Kuinka osoittaa GDPR-artiklan 13 noudattaminen

GDPR:n artiklan 13 noudattaminen selittää tiedot, jotka rekisterinpitäjien on annettava kerätessään henkilötietoja, mikä varmistaa avoimuuden ja oikeudenmukaisen käsittelyn GDPR:n mukaisesti. Se kattaa keskeiset vaatimukset, kuten henkilöllisyyden paljastamisen, käsittelyn tarkoituksen, rekisteröidyn oikeudet, säilytysajat ja kansainväliset siirrot, jotta organisaatiot voivat noudattaa niitä tehokkaasti.

Tarvitsemme meille antamiasi tietoja ottaaksemme sinuun yhteyttä palveluihimme liittyen.
Peruuta tilaus milloin tahansa. Lisätietoja saat tutustumalla Tietosuojakäytäntö.

kirjailija
Max Edwards
Päivitetty 5. maaliskuuta 2025
LinkedIn Twitter Twitter

GDPR artiklan 13 noudattaminen: Opas läpinäkyvään tietojenkäsittelyyn

GDPR Asetuksen 13 artikla koskee usein laajaa tietomäärää, joka rekisterinpitäjien on toimitettava rekisteröidyille sekä tiedonkeruupisteessä että koko käsittelyn ajan.

GDPR artiklan 13 lakiteksti

EU:n GDPR-versio

Tiedot, jotka on annettava, kun rekisteröidyltä kerätään henkilötietoja

  1. Jos rekisteröityä koskevia henkilötietoja kerätään rekisteröidyltä, rekisterinpitäjän on henkilötietoja saatuaan annettava rekisteröidylle kaikki seuraavat tiedot:

    • Rekisterinpitäjän ja tarvittaessa rekisterinpitäjän edustajan henkilöllisyys ja yhteystiedot;
    • Tietosuojavastaavan yhteystiedot tarvittaessa;
    • Käsittelyn tarkoitukset, joihin henkilötiedot on tarkoitettu, sekä käsittelyn oikeusperusta;
    • Jos käsittely perustuu 6 artiklan 1 kohdan f alakohtaan, rekisterinpitäjän tai kolmannen osapuolen oikeutetut edut;
    • Henkilötietojen vastaanottajat tai vastaanottajien ryhmät, jos sellaisia ​​on;
    • Tarvittaessa tieto siitä, että rekisterinpitäjä aikoo siirtää henkilötietoja kolmanteen maahan tai kansainväliseen organisaatioon ja komission päätöksen olemassaolo tai puuttuminen tai 46 tai 47 artiklassa tarkoitettujen siirtojen tapauksessa tai toinen 49 artiklan 1 kohdan alakohta, viittaus asianmukaisiin tai sopiviin suojatoimiin ja keinoihin, joilla niistä saadaan kopio tai missä ne on asetettu saataville.
  2. Rekisterinpitäjän on 1 kohdassa tarkoitettujen tietojen lisäksi annettava rekisteröidylle henkilötietoja saatuaan seuraavat tiedot, jotka ovat tarpeen oikeudenmukaisen ja avoimen käsittelyn varmistamiseksi:

