GDPR artiklan 13 noudattaminen: Opas läpinäkyvään tietojenkäsittelyyn
GDPR Asetuksen 13 artikla koskee usein laajaa tietomäärää, joka rekisterinpitäjien on toimitettava rekisteröidyille sekä tiedonkeruupisteessä että koko käsittelyn ajan.
GDPR artiklan 13 lakiteksti
EU:n GDPR-versio
Tiedot, jotka on annettava, kun rekisteröidyltä kerätään henkilötietoja
- Jos rekisteröityä koskevia henkilötietoja kerätään rekisteröidyltä, rekisterinpitäjän on henkilötietoja saatuaan annettava rekisteröidylle kaikki seuraavat tiedot:
- Rekisterinpitäjän ja tarvittaessa rekisterinpitäjän edustajan henkilöllisyys ja yhteystiedot;
- Tietosuojavastaavan yhteystiedot tarvittaessa;
- Käsittelyn tarkoitukset, joihin henkilötiedot on tarkoitettu, sekä käsittelyn oikeusperusta;
- Jos käsittely perustuu 6 artiklan 1 kohdan f alakohtaan, rekisterinpitäjän tai kolmannen osapuolen oikeutetut edut;
- Henkilötietojen vastaanottajat tai vastaanottajien ryhmät, jos sellaisia on;
- Tarvittaessa tieto siitä, että rekisterinpitäjä aikoo siirtää henkilötietoja kolmanteen maahan tai kansainväliseen organisaatioon ja komission päätöksen olemassaolo tai puuttuminen tai 46 tai 47 artiklassa tarkoitettujen siirtojen tapauksessa tai toinen 49 artiklan 1 kohdan alakohta, viittaus asianmukaisiin tai sopiviin suojatoimiin ja keinoihin, joilla niistä saadaan kopio tai missä ne on asetettu saataville.
- Rekisterinpitäjän on 1 kohdassa tarkoitettujen tietojen lisäksi annettava rekisteröidylle henkilötietoja saatuaan seuraavat tiedot, jotka ovat tarpeen oikeudenmukaisen ja avoimen käsittelyn varmistamiseksi:
- Aika, jonka henkilötietoja säilytetään, tai jos se ei ole mahdollista, kyseisen ajanjakson määrittämisessä käytetyt kriteerit;
- Oikeus pyytää rekisterinpitäjältä pääsyä ja oikaisua tai poistamista tai rekisteröidyn käsittelyn rajoittamista tai vastustaa käsittelyä sekä oikeus tietojen siirrettävyyteen;
- Jos käsittely perustuu 6 artiklan 1 kohdan a alakohtaan tai 9 artiklan 2 kohdan a alakohtaan, oikeus peruuttaa suostumus milloin tahansa vaikuttamatta suostumukseen perustuvan käsittelyn laillisuuteen ennen sen poistaminen;
- Oikeus tehdä valitus valvontaviranomaiselle;
- Onko henkilötietojen toimittaminen lakisääteinen tai sopimukseen perustuva vaatimus tai vaatimus sopimuksen tekemiseksi, sekä onko rekisteröidyn velvollisuus toimittaa henkilötiedot ja mahdollisista seurauksista, jos henkilötietoja ei toimiteta;
- 22 artiklan 1 ja 4 kohdassa tarkoitetun automatisoidun päätöksenteon olemassaolo, mukaan lukien profilointi, ja ainakin näissä tapauksissa mielekkäät tiedot käsittelyn logiikasta sekä tällaisen käsittelyn merkityksestä ja arvioiduista seurauksista rekisteröidylle.
- Jos rekisterinpitäjä aikoo käsitellä henkilötietoja edelleen muuhun tarkoitukseen kuin siihen, jota varten henkilötiedot on kerätty, rekisterinpitäjän on ennen tätä jatkokäsittelyä annettava rekisteröidylle tiedot tästä toisesta tarkoituksesta ja kaikki asiaankuuluvat lisätiedot mainitun mukaisesti. kohtaan 2.
- Edellä olevaa 1, 2 ja 3 kohtaa ei sovelleta, jos ja siltä osin kuin rekisteröidyllä on jo tiedot.
ISO 27001 helposti
81 %:n etumatka ensimmäisestä päivästä lähtien
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään. Sinun tarvitsee vain täyttää tyhjät kohdat.
