Kuinka osoittaa GDPR-artiklan 13 noudattaminen

Yhdistyneen kuningaskunnan GDPR-versio

13 artikla: Tiedot, jotka on annettava, kun rekisteröidyltä kerätään henkilötietoja

1. Jos rekisteröityä koskevia henkilötietoja kerätään rekisteröidyltä, rekisterinpitäjän on henkilötietoja saatuaan annettava rekisteröidylle kaikki seuraavat tiedot:
• Rekisterinpitäjän ja tarvittaessa rekisterinpitäjän edustajan henkilöllisyys ja yhteystiedot;
• Tietosuojavastaavan yhteystiedot tarvittaessa;
• Käsittelyn tarkoitukset, joihin henkilötiedot on tarkoitettu, sekä käsittelyn oikeusperusta;
• Jos käsittely perustuu 6 artiklan 1 kohdan f alakohtaan, rekisterinpitäjän tai kolmannen osapuolen oikeutetut edut;
• Henkilötietojen vastaanottajat tai vastaanottajien ryhmät, jos sellaisia ​​on;
• Soveltuvin osin se, että rekisterinpitäjä aikoo siirtää henkilötietoja kolmanteen maahan tai kansainväliseen organisaatioon ja vuoden 17 lain 2018A §:n mukaisten asiaankuuluvien riittävyyttä koskevien säännösten olemassaolo tai puuttuminen tai 46 tai 47 artiklassa tarkoitettujen siirtojen tapauksessa , tai 49 artiklan 1 kohdan toisessa alakohdassa, viittaus asianmukaisiin tai sopiviin suojatoimiin ja keinoihin, joilla niistä saadaan kopio tai missä ne on asetettu saataville.
2. Rekisterinpitäjän on 1 kohdassa tarkoitettujen tietojen lisäksi annettava rekisteröidylle henkilötietoja saatuaan seuraavat tiedot, jotka ovat tarpeen oikeudenmukaisen ja avoimen käsittelyn varmistamiseksi:
• Aika, jonka henkilötietoja säilytetään, tai jos se ei ole mahdollista, kyseisen ajanjakson määrittämisessä käytetyt kriteerit;
• Oikeus pyytää rekisterinpitäjältä pääsyä ja oikaisua tai poistamista tai rekisteröidyn käsittelyn rajoittamista tai vastustaa käsittelyä sekä oikeus tietojen siirrettävyyteen;
• Jos käsittely perustuu 6 artiklan 1 kohdan a alakohtaan tai 9 artiklan 2 kohdan a alakohtaan, oikeus peruuttaa suostumus milloin tahansa vaikuttamatta suostumukseen perustuvan käsittelyn laillisuuteen ennen sen poistaminen;
• Oikeus tehdä valitus komission jäsenelle;
• Onko henkilötietojen toimittaminen lakisääteinen tai sopimukseen perustuva vaatimus tai vaatimus sopimuksen tekemiseksi, sekä onko rekisteröidyn velvollisuus toimittaa henkilötiedot ja mahdollisista seurauksista, jos henkilötietoja ei toimiteta;
• 22 artiklan 1 ja 4 kohdassa tarkoitetun automatisoidun päätöksenteon olemassaolo, mukaan lukien profilointi, ja ainakin näissä tapauksissa mielekkäät tiedot käsittelyn logiikasta sekä tällaisen käsittelyn merkityksestä ja arvioiduista seurauksista rekisteröidylle.
3. Jos rekisterinpitäjä aikoo käsitellä henkilötietoja edelleen muuhun tarkoitukseen kuin siihen, jota varten henkilötiedot on kerätty, rekisterinpitäjän on ennen tätä jatkokäsittelyä annettava rekisteröidylle tiedot tästä toisesta tarkoituksesta ja kaikki asiaankuuluvat lisätiedot mainitun mukaisesti. kohtaan 2.
4. Edellä olevaa 1, 2 ja 3 kohtaa ei sovelleta, jos ja siltä osin kuin rekisteröidyllä on jo tiedot.

