GDPR Asetuksen 13 artikla koskee usein laajaa tietomäärää, joka rekisterinpitäjien on toimitettava rekisteröidyille sekä tiedonkeruupisteessä että koko käsittelyn ajan.
Tiedot, jotka on annettava, kun rekisteröidyltä kerätään henkilötietoja
Emme voi ajatella yhtäkään yritystä, jonka palvelu voisi pitää kynttilän ISMS.onlinelle.
13 artikla: Tiedot, jotka on annettava, kun rekisteröidyltä kerätään henkilötietoja
Organisaatioiden on asetettava seuraavat tiedot saataville noutopisteessä soveltuvin osin (esim. kansainväliset siirrot):
Artiklassa 13 esitettyjen ohjeiden mukaisesti organisaatioiden on toimitettava myös seuraavat tiedot:
Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi
ISMS.online säästää aikaa ja rahaa
Hanki tarjousOrganisaatioiden tulee laatia yksityiskohtaiset vaatimukset, jotka säätelevät, kuinka ja milloin tiedot on toimitettava henkilökohtaisten tunnistetietojen päämiehille.
Esimerkkejä ovat:
Kaikki tiedot on annettava virheettömästi ja kielellä, jota ihmiset, jotka osaavat lukea, ymmärtävät helposti (esim. ilman ammattikieltä, ei liian teknistä) (katso ISO 27702, kohta 7.3.2).
Olisi järjestettävä mekanismeja, jotka ottavat huomioon jokaisen suostumuksensa peruuttamista yrittävän henkilötietojen päämiehen oikeudet.
Viestintäkanavien tulee peilata niitä, joita organisaatio käytti tietojen keräämiseen alun perin, ja henkilökohtaisten tunnistetietojen päämiesten tulee pystyä estämään rekisterinpitäjä suorittamasta tiettyjä toimia.
Organisaatioiden tulee sitoutua julkaistuun vastausaikaan kaikkien suostumuspyyntöjen muuttamiseen tai peruuttamiseen, ja kaikki tällaiset pyynnöt on dokumentoitava perusteellisesti.
Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi
Paikalliset ja kansalliset lait vaihtelevat lainkäyttöalueiden välillä, mutta yleisesti ottaen henkilökohtaisten tunnistetietojen päämiesten tulisi säilyttää mahdollisuus vastustaa sitä, miten heidän tietojaan on säilytetty, käsitelty tai siirretty.
Organisaatioiden tulee:
Organisaatioiden tulee dokumentoida menettelyt, joiden avulla rekisteröidyt voivat suorittaa kolme perustoimintoa:
Organisaatioiden tulee sitoutua julkaistuun vastausaikaan kaikille pääsy-, korjaus- tai poistopyynnöille ja esitettävä tarvittaessa syy, miksi korjauksia ei voida tehdä.
Jos henkilökohtaisia tunnistetietoja on siirretty kolmannelle osapuolelle, organisaatiot ovat velvollisia välittämään heille mahdolliset pyynnöt ja vahvistamaan kuittauksen (katso ISO 27701 kohta 7.3.7).
Lainkäyttöalueesta riippuen voidaan soveltaa erilaisia alueellisia ja kansallisia sääntöjä. Sellaisenaan organisaatioiden tulee säilyttää perusteellinen ymmärrys kaikista lakeista tai määräyksistä, jotka koskevat henkilökohtaisten tunnistetietojen saatavuutta, korjaamista tai poistamista.
Organisaatioiden tulee kohdistaa kaikki lailliset velvoitteet henkilökohtaisten tunnistetietojen päättäjiin, jotka liittyvät henkilötietojen automaattiseen käsittelyyn.
Organisaatioiden tulisi ottaa huomioon lainkäyttövallan vaihtelut henkilökohtaisia tunnistetietoja koskevassa automatisoidussa päätöksenteossa – tarkemmin sanottuna sallimalla PII-päämiesten vastustaa ja pyytämällä ihmisen väliintuloa automaattisten menettelyjen sijaan.
Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi
Siirron jälkeen olemme pystyneet vähentämään hallintoon käytettyä aikaa.
Organisaatioiden on poistettava ja/tai hävitettävä henkilötiedot, joita se ei enää vaadi tai jotka eivät enää täytä tiettyä tarkoitusta.
Organisaatioiden tulee käyttää säilytysaikatauluja, joissa esitetään tarkka ajanjakso, jonka henkilökohtaisia tunnistetietoja säilytetään, mukaan lukien lakien, lakisääteisten tai sopimusehtojen noudattaminen.
GDPR-artikkeli | ISO 27701 -lauseke | Tukilausekkeet |
---|---|---|
14 artiklan 1 kohdan a alakohta, 1 kohdan b alakohta, 1 kohdan c alakohta, 1 kohdan d alakohta, 1 kohdan e alakohta, 1 kohdan f alakohta, 2 kohdan b alakohta , (2) (e), (2) (f), (3) (a), (3) (b), (3) (c), (4), (5) (a), (5) (b), (5) (c) ja (5) (d) | ISO 27701 7.3.2 | Ei eristetty |
14 artiklan 2 kohdan d alakohta | ISO 27701 7.3.4 | Ei eristetty |
14 artiklan 2 kohdan c alakohta | ISO 27701 7.3.5 | Ei eristetty |
14 artiklan 2 kohdan c alakohta | ISO 27701 7.3.6 | ISO 27701 7.3.7 |
14 artiklan 2 kohdan g alakohta | ISO 27701 7.3.10 | Ei eristetty |
14 artiklan 2 kohdan a alakohta | ISO 27701 7.4.7 | Ei eristetty |
ROPA on tehty helpoksi
PIMS-ratkaisumme tekee tietojen kartoittamisesta yksinkertaisen tehtävän. Kaiken tallentaminen ja tarkistaminen on helppoa, kun lisäät organisaatiosi tiedot valmiiksi määritettyyn dynaamiseen Records of Processing Activity -työkaluun.
Sisäänrakennettu riskipankki
Riskien hallinta on avain onnistuneeseen PIMS:ään. Siksi olemme luoneet sisäänrakennetun riskipankin ja joukon muita käytännön työkaluja, jotka auttavat kaikissa riskinarviointi- ja hallintaprosessin osissa.
Turvallinen tila DRR:lle
Mitä tahansa tietosuojastandardeja tai säännöksiä parissa työskentelet, sinun on osoitettava, kuinka hyvin hallitset Data Subject Rights Requests (DRR) -pyyntöjä. Suojattu DRR-tilamme pitää kaiken yhdessä paikassa ja tukee sitä automaattisella raportoinnilla ja oivalluksilla.
Lisätietoja: varata demo.
Se auttaa ohjaamaan käyttäytymistämme positiivisella tavalla, joka toimii meille
& kulttuuriamme.
Pyydä tarjous