Kuinka osoittaa GDPR-artiklan 14 noudattaminen

Yhdistyneen kuningaskunnan GDPR-versio

Tiedot, jotka on annettava, jos henkilötietoja ei ole saatu rekisteröidyltä

1. Jos henkilötietoja ei ole saatu rekisteröidyltä, rekisterinpitäjän on annettava rekisteröidylle seuraavat tiedot:
• Rekisterinpitäjän ja tarvittaessa rekisterinpitäjän edustajan henkilöllisyys ja yhteystiedot;
• Tietosuojavastaavan yhteystiedot tarvittaessa;
• Käsittelyn tarkoitukset, joihin henkilötiedot on tarkoitettu, sekä käsittelyn oikeusperusta;
• Asianomaisten henkilötietojen luokat;
• Henkilötietojen vastaanottajat tai vastaanottajien ryhmät, jos sellaisia ​​on;
• Soveltuvin osin siitä, että rekisterinpitäjä aikoo siirtää henkilötietoja kolmannessa maassa tai kansainvälisessä organisaatiossa olevalle vastaanottajalle ja vuoden 17 lain 2018A §:n mukaisten asiaankuuluvien riittävyyttä koskevien säännösten olemassaolo tai puuttuminen tai 46 artiklassa tarkoitettujen siirtojen tapauksessa tai puuttuminen. 47 artiklassa tai 49 artiklan 1 kohdan toisessa alakohdassa viitataan asianmukaisiin tai sopiviin suojatoimiin ja keinoihin saada niistä kopio tai missä ne on asetettu saataville.
2. Rekisterinpitäjän on 1 kohdassa tarkoitettujen tietojen lisäksi annettava rekisteröidylle seuraavat tiedot, jotka ovat tarpeen rekisteröidyn oikeudenmukaisen ja avoimen käsittelyn varmistamiseksi:
• ajanjakso, jonka ajan henkilötietoja säilytetään, tai jos se ei ole mahdollista, kyseisen ajanjakson määrittämisessä käytetyt kriteerit;
• Jos käsittely perustuu 6 artiklan 1 kohdan f alakohtaan, rekisterinpitäjän tai kolmannen osapuolen oikeutetut edut;
• Oikeus pyytää rekisterinpitäjältä pääsyä henkilötietoihin ja oikaisua tai poistamista tai käsittelyn rajoittamista ja vastustaa käsittelyä sekä oikeus tietojen siirrettävyyteen;
• Jos käsittely perustuu 6 artiklan 1 kohdan a alakohtaan tai 9 artiklan 2 kohdan a alakohtaan, oikeus peruuttaa suostumus milloin tahansa, vaikuttamatta suostumukseen perustuvan käsittelyn laillisuuteen ennen sen hyväksymistä. peruuttaminen;
• Oikeus tehdä valitus komission jäsenelle;
• Mistä lähteestä henkilötiedot ovat peräisin, ja tarvittaessa, ovatko ne peräisin julkisesti saatavilla olevista lähteistä;
• 22 artiklan 1 ja 4 kohdassa tarkoitetun automatisoidun päätöksenteon olemassaolo, mukaan lukien profilointi, ja ainakin näissä tapauksissa mielekkäät tiedot käsittelyn logiikasta sekä tällaisen käsittelyn merkityksestä ja arvioiduista seurauksista rekisteröidylle.
3. Rekisterinpitäjän on annettava 1 ja 2 kohdassa tarkoitetut tiedot:
• Kohtuullisen ajan kuluessa henkilötietojen saamisesta, mutta viimeistään kuukauden kuluessa henkilötietojen käsittelyn erityisolosuhteet huomioon ottaen;
• Jos henkilötietoja aiotaan käyttää kommunikointiin rekisteröidyn kanssa, viimeistään silloin, kun henkilötiedot lähetetään ensimmäisen kerran kyseiselle rekisteröidylle; tai
• Jos henkilötiedot on tarkoitus luovuttaa toiselle vastaanottajalle, viimeistään silloin, kun henkilötiedot luovutetaan ensimmäisen kerran.
4. Jos rekisterinpitäjä aikoo käsitellä henkilötietoja edelleen muuhun tarkoitukseen kuin siihen, jota varten henkilötiedot on hankittu, rekisterinpitäjän on ennen jatkokäsittelyä annettava rekisteröidylle tiedot tästä toisesta tarkoituksesta ja kaikki asiaankuuluvat lisätiedot mainitun mukaisesti. kohtaan 2.
5. Edellä 1–4 kohtaa ei sovelleta, jos ja siltä osin kuin:
• Rekisteröidyllä on jo tiedot;
• Tällaisten tietojen toimittaminen osoittautuu mahdottomaksi tai vaatisi suhteetonta vaivaa, erityisesti käsittelyssä yleisen edun mukaista arkistointia, tieteellistä tai historiallista tutkimusta tai tilastollisia tarkoituksia varten 89 artiklan 1 kohdassa tarkoitettujen ehtojen ja takeiden mukaisesti tai siltä osin kuin tämän artiklan 1 kohdassa tarkoitettu velvollisuus on omiaan tekemään mahdottomaksi tai vakavasti haittaamaan käsittelyn tavoitteiden saavuttamista. Tällaisissa tapauksissa rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojelemiseksi, mukaan lukien tietojen saattaminen julkisesti saataville;
• Tietojen saamisesta tai luovuttamisesta säädetään nimenomaisesti kansallisessa lainsäädännössä, jossa säädetään asianmukaisista toimenpiteistä rekisteröidyn oikeutettujen etujen suojaamiseksi; tai
• Kun henkilötietojen on pysyttävä luottamuksellisina kansallisessa lainsäädännössä säädetyn salassapitovelvollisuuden, mukaan lukien lakisääteisen salassapitovelvollisuuden, mukaisesti.