Yhdistyneen kuningaskunnan GDPR-versio
13 artikla: Tiedot, jotka on annettava, kun rekisteröidyltä kerätään henkilötietoja
- Jos rekisteröityä koskevia henkilötietoja kerätään rekisteröidyltä, rekisterinpitäjän on henkilötietoja saatuaan annettava rekisteröidylle kaikki seuraavat tiedot:
- Rekisterinpitäjän ja tarvittaessa rekisterinpitäjän edustajan henkilöllisyys ja yhteystiedot;
- Tietosuojavastaavan yhteystiedot tarvittaessa;
- Käsittelyn tarkoitukset, joihin henkilötiedot on tarkoitettu, sekä käsittelyn oikeusperusta;
- Jos käsittely perustuu 6 artiklan 1 kohdan f alakohtaan, rekisterinpitäjän tai kolmannen osapuolen oikeutetut edut;
- Henkilötietojen vastaanottajat tai vastaanottajien ryhmät, jos sellaisia on;
- Soveltuvin osin se, että rekisterinpitäjä aikoo siirtää henkilötietoja kolmanteen maahan tai kansainväliseen organisaatioon ja vuoden 17 lain 2018A §:n mukaisten asiaankuuluvien riittävyyttä koskevien säännösten olemassaolo tai puuttuminen tai 46 tai 47 artiklassa tarkoitettujen siirtojen tapauksessa , tai 49 artiklan 1 kohdan toisessa alakohdassa, viittaus asianmukaisiin tai sopiviin suojatoimiin ja keinoihin, joilla niistä saadaan kopio tai missä ne on asetettu saataville.
- Rekisterinpitäjän on 1 kohdassa tarkoitettujen tietojen lisäksi annettava rekisteröidylle henkilötietoja saatuaan seuraavat tiedot, jotka ovat tarpeen oikeudenmukaisen ja avoimen käsittelyn varmistamiseksi:
- Aika, jonka henkilötietoja säilytetään, tai jos se ei ole mahdollista, kyseisen ajanjakson määrittämisessä käytetyt kriteerit;
- Oikeus pyytää rekisterinpitäjältä pääsyä ja oikaisua tai poistamista tai rekisteröidyn käsittelyn rajoittamista tai vastustaa käsittelyä sekä oikeus tietojen siirrettävyyteen;
- Jos käsittely perustuu 6 artiklan 1 kohdan a alakohtaan tai 9 artiklan 2 kohdan a alakohtaan, oikeus peruuttaa suostumus milloin tahansa vaikuttamatta suostumukseen perustuvan käsittelyn laillisuuteen ennen sen poistaminen;
- Oikeus tehdä valitus komission jäsenelle;
- Onko henkilötietojen toimittaminen lakisääteinen tai sopimukseen perustuva vaatimus tai vaatimus sopimuksen tekemiseksi, sekä onko rekisteröidyn velvollisuus toimittaa henkilötiedot ja mahdollisista seurauksista, jos henkilötietoja ei toimiteta;
- 22 artiklan 1 ja 4 kohdassa tarkoitetun automatisoidun päätöksenteon olemassaolo, mukaan lukien profilointi, ja ainakin näissä tapauksissa mielekkäät tiedot käsittelyn logiikasta sekä tällaisen käsittelyn merkityksestä ja arvioiduista seurauksista rekisteröidylle.
- Jos rekisterinpitäjä aikoo käsitellä henkilötietoja edelleen muuhun tarkoitukseen kuin siihen, jota varten henkilötiedot on kerätty, rekisterinpitäjän on ennen tätä jatkokäsittelyä annettava rekisteröidylle tiedot tästä toisesta tarkoituksesta ja kaikki asiaankuuluvat lisätiedot mainitun mukaisesti. kohtaan 2.
- Edellä olevaa 1, 2 ja 3 kohtaa ei sovelleta, jos ja siltä osin kuin rekisteröidyllä on jo tiedot.
Tekninen kommentti
Organisaatioiden on asetettava seuraavat tiedot saataville noutopisteessä soveltuvin osin (esim. kansainväliset siirrot):
- Heidän tietosuojavastaavansa henkilöllisyys.
- Tietosuojavastaavansa yhteystiedot.
- Tietojen keräämisen tarkoitus ja oikeusperusta.
- Kaikki oikeutetut edut.
- Vastaanottajien henkilöllisyys.
- Kansainväliset tiedonsiirrot, mukaan lukien maatiedot ja suojatoimenpiteet.
