmärrettävässä ja helposti saatavilla olevassa muodossa, selkeästi ja selkeästi. kielellä, erityisesti lapselle osoitettujen tietojen osalta. Tiedot on annettava kirjallisesti tai muulla tavalla, mukaan lukien tarvittaessa sähköiset välineet. Rekisteröidyn pyynnöstä tiedot voidaan antaa suullisesti edellyttäen, että rekisteröidyn henkilöllisyys todistetaan muulla tavoin.
  2. Rekisterinpitäjän on helpotettava rekisteröidyn 15–22 artiklan mukaisten oikeuksien käyttöä. Rekisterinpitäjä ei saa 11 artiklan 2 kohdassa tarkoitetuissa tapauksissa kieltäytyä toimimasta rekisteröidyn pyynnöstä, joka koskee 15–22 artiklan mukaisten oikeuksiensa käyttämistä. XNUMX–XNUMX, ellei rekisterinpitäjä osoita, ettei se pysty tunnistamaan rekisteröityä.
  3. Rekisterinpitäjän on annettava rekisteröidylle tiedot 15–22 artiklan mukaisen pyynnön johdosta toteutetuista toimista ilman aiheetonta viivytystä ja joka tapauksessa kuukauden kuluessa pyynnön vastaanottamisesta. Tätä määräaikaa voidaan tarvittaessa pidentää kahdella kuukaudella ottaen huomioon pyyntöjen monimutkaisuus ja lukumäärä. Rekisterinpitäjän on ilmoitettava rekisteröidylle tällaisesta jatkamisesta kuukauden kuluessa pyynnön vastaanottamisesta ja ilmoitettava viivästyksen syyt. Jos rekisteröity esittää pyynnön sähköisessä muodossa, tiedot on mahdollisuuksien mukaan annettava sähköisesti, ellei rekisteröity toisin pyydä.
  4. Jos rekisterinpitäjä ei ryhdy toimenpiteisiin rekisteröidyn pyynnöstä, rekisterinpitäjän on ilmoitettava rekisteröidylle viipymättä ja viimeistään kuukauden kuluessa pyynnön vastaanottamisesta syyt olla ryhtymättä toimenpiteisiin ja mahdollisuudesta tehdä ilmoitus valittaa valvontaviranomaiselle ja hakea oikeussuojakeinoja.
  5. Edellä 13 ja 14 artiklan mukaisesti annetut tiedot sekä 15–22 ja 34 artiklan mukaiset viestintä ja toimet on toimitettava maksutta. Jos rekisteröidyn pyynnöt ovat ilmeisen perusteettomia tai liiallisia erityisesti toistuvan luonteensa vuoksi, rekisterinpitäjä voi joko:

    • periä kohtuullinen maksu ottaen huomioon tiedon tai viestinnän toimittamisesta tai pyydettyjen toimenpiteiden toteuttamisesta aiheutuvat hallinnolliset kustannukset; tai
    • Kieltäytyä toimimasta pyynnöstä.

    Rekisterinpitäjällä on velvollisuus osoittaa pyynnön ilmeisen perusteeton tai liiallinen luonne.

  6. Jos rekisterinpitäjällä on perusteltuja epäilyjä 11–15 artiklassa tarkoitetun pyynnön esittäneen luonnollisen henkilön henkilöllisyydestä, rekisterinpitäjä voi pyytää toimittamaan lisätietoja, jotka ovat tarpeen rekisteröidyn henkilöllisyyden vahvistamiseksi, sanotun kuitenkaan rajoittamatta 21 artiklan soveltamista.
  7. Rekisteröityille 13 ja 14 artiklan mukaisesti toimitettavat tiedot voidaan antaa yhdessä standardoitujen kuvakkeiden kanssa, jotta aiotusta käsittelystä saadaan helposti näkyvällä, ymmärrettävällä ja selvästi luettavalla tavalla mielekäs yleiskuva. Jos kuvakkeet esitetään sähköisesti, niiden on oltava koneellisesti luettavia.
  8. Siirretään komissiolle valta antaa delegoituja säädöksiä 92 artiklan mukaisesti määrittääkseen kuvakkeilla esitettävät tiedot ja menettelyt standardoitujen kuvakkeiden tarjoamiseksi.


Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa

ISMS.online tukee yli 100 standardia
ja määräykset, mikä antaa sinulle yhden
alusta kaikkiin vaatimustenmukaisuustarpeisiisi.

Varaa demo


Yhdistyneen kuningaskunnan GDPR-versio

  1. Rekisterinpitäjän on toteutettava aiheelliset toimenpiteet toimittaakseen rekisteröidylle kaikki 13 ja 14 artiklassa tarkoitetut tiedot sekä 15–22 ja 34 artiklan mukaiset käsittelyyn liittyvät tiedot tiiviissä, avoimessa, ymmärrettävässä ja helposti saatavilla olevassa muodossa, selkeästi ja selkeästi. kielellä, erityisesti lapselle osoitettujen tietojen osalta. Tiedot on annettava kirjallisesti tai muulla tavalla, mukaan lukien tarvittaessa sähköiset välineet. Rekisteröidyn pyynnöstä tiedot voidaan antaa suullisesti edellyttäen, että rekisteröidyn henkilöllisyys todistetaan muulla tavoin.
  2. Rekisterinpitäjän on helpotettava rekisteröidyn 15–22 artiklan mukaisten oikeuksien käyttöä. Rekisterinpitäjä ei saa 11 artiklan 2 kohdassa tarkoitetuissa tapauksissa kieltäytyä toimimasta rekisteröidyn pyynnöstä, joka koskee 15–22 artiklan mukaisten oikeuksiensa käyttämistä. XNUMX–XNUMX, ellei rekisterinpitäjä osoita, ettei se pysty tunnistamaan rekisteröityä.
  3. Rekisterinpitäjän on annettava rekisteröidylle tiedot 15–22 artiklan mukaisen pyynnön johdosta toteutetuista toimista ilman aiheetonta viivytystä ja joka tapauksessa kuukauden kuluessa pyynnön vastaanottamisesta. Tätä määräaikaa voidaan tarvittaessa pidentää kahdella kuukaudella, kun otetaan huomioon pyyntöjen monimutkaisuus ja määrä. Rekisterinpitäjän on ilmoitettava rekisteröidylle tällaisesta jatkamisesta kuukauden kuluessa pyynnön vastaanottamisesta ja ilmoitettava viivästyksen syyt. . Jos rekisteröity esittää pyynnön sähköisessä muodossa, tiedot on mahdollisuuksien mukaan annettava sähköisesti, ellei rekisteröity toisin pyydä.
  4. Jos rekisterinpitäjä ei ryhdy toimenpiteisiin rekisteröidyn pyynnöstä, rekisterinpitäjän on ilmoitettava rekisteröidylle viipymättä ja viimeistään kuukauden kuluessa pyynnön vastaanottamisesta syyt olla ryhtymättä toimenpiteisiin ja mahdollisuudesta tehdä ilmoitus valittaa valvontaviranomaiselle komission jäsenelle ja hakea oikeussuojakeinoja.
  5. Edellä 13 ja 14 artiklan mukaisesti annetut tiedot sekä 15–22 ja 34 artiklan mukaiset viestintä ja toimet on toimitettava maksutta. Jos rekisteröidyn pyynnöt ovat ilmeisen perusteettomia tai liiallisia erityisesti toistuvan luonteensa vuoksi, rekisterinpitäjä voi joko:

    • periä kohtuullinen maksu ottaen huomioon tiedon tai viestinnän toimittamisesta tai pyydettyjen toimenpiteiden toteuttamisesta aiheutuvat hallinnolliset kustannukset; tai
    • Kieltäytyä toimimasta pyynnöstä.

    Rekisterinpitäjällä on velvollisuus osoittaa pyynnön ilmeisen perusteeton tai liiallinen luonne.

  6. Jos rekisterinpitäjällä on perusteltuja epäilyjä 11–15 artiklassa tarkoitetun pyynnön esittäneen luonnollisen henkilön henkilöllisyydestä, rekisterinpitäjä voi pyytää toimittamaan lisätietoja, jotka ovat tarpeen rekisteröidyn henkilöllisyyden vahvistamiseksi, sanotun kuitenkaan rajoittamatta 21 artiklan soveltamista.