    • Aika, jonka henkilötietoja säilytetään, tai jos se ei ole mahdollista, kyseisen ajanjakson määrittämisessä käytetyt kriteerit;
    • Oikeus pyytää rekisterinpitäjältä pääsyä ja oikaisua tai poistamista tai rekisteröidyn käsittelyn rajoittamista tai vastustaa käsittelyä sekä oikeus tietojen siirrettävyyteen;
    • Jos käsittely perustuu 6 artiklan 1 kohdan a alakohtaan tai 9 artiklan 2 kohdan a alakohtaan, oikeus peruuttaa suostumus milloin tahansa vaikuttamatta suostumukseen perustuvan käsittelyn laillisuuteen ennen sen poistaminen;
    • Oikeus tehdä valitus valvontaviranomaiselle;
    • Onko henkilötietojen toimittaminen lakisääteinen tai sopimukseen perustuva vaatimus tai vaatimus sopimuksen tekemiseksi, sekä onko rekisteröidyn velvollisuus toimittaa henkilötiedot ja mahdollisista seurauksista, jos henkilötietoja ei toimiteta;
    • 22 artiklan 1 ja 4 kohdassa tarkoitetun automatisoidun päätöksenteon olemassaolo, mukaan lukien profilointi, ja ainakin näissä tapauksissa mielekkäät tiedot käsittelyn logiikasta sekä tällaisen käsittelyn merkityksestä ja arvioiduista seurauksista rekisteröidylle.
  3. Jos rekisterinpitäjä aikoo käsitellä henkilötietoja edelleen muuhun tarkoitukseen kuin siihen, jota varten henkilötiedot on kerätty, rekisterinpitäjän on ennen tätä jatkokäsittelyä annettava rekisteröidylle tiedot tästä toisesta tarkoituksesta ja kaikki asiaankuuluvat lisätiedot mainitun mukaisesti. kohtaan 2.
  4. Edellä olevaa 1, 2 ja 3 kohtaa ei sovelleta, jos ja siltä osin kuin rekisteröidyllä on jo tiedot.


Hanki 81 % etumatka

Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.

Varaa demo


Yhdistyneen kuningaskunnan GDPR-versio

13 artikla: Tiedot, jotka on annettava, kun rekisteröidyltä kerätään henkilötietoja

  1. Jos rekisteröityä koskevia henkilötietoja kerätään rekisteröidyltä, rekisterinpitäjän on henkilötietoja saatuaan annettava rekisteröidylle kaikki seuraavat tiedot:

    • Rekisterinpitäjän ja tarvittaessa rekisterinpitäjän edustajan henkilöllisyys ja yhteystiedot;
    • Tietosuojavastaavan yhteystiedot tarvittaessa;
    • Käsittelyn tarkoitukset, joihin henkilötiedot on tarkoitettu, sekä käsittelyn oikeusperusta;
    • Jos käsittely perustuu 6 artiklan 1 kohdan f alakohtaan, rekisterinpitäjän tai kolmannen osapuolen oikeutetut edut;
    • Henkilötietojen vastaanottajat tai vastaanottajien ryhmät, jos sellaisia ​​on;
    • Soveltuvin osin se, että rekisterinpitäjä aikoo siirtää henkilötietoja kolmanteen maahan tai kansainväliseen organisaatioon ja vuoden 17 lain 2018A §:n mukaisten asiaankuuluvien riittävyyttä koskevien säännösten olemassaolo tai puuttuminen tai 46 tai 47 artiklassa tarkoitettujen siirtojen tapauksessa , tai 49 artiklan 1 kohdan toisessa alakohdassa, viittaus asianmukaisiin tai sopiviin suojatoimiin ja keinoihin, joilla niistä saadaan kopio tai missä ne on asetettu saataville.
  2. Rekisterinpitäjän on 1 kohdassa tarkoitettujen tietojen lisäksi annettava rekisteröidylle henkilötietoja saatuaan seuraavat tiedot, jotka ovat tarpeen oikeudenmukaisen ja avoimen käsittelyn varmistamiseksi:

    • Aika, jonka henkilötietoja säilytetään, tai jos se ei ole mahdollista, kyseisen ajanjakson määrittämisessä käytetyt kriteerit;
    • Oikeus pyytää rekisterinpitäjältä pääsyä ja oikaisua tai poistamista tai rekisteröidyn käsittelyn rajoittamista tai vastustaa käsittelyä sekä oikeus tietojen siirrettävyyteen;
    • Jos käsittely perustuu 6 artiklan 1 kohdan a alakohtaan tai 9 artiklan 2 kohdan a alakohtaan, oikeus peruuttaa suostumus milloin tahansa vaikuttamatta suostumukseen perustuvan käsittelyn laillisuuteen ennen sen poistaminen;
    • Oikeus tehdä valitus komission jäsenelle;
    • Onko henkilötietojen toimittaminen lakisääteinen tai sopimukseen perustuva vaatimus tai vaatimus sopimuksen tekemiseksi, sekä onko rekisteröidyn velvollisuus toimittaa henkilötiedot ja mahdollisista seurauksista, jos henkilötietoja ei toimiteta;
    • 22 artiklan 1 ja 4 kohdassa tarkoitetun automatisoidun päätöksenteon olemassaolo, mukaan lukien profilointi, ja ainakin näissä tapauksissa mielekkäät tiedot käsittelyn logiikasta sekä tällaisen käsittelyn merkityksestä ja arvioiduista seurauksista rekisteröidylle.
  3. Jos rekisterinpitäjä aikoo käsitellä henkilötietoja edelleen muuhun tarkoitukseen kuin siihen, jota varten henkilötiedot on kerätty, rekisterinpitäjän on ennen tätä jatkokäsittelyä annettava rekisteröidylle tiedot tästä toisesta tarkoituksesta ja kaikki asiaankuuluvat lisätiedot mainitun mukaisesti. kohtaan 2.
  4. Edellä olevaa 1, 2 ja 3 kohtaa ei sovelleta, jos ja siltä osin kuin rekisteröidyllä on jo tiedot.

Tekninen kommentti

Organisaatioiden on asetettava seuraavat tiedot saataville noutopisteessä soveltuvin osin (esim. kansainväliset siirrot):

  1. Heidän tietosuojavastaavansa henkilöllisyys.
  2. Tietosuojavastaavansa yhteystiedot.
  3. Tietojen keräämisen tarkoitus ja oikeusperusta.
  4. Kaikki oikeutetut edut.
  5. Vastaanottajien henkilöllisyys.
  6. Kansainväliset tiedonsiirrot, mukaan lukien maatiedot ja suojatoimenpiteet.

Velvollisuus antaa tietoja, kun henkilötietoja hankitaan

Artiklassa 13 esitettyjen ohjeiden mukaisesti organisaatioiden on toimitettava myös seuraavat tiedot:

  • Yksityiskohdat tietojen säilytysajasta.
  • Rekisteröidyn tietosuojalain mukaisten oikeuksien yksityiskohdat.
  • Tietoja suostumuksen peruuttamisesta.
  • Kuinka tehdä valitus.
  • Saatujen tietojen lähde.
  • Kaikki sopimus- tai lakivaatimukset.
  • Yksityiskohdat automatisoiduista päätöksentekoprosesseista.

EU:n GDPR:n artikla 13 (1) (a), (1 (b), (1) (c), (1) (d), (1) (e), (1) (f), (2) ( c), (2) (d), (2) (e), (3), (4) ja ISO 27701, lauseke 7.3.2

Tietojen määrittäminen PII-päämiehille

Organisaatioiden tulee laatia yksityiskohtaiset vaatimukset, jotka säätelevät, kuinka ja milloin tiedot on toimitettava henkilökohtaisten tunnistetietojen päämiehille.

Esimerkkejä ovat:

  • Kerättävien ja käsiteltyjen tietojen taustalla oleva tarkoitus.
  • Yhteystiedot.
  • Miten ja mistä henkilökohtainen tunniste on saatu.
  • Sopimus- ja/tai lakisääteiset vaatimukset.
  • Miten suostumus voidaan poistaa.
  • PII-siirrot.
  • Kuinka kirjata valitus.
  • Miten organisaatio tekee päätöksiä henkilötietojen käsittelystä.
  • Tietojen säilytysajat.


Vaatimustenmukaisuuden ei tarvitse olla monimutkaista.

Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.

Varaa demo


EU:n GDPR:n artikla 13 (3) ja ISO 27701 -lauseke 7.3.3

Tietojen antaminen henkilökohtaisten tunnistetietojen päämiehille

Kaikki tiedot on annettava virheettömästi ja kielellä, jota ihmiset, jotka osaavat lukea, ymmärtävät helposti (esim. ilman ammattikieltä, ei liian teknistä) (katso ISO 27702, kohta 7.3.2).