Velvollisuus antaa tietoja, kun henkilötietoja hankitaan
Artiklassa 13 esitettyjen ohjeiden mukaisesti organisaatioiden on toimitettava myös seuraavat tiedot:
- Yksityiskohdat tietojen säilytysajasta.
- Rekisteröidyn tietosuojalain mukaisten oikeuksien yksityiskohdat.
- Tietoja suostumuksen peruuttamisesta.
- Kuinka tehdä valitus.
- Saatujen tietojen lähde.
- Kaikki sopimus- tai lakivaatimukset.
- Yksityiskohdat automatisoiduista päätöksentekoprosesseista.
EU:n GDPR:n artikla 13 (1) (a), (1 (b), (1) (c), (1) (d), (1) (e), (1) (f), (2) ( c), (2) (d), (2) (e), (3), (4) ja ISO 27701, lauseke 7.3.2
Tietojen määrittäminen PII-päämiehille
Organisaatioiden tulee laatia yksityiskohtaiset vaatimukset, jotka säätelevät, kuinka ja milloin tiedot on toimitettava henkilökohtaisten tunnistetietojen päämiehille.
Esimerkkejä ovat:
- Kerättävien ja käsiteltyjen tietojen taustalla oleva tarkoitus.
- Yhteystiedot.
- Miten ja mistä henkilökohtainen tunniste on saatu.
- Sopimus- ja/tai lakisääteiset vaatimukset.
- Miten suostumus voidaan poistaa.
- PII-siirrot.
- Kuinka kirjata valitus.
- Miten organisaatio tekee päätöksiä henkilötietojen käsittelystä.
- Tietojen säilytysajat.
Vapauta itsesi laskentataulukoiden vuorten vallasta
Ota käyttöön, laajenna ja skaalaa vaatimustenmukaisuus ilman sotkua. Io antaa sinulle joustavuutta ja luottamusta kasvaa turvallisesti.
EU:n GDPR:n artikla 13 (3) ja ISO 27701 -lauseke 7.3.3
Tietojen antaminen henkilökohtaisten tunnistetietojen päämiehille
Kaikki tiedot on annettava virheettömästi ja kielellä, jota ihmiset, jotka osaavat lukea, ymmärtävät helposti (esim. ilman ammattikieltä, ei liian teknistä) (katso ISO 27702, kohta 7.3.2).
Tukee ISO 27701 -lausekkeita
- ISO 27701 7.3.2
EU:n GDPR:n artikla 13(2(c)) ja ISO 27701:n lauseke 7.3.4
Suostumuksen muuttamis- tai peruutusmekanismin tarjoaminen
Olisi järjestettävä mekanismeja, jotka ottavat huomioon jokaisen suostumuksensa peruuttamista yrittävän henkilötietojen päämiehen oikeudet.
Viestintäkanavien tulee peilata niitä, joita organisaatio käytti tietojen keräämiseen alun perin, ja henkilökohtaisten tunnistetietojen päämiesten tulee pystyä estämään rekisterinpitäjä suorittamasta tiettyjä toimia.
Organisaatioiden tulee sitoutua julkaistuun vastausaikaan kaikkien suostumuspyyntöjen muuttamiseen tai peruuttamiseen, ja kaikki tällaiset pyynnöt on dokumentoitava perusteellisesti.
EU:n GDPR:n artikla 13(2(b)) ja ISO 27701:n lauseke 7.3.5
Mekanismin tarjoaminen henkilökohtaisten tunnistetietojen käsittelyyn
Paikalliset ja kansalliset lait vaihtelevat lainkäyttöalueiden välillä, mutta yleisesti ottaen henkilökohtaisten tunnistetietojen päämiesten tulisi säilyttää mahdollisuus vastustaa sitä, miten heidän tietojaan on säilytetty, käsitelty tai siirretty.
Organisaatioiden tulee:
- Dokumentoi kaikki lakisääteiset vaatimukset, jotka liittyvät PII-päämiesten esittämiin vastalauseisiin.
- Anna rekisteröidyille tietoja siitä, kuinka he voivat vastustaa sitä.
EU:n GDPR:n artikla 13(2(b)) ja ISO 27701:n lauseke 7.3.6
Pääsy, korjaus ja/tai poisto
Organisaatioiden tulee dokumentoida menettelyt, joiden avulla rekisteröidyt voivat suorittaa kolme perustoimintoa:
- Pääsy heidän tietonsa.
- Oikea heidän tietonsa.
- Poista heidän tietonsa.