    • [6A. Komissaari voi julkaista (ja muuttaa tai peruuttaa)
    • a) standardoidut kuvakkeet käytettäväksi yhdessä rekisteröidyille 13 ja 14 artiklan mukaisesti toimitettujen tietojen kanssa;
    • (b) Ilmoitus, jossa todetaan, että muut henkilöt voivat julkaista (ja muuttaa tai peruuttaa) tällaisia ​​kuvakkeita edellyttäen, että kuvakkeet täyttävät ilmoituksessa määritellyt vaatimukset, jotka koskevat kuvakkeiden esittämiä tietoja ja kuvakkeiden toimittamistapoja.
    • 6B. Komissaari ei saa julkaista kuvakkeita tai 6A kohdan mukaista ilmoitusta, ellei ole vakuuttunut (tarvittaessa), että kuvakkeet antavat tarkoituksenmukaisen yleiskuvan aiotusta käsittelystä helposti näkyvällä, ymmärrettävällä ja selvästi luettavalla tavalla tai että ilmoitus johtaa kuvakkeisiin, jotka tekevät niin. .]
  7. Jos standardoidut kuvakkeet julkaistaan ​​kohdassa 6A kuvatulla tavalla (eikä peruuteta), rekisteröidyille 13 ja 14 artiklan mukaisesti annettavat tiedot voidaan toimittaa yhdessä kuvakkeiden kanssa. Jos kuvakkeet esitetään sähköisesti, niiden on oltava koneellisesti luettavia.

Tekninen kommentti

Toimitettujen tietojen laatu

Rekisterinpitäjän päämiehelle toimittamien tietojen tulee olla:

  1. Lyhyt.
  2. Läpinäkyvä.
  3. Ymmärrettävä.
  4. Helposti saatavilla.
  5. Helposti ymmärrettävissä.
  6. Sopivassa muodossa.

Rekisteröidyn oikeuksien edistäminen

Vaikka GDPR ei sisällä erityisiä ohjeita siitä, kuinka organisaatioiden tulisi tarjota "mekanismeja pyytääkseen ja soveltuvin osin saadakseen maksutta erityisesti pääsyä henkilötietoihin ja niiden oikaisemista tai poistamista sekä oikeuden käyttämistä vastustaa'.

Aikarajat

Lainsäädännöstä puuttuu tarkka määritelmä siitä, mikä aika on hyväksyttävä pyyntöihin vastaamiselle. Sen sijaan organisaatioiden tehtävänä on toimia mahdollisimman nopeasti (tai "ilman aiheetonta viivytystä") kuukauden kuluessa – pidennetään kahdeksi kuukaudeksi monimutkaisissa pyynnöissä.

Jos organisaatio ei aio toimia pyynnön johdosta, rekisteröidylle on ilmoitettava syyt kuukauden kuluessa sekä tiedot valituksen tekemisestä.

EU:n GDPR:n artikla 12 (2) ja ISO 27701 -lauseke 7.3.1

Pii-rehtorien velvollisuuksien määrittäminen ja täyttäminen

Organisaatioiden on dokumentoitava velvollisuutensa PII-päämiehiä kohtaan kolmella avainalueella:

  1. Laillista.
  2. Sääntely.
  3. Liiketoimintaa.

Organisaatioiden olisi tarjottava avoimet asiakirjat ja nimetty yhteyspiste PII-päämiehille helpottaakseen vapaata tiedonkulkua eikä millään tavoin estä PII-päämiestä vahvistamasta rekisterinpitäjän velvollisuuksia.

On tärkeää huomata, että yhdenmukaisuuden varmistamiseksi kaikkien tarjottujen yhteydenottotapojen tulee heijastaa tapaa, jolla organisaatio kerää henkilökohtaisia ​​tunnistetietoja – esim. sähköpostiosoitteen tai PoC:n antaminen, jos tiedot on kerätty sähköpostitse, sen sijaan, että pyytäisivät pelkästään päämiestä kirjoittamaan kirje.



Vaatimustenmukaisuuden ei tarvitse olla monimutkaista.

Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.