Tukee ISO 27701 -lausekkeita

  • ISO 27701 7.3.2

EU:n GDPR:n artikla 13(2(c)) ja ISO 27701:n lauseke 7.3.4

Suostumuksen muuttamis- tai peruutusmekanismin tarjoaminen

Olisi järjestettävä mekanismeja, jotka ottavat huomioon jokaisen suostumuksensa peruuttamista yrittävän henkilötietojen päämiehen oikeudet.

Viestintäkanavien tulee peilata niitä, joita organisaatio käytti tietojen keräämiseen alun perin, ja henkilökohtaisten tunnistetietojen päämiesten tulee pystyä estämään rekisterinpitäjä suorittamasta tiettyjä toimia.

Organisaatioiden tulee sitoutua julkaistuun vastausaikaan kaikkien suostumuspyyntöjen muuttamiseen tai peruuttamiseen, ja kaikki tällaiset pyynnöt on dokumentoitava perusteellisesti.

EU:n GDPR:n artikla 13(2(b)) ja ISO 27701:n lauseke 7.3.5

Mekanismin tarjoaminen henkilökohtaisten tunnistetietojen käsittelyyn

Paikalliset ja kansalliset lait vaihtelevat lainkäyttöalueiden välillä, mutta yleisesti ottaen henkilökohtaisten tunnistetietojen päämiesten tulisi säilyttää mahdollisuus vastustaa sitä, miten heidän tietojaan on säilytetty, käsitelty tai siirretty.

Organisaatioiden tulee:

  1. Dokumentoi kaikki lakisääteiset vaatimukset, jotka liittyvät PII-päämiesten esittämiin vastalauseisiin.
  2. Anna rekisteröidyille tietoja siitä, kuinka he voivat vastustaa sitä.

EU:n GDPR:n artikla 13(2(b)) ja ISO 27701:n lauseke 7.3.6

Pääsy, korjaus ja/tai poisto

Organisaatioiden tulee dokumentoida menettelyt, joiden avulla rekisteröidyt voivat suorittaa kolme perustoimintoa:

  1. Pääsy heidän tietonsa.
  2. Oikea heidän tietonsa.
  3. Poista heidän tietonsa.

Organisaatioiden tulee sitoutua julkaistuun vastausaikaan kaikille pääsy-, korjaus- tai poistopyynnöille ja esitettävä tarvittaessa syy, miksi korjauksia ei voida tehdä.

Jos henkilökohtaisia ​​tunnistetietoja on siirretty kolmannelle osapuolelle, organisaatiot ovat velvollisia välittämään heille mahdolliset pyynnöt ja vahvistamaan kuittauksen (katso ISO 27701 kohta 7.3.7).

Lainkäyttöalueesta riippuen voidaan soveltaa erilaisia ​​alueellisia ja kansallisia sääntöjä. Sellaisenaan organisaatioiden tulee säilyttää perusteellinen ymmärrys kaikista lakeista tai määräyksistä, jotka koskevat henkilökohtaisten tunnistetietojen saatavuutta, korjaamista tai poistamista.

Tukee ISO 27701 -lausekkeita

  • ISO 27701 7.3.7


Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa

ISMS.online tukee yli 100 standardia
ja määräykset, mikä antaa sinulle yhden
alusta kaikkiin vaatimustenmukaisuustarpeisiisi.

Varaa demo


EU:n GDPR:n artikla 13(2(f)) ja ISO 27701:n lauseke 7.3.10

Automatisoitu päätöksenteko

Organisaatioiden tulee kohdistaa kaikki lailliset velvoitteet henkilökohtaisten tunnistetietojen päättäjiin, jotka liittyvät henkilötietojen automaattiseen käsittelyyn.

Organisaatioiden tulisi ottaa huomioon lainkäyttövallan vaihtelut henkilökohtaisia ​​tunnistetietoja koskevassa automatisoidussa päätöksenteossa – tarkemmin sanottuna sallimalla PII-päämiesten vastustaa ja pyytämällä ihmisen väliintuloa automaattisten menettelyjen sijaan.