Tekninen kommentti

Organisaatioiden on asetettava seuraavat tiedot saataville noutopisteessä soveltuvin osin (esim. kansainväliset siirrot):

1. Heidän tietosuojavastaavansa henkilöllisyys.
2. Tietosuojavastaavansa yhteystiedot.
3. Tietojen keräämisen tarkoitus ja oikeusperusta.
4. Kaikki oikeutetut edut.
5. Vastaanottajien henkilöllisyys.
6. Kansainväliset tiedonsiirrot, mukaan lukien maatiedot ja suojatoimenpiteet.

Velvollisuus antaa tietoja, kun henkilötietoja hankitaan

Artiklassa 13 esitettyjen ohjeiden mukaisesti organisaatioiden on toimitettava myös seuraavat tiedot:

• Yksityiskohdat tietojen säilytysajasta.
• Rekisteröidyn tietosuojalain mukaisten oikeuksien yksityiskohdat.
• Tietoja suostumuksen peruuttamisesta.
• Kuinka tehdä valitus.
• Saatujen tietojen lähde.
• Kaikki sopimus- tai lakivaatimukset.
• Yksityiskohdat automatisoiduista päätöksentekoprosesseista.

EU:n GDPR:n artikla 13 (1) (a), (1 (b), (1) (c), (1) (d), (1) (e), (1) (f), (2) ( c), (2) (d), (2) (e), (3), (4) ja ISO 27701, lauseke 7.3.2

Tietojen määrittäminen PII-päämiehille

Organisaatioiden tulee laatia yksityiskohtaiset vaatimukset, jotka säätelevät, kuinka ja milloin tiedot on toimitettava henkilökohtaisten tunnistetietojen päämiehille.

Esimerkkejä ovat:

• Kerättävien ja käsiteltyjen tietojen taustalla oleva tarkoitus.
• Yhteystiedot.
• Miten ja mistä henkilökohtainen tunniste on saatu.
• Sopimus- ja/tai lakisääteiset vaatimukset.
• Miten suostumus voidaan poistaa.
• PII-siirrot.
• Kuinka kirjata valitus.
• Miten organisaatio tekee päätöksiä henkilötietojen käsittelystä.
• Tietojen säilytysajat.

EU:n GDPR:n artikla 13 (3) ja ISO 27701 -lauseke 7.3.3

Tietojen antaminen henkilökohtaisten tunnistetietojen päämiehille

Kaikki tiedot on annettava virheettömästi ja kielellä, jota ihmiset, jotka osaavat lukea, ymmärtävät helposti (esim. ilman ammattikieltä, ei liian teknistä) (katso ISO 27702, kohta 7.3.2).

Tukee ISO 27701 -lausekkeita

• ISO 27701 7.3.2

EU:n GDPR:n artikla 13(2(c)) ja ISO 27701:n lauseke 7.3.4

Suostumuksen muuttamis- tai peruutusmekanismin tarjoaminen

Olisi järjestettävä mekanismeja, jotka ottavat huomioon jokaisen suostumuksensa peruuttamista yrittävän henkilötietojen päämiehen oikeudet.

Viestintäkanavien tulee peilata niitä, joita organisaatio käytti tietojen keräämiseen alun perin, ja henkilökohtaisten tunnistetietojen päämiesten tulee pystyä estämään rekisterinpitäjä suorittamasta tiettyjä toimia.

Organisaatioiden tulee sitoutua julkaistuun vastausaikaan kaikkien suostumuspyyntöjen muuttamiseen tai peruuttamiseen, ja kaikki tällaiset pyynnöt on dokumentoitava perusteellisesti.

EU:n GDPR:n artikla 13(2(b)) ja ISO 27701:n lauseke 7.3.5

Mekanismin tarjoaminen henkilökohtaisten tunnistetietojen käsittelyyn

Paikalliset ja kansalliset lait vaihtelevat lainkäyttöalueiden välillä, mutta yleisesti ottaen henkilökohtaisten tunnistetietojen päämiesten tulisi säilyttää mahdollisuus vastustaa sitä, miten heidän tietojaan on säilytetty, käsitelty tai siirretty.