Varaa demo


EU:n GDPR:n artiklat 12 (1) ja (7) sekä ISO 27701:n lauseke 7.3.3

Tietojen antaminen henkilökohtaisten tunnistetietojen päämiehille

Organisaatioiden on kyettävä toimittamaan PII-päämiehille tietoja, jotka tunnistavat PII-rekisterinpitäjän ja kuinka tietoja käsitellään.

Organisaatioiden tulee tehdä kaikkensa varmistaakseen, että ne käyttävät esteetöntä kieltä, joka välttää alan ammattikieltä ja välittää tiedot selkein, helposti ymmärrettävin termein (katso ISO 27702, kohta 7.3.2).

Tukee ISO 27701 -lausekkeita

  • ISO 27701 7.3.2

EU:n GDPR:n artiklat 12 (3), (4), (5), (6) ja ISO 27701:n lauseke 7.3.9

PII-päämiehiltä tulevia pyyntöjä tulee ohjata prosesseilla ja valvontatoimilla, jotka ymmärretään laajasti koko organisaatiossa, ja niiden tulee ottaa huomioon mahdollisten lakien tai määräysten erityispiirteet, mukaan lukien riittävät vastausajat.

Pyynnöt voivat sisältää:

  1. Kopiot tiedoista.
  2. Valitukset.
  3. Menettelyn selvennykset.

Organisaatiot voivat lain mukaan veloittaa käsittelymaksun, mutta sitä sovelletaan yleensä vain toistuviin tai liiallisiin tietopyyntöihin.

Tuetut säätimet ISO 27701:stä

GDPR-artikkeliISO 27701 -lausekeISO 27701 -tukilausekkeet
EU:n GDPR:n artikla 12 (2)ISO 27701 7.3.1Ei eristetty
EU:n GDPR:n artiklat 12 (1), (7)ISO 27701 7.3.3ISO 27701 7.3.2
EU:n GDPR:n artiklat 12 (3), (4), (5), (6)ISO 27701 7.3.9Ei eristetty

Miten ISMS.online auttaa

ROPA on tehty helpoksi

Teemme tietojen kartoittamisesta yksinkertaisen tehtävän. Kaiken tallentaminen ja tarkistaminen on helppoa, kun lisäät organisaatiosi tiedot valmiiksi määritettyyn dynaamiseen Records of Processing Activity -työkaluun.

Arviointimallit

Tarjoamme helppokäyttöisiä malleja yksityisyyden ja oikeutetun edun arviointien tallentamiseen.

Turvallinen tila DRR:lle

Sinun on osoitettava, kuinka hyvin hallitset Data Subject Rights Requests (DRR) -pyyntöjä. Suojattu DRR-tilamme pitää kaiken yhdessä paikassa ja tukee sitä automaattisella raportoinnilla ja oivalluksilla.

Rikkomuksen hallinta

Jos pahin tapahtuu, olet valmis. Teemme rikkomusten työnkulkusi suunnittelusta ja viestimisestä helppoa sekä dokumentoimme ja opimme jokaisesta tapauksesta.

Lisätietoja: varata demo.

Hyppää aiheeseen

Max Edwards

Max toimii osana ISMS.online-markkinointitiimiä ja varmistaa, että verkkosivustomme päivitetään hyödyllisellä sisällöllä ja tiedolla kaikesta ISO 27001, 27002 ja vaatimustenmukaisuudesta.

ISMS Platform Tour

Oletko kiinnostunut ISMS.online-alustakierroksesta?

Aloita ilmainen 2 minuutin interaktiivinen demo nyt ja koe ISMS.onlinen taika toiminnassa!

Kokeile ilmaiseksi

Olemme alamme johtaja

Käyttäjät rakastavat meitä
Leader Winter 2025
Leader Winter 2025 Iso-Britannia
Paras ROI-talvi 2025
Nopein käyttöönotto talvi 2025
Toteutettavin talvi 2025

"ISMS.Online, erinomainen työkalu sääntelyn noudattamiseen"

-Jim M.

"Tekee ulkoisista tarkastuksista helppoa ja yhdistää kaikki ISMS:si osat saumattomasti yhteen"

-Karen C.

"Innovatiivinen ratkaisu ISO- ja muiden akkreditointien hallintaan"

-Ben H.

DORA on täällä! Paranna digitaalista kestävyyttäsi tänään tehokkaalla uudella ratkaisullamme!