Organisaatioiden tulee sitoutua julkaistuun vastausaikaan kaikille pääsy-, korjaus- tai poistopyynnöille ja esitettävä tarvittaessa syy, miksi korjauksia ei voida tehdä.
Jos henkilökohtaisia tunnistetietoja on siirretty kolmannelle osapuolelle, organisaatiot ovat velvollisia välittämään heille mahdolliset pyynnöt ja vahvistamaan kuittauksen (katso ISO 27701 kohta 7.3.7).
Lainkäyttöalueesta riippuen voidaan soveltaa erilaisia alueellisia ja kansallisia sääntöjä. Sellaisenaan organisaatioiden tulee säilyttää perusteellinen ymmärrys kaikista lakeista tai määräyksistä, jotka koskevat henkilökohtaisten tunnistetietojen saatavuutta, korjaamista tai poistamista.
Tukee ISO 27701 -lausekkeita
- ISO 27701 7.3.7
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.
EU:n GDPR:n artikla 13(2(f)) ja ISO 27701:n lauseke 7.3.10
Automatisoitu päätöksenteko
Organisaatioiden tulee kohdistaa kaikki lailliset velvoitteet henkilökohtaisten tunnistetietojen päättäjiin, jotka liittyvät henkilötietojen automaattiseen käsittelyyn.
Organisaatioiden tulisi ottaa huomioon lainkäyttövallan vaihtelut henkilökohtaisia tunnistetietoja koskevassa automatisoidussa päätöksenteossa – tarkemmin sanottuna sallimalla PII-päämiesten vastustaa ja pyytämällä ihmisen väliintuloa automaattisten menettelyjen sijaan.
EU:n GDPR:n artikla 13(2(a)) ja ISO 27701:n lauseke 7.4.7
Organisaatioiden on poistettava ja/tai hävitettävä henkilötiedot, joita se ei enää vaadi tai jotka eivät enää täytä tiettyä tarkoitusta.
Organisaatioiden tulee käyttää säilytysaikatauluja, joissa esitetään tarkka ajanjakso, jonka henkilökohtaisia tunnistetietoja säilytetään, mukaan lukien lakien, lakisääteisten tai sopimusehtojen noudattaminen.
Tuetut säätimet ISO 27701:stä
| GDPR-artikkeli | ISO 27701 -lauseke | ISO 27701 -tukilausekkeet |
|---|---|---|
| 14 artiklan 1 kohdan a alakohta, 1 kohdan b alakohta, 1 kohdan c alakohta, 1 kohdan d alakohta, 1 kohdan e alakohta, 1 kohdan f alakohta, 2 kohdan b alakohta , (2) (e), (2) (f), (3) (a), (3) (b), (3) (c), (4), (5) (a), (5) (b), (5) (c) ja (5) (d) | ISO 27701 7.3.2 | Ei eristetty |
| 14 artiklan 2 kohdan d alakohta | ISO 27701 7.3.4 | Ei eristetty |
| 14 artiklan 2 kohdan c alakohta | ISO 27701 7.3.5 | Ei eristetty |
| 14 artiklan 2 kohdan c alakohta | ISO 27701 7.3.6 | ISO 27701 7.3.7 |
| 14 artiklan 2 kohdan g alakohta | ISO 27701 7.3.10 | Ei eristetty |
| 14 artiklan 2 kohdan a alakohta | ISO 27701 7.4.7 | Ei eristetty |
Miten ISMS.online auttaa
ROPA on tehty helpoksi
PIMS-ratkaisumme tekee tietojen kartoittamisesta yksinkertaisen tehtävän. Kaiken tallentaminen ja tarkistaminen on helppoa, kun lisäät organisaatiosi tiedot valmiiksi määritettyyn dynaamiseen Records of Processing Activity -työkaluun.
Sisäänrakennettu riskipankki
Riskien hallinta on avain onnistuneeseen PIMS:ään. Siksi olemme luoneet sisäänrakennetun riskipankin ja joukon muita käytännön työkaluja, jotka auttavat kaikissa riskinarviointi- ja hallintaprosessin osissa.
Turvallinen tila DRR:lle
Mitä tahansa tietosuojastandardeja tai säännöksiä parissa työskentelet, sinun on osoitettava, kuinka hyvin hallitset Data Subject Rights Requests (DRR) -pyyntöjä. Suojattu DRR-tilamme pitää kaiken yhdessä paikassa ja tukee sitä automaattisella raportoinnilla ja oivalluksilla.
Lisätietoja: varata demo.