Organisaatioiden tulee:

1. Dokumentoi kaikki lakisääteiset vaatimukset, jotka liittyvät PII-päämiesten esittämiin vastalauseisiin.
2. Anna rekisteröidyille tietoja siitä, kuinka he voivat vastustaa sitä.

EU:n GDPR:n artikla 13(2(b)) ja ISO 27701:n lauseke 7.3.6

Pääsy, korjaus ja/tai poisto

Organisaatioiden tulee dokumentoida menettelyt, joiden avulla rekisteröidyt voivat suorittaa kolme perustoimintoa:

1. Pääsy heidän tietonsa.
2. Oikea heidän tietonsa.
3. Poista heidän tietonsa.

Organisaatioiden tulee sitoutua julkaistuun vastausaikaan kaikille pääsy-, korjaus- tai poistopyynnöille ja esitettävä tarvittaessa syy, miksi korjauksia ei voida tehdä.

Jos henkilökohtaisia ​​tunnistetietoja on siirretty kolmannelle osapuolelle, organisaatiot ovat velvollisia välittämään heille mahdolliset pyynnöt ja vahvistamaan kuittauksen (katso ISO 27701 kohta 7.3.7).

Lainkäyttöalueesta riippuen voidaan soveltaa erilaisia ​​alueellisia ja kansallisia sääntöjä. Sellaisenaan organisaatioiden tulee säilyttää perusteellinen ymmärrys kaikista lakeista tai määräyksistä, jotka koskevat henkilökohtaisten tunnistetietojen saatavuutta, korjaamista tai poistamista.

Tukee ISO 27701 -lausekkeita

• ISO 27701 7.3.7

EU:n GDPR:n artikla 13(2(f)) ja ISO 27701:n lauseke 7.3.10

Automatisoitu päätöksenteko

Organisaatioiden tulee kohdistaa kaikki lailliset velvoitteet henkilökohtaisten tunnistetietojen päättäjiin, jotka liittyvät henkilötietojen automaattiseen käsittelyyn.

Organisaatioiden tulisi ottaa huomioon lainkäyttövallan vaihtelut henkilökohtaisia ​​tunnistetietoja koskevassa automatisoidussa päätöksenteossa – tarkemmin sanottuna sallimalla PII-päämiesten vastustaa ja pyytämällä ihmisen väliintuloa automaattisten menettelyjen sijaan.

EU:n GDPR:n artikla 13(2(a)) ja ISO 27701:n lauseke 7.4.7

Organisaatioiden on poistettava ja/tai hävitettävä henkilötiedot, joita se ei enää vaadi tai jotka eivät enää täytä tiettyä tarkoitusta.

Organisaatioiden tulee käyttää säilytysaikatauluja, joissa esitetään tarkka ajanjakso, jonka henkilökohtaisia ​​tunnistetietoja säilytetään, mukaan lukien lakien, lakisääteisten tai sopimusehtojen noudattaminen.

Tuetut säätimet ISO 27701:stä

Miten ISMS.online auttaa

ROPA on tehty helpoksi

PIMS-ratkaisumme tekee tietojen kartoittamisesta yksinkertaisen tehtävän. Kaiken tallentaminen ja tarkistaminen on helppoa, kun lisäät organisaatiosi tiedot valmiiksi määritettyyn dynaamiseen Records of Processing Activity -työkaluun.

Sisäänrakennettu riskipankki

Riskien hallinta on avain onnistuneeseen PIMS:ään. Siksi olemme luoneet sisäänrakennetun riskipankin ja joukon muita käytännön työkaluja, jotka auttavat kaikissa riskinarviointi- ja hallintaprosessin osissa.

Turvallinen tila DRR:lle

Mitä tahansa tietosuojastandardeja tai säännöksiä parissa työskentelet, sinun on osoitettava, kuinka hyvin hallitset Data Subject Rights Requests (DRR) -pyyntöjä. Suojattu DRR-tilamme pitää kaiken yhdessä paikassa ja tukee sitä automaattisella raportoinnilla ja oivalluksilla.

Lisätietoja: varata demo.