EU:n GDPR:n artikla 13(2(a)) ja ISO 27701:n lauseke 7.4.7

Organisaatioiden on poistettava ja/tai hävitettävä henkilötiedot, joita se ei enää vaadi tai jotka eivät enää täytä tiettyä tarkoitusta.

Organisaatioiden tulee käyttää säilytysaikatauluja, joissa esitetään tarkka ajanjakso, jonka henkilökohtaisia ​​tunnistetietoja säilytetään, mukaan lukien lakien, lakisääteisten tai sopimusehtojen noudattaminen.

Tuetut säätimet ISO 27701:stä

GDPR-artikkeliISO 27701 -lausekeISO 27701 -tukilausekkeet
14 artiklan 1 kohdan a alakohta, 1 kohdan b alakohta, 1 kohdan c alakohta, 1 kohdan d alakohta, 1 kohdan e alakohta, 1 kohdan f alakohta, 2 kohdan b alakohta , (2) (e), (2) (f), (3) (a), (3) (b), (3) (c), (4), (5) (a), (5) (b), (5) (c) ja (5) (d)ISO 27701 7.3.2Ei eristetty
14 artiklan 2 kohdan d alakohtaISO 27701 7.3.4Ei eristetty
14 artiklan 2 kohdan c alakohtaISO 27701 7.3.5Ei eristetty
14 artiklan 2 kohdan c alakohtaISO 27701 7.3.6ISO 27701 7.3.7
14 artiklan 2 kohdan g alakohtaISO 27701 7.3.10Ei eristetty
14 artiklan 2 kohdan a alakohtaISO 27701 7.4.7Ei eristetty

Miten ISMS.online auttaa

ROPA on tehty helpoksi

PIMS-ratkaisumme tekee tietojen kartoittamisesta yksinkertaisen tehtävän. Kaiken tallentaminen ja tarkistaminen on helppoa, kun lisäät organisaatiosi tiedot valmiiksi määritettyyn dynaamiseen Records of Processing Activity -työkaluun.

Sisäänrakennettu riskipankki

Riskien hallinta on avain onnistuneeseen PIMS:ään. Siksi olemme luoneet sisäänrakennetun riskipankin ja joukon muita käytännön työkaluja, jotka auttavat kaikissa riskinarviointi- ja hallintaprosessin osissa.

Turvallinen tila DRR:lle

Mitä tahansa tietosuojastandardeja tai säännöksiä parissa työskentelet, sinun on osoitettava, kuinka hyvin hallitset Data Subject Rights Requests (DRR) -pyyntöjä. Suojattu DRR-tilamme pitää kaiken yhdessä paikassa ja tukee sitä automaattisella raportoinnilla ja oivalluksilla.

Lisätietoja: varata demo.

Hyppää aiheeseen

Max Edwards

Max toimii osana ISMS.online-markkinointitiimiä ja varmistaa, että verkkosivustomme päivitetään hyödyllisellä sisällöllä ja tiedolla kaikesta ISO 27001, 27002 ja vaatimustenmukaisuudesta.

ISMS Platform Tour

Oletko kiinnostunut ISMS.online-alustakierroksesta?

Aloita ilmainen 2 minuutin interaktiivinen demo nyt ja koe ISMS.onlinen taika toiminnassa!

Kokeile ilmaiseksi

Olemme alamme johtaja

Käyttäjät rakastavat meitä
Leader Winter 2025
Leader Winter 2025 Iso-Britannia
Paras ROI-talvi 2025
Nopein käyttöönotto talvi 2025
Toteutettavin talvi 2025

"ISMS.Online, erinomainen työkalu sääntelyn noudattamiseen"

-Jim M.

"Tekee ulkoisista tarkastuksista helppoa ja yhdistää kaikki ISMS:si osat saumattomasti yhteen"

-Karen C.

"Innovatiivinen ratkaisu ISO- ja muiden akkreditointien hallintaan"

-Ben H.

DORA on täällä! Paranna digitaalista kestävyyttäsi tänään tehokkaalla uudella ratkaisullamme!