Tekninen kommentti

Organisaatioiden on annettava seuraavat tiedot saataville koehenkilön tietojen keräämisen jälkeen:

1. Heidän tietosuojavastaavansa henkilöllisyys.
2. Tietosuojavastaavansa yhteystiedot.
3. Tietojen keräämisen tarkoitus ja oikeusperusta.
4. Epäsuorasti hankittujen henkilötietojen luokat.
5. Kaikki oikeutetut edut.
6. Vastaanottajien henkilöllisyys.
7. Kansainväliset tiedonsiirrot, mukaan lukien maatiedot ja suojatoimenpiteet.

Velvollisuus antaa tietoja, kun henkilötietoja hankitaan

Yllä olevien tietojen lisäksi organisaation tulee toimittaa:

1. Yksityiskohdat tietojen säilytysajasta;
2. Rekisteröidyn tietosuojalain mukaisten oikeuksien erityispiirteet;
3. Tietoja suostumuksen peruuttamisesta;
4. Kuinka tehdä valitus;
5. kaikki sopimus- tai lakivaatimukset;
6. Yksityiskohdat automatisoiduista päätöksentekoprosesseista.

Aikarajat, joille käsittelyä koskevat tiedot on annettava

• Skenaario 1 – Henkilötiedot kerätään ei aikomusta ottaa yhteyttä rekisteröityyn tai luovuttaa tietoja kolmannelle osapuolelle
• Yhteydenottoaika - yksi kuukausi
• Skenaario 2 – Henkilötiedot kerätään aikomus ottaa yhteyttä rekisteröityyn
• Yhteydenottoaika - kaksi kuukautta
• Henkilötiedot kerätään aikomus paljastaa ne kolmannelle osapuolelle
• Yhteydenottoaika - kaksi kuukautta

EU:n GDPR:n artikla 14 ja ISO 27701 -lauseke 7.3.2

Tämä osio viittaa GDPR:n artiklaan 14 (1) (a), 14 (1) (b), 14 (1) (c), 14 (1) (d), 14 (1) (e), 14 (1) ( f), 14 (2) (b), 14 (2) (e), 14 (2) (f), 14 (3) (a), 14 (3) (b), 14 (3) (c) , 14 (4), 14 (5) (a), 14 (5) (b), 14 (5) (c), 14 (5) (d)

Katso ISO 27701:n lausekkeen 7.3.2 ohjeet artikkelista 13.

EU:n GDPR artiklan 14 (2) (d) ja ISO 27701:n lauseke 7.3.4

Katso ISO 27701:n lausekkeen 7.3.4 ohjeet artikkelista 13.

EU:n GDPR:n artikla 14(2(c)) ja ISO 27701:n lauseke 7.3.5

Katso ISO 27701:n lausekkeen 7.3.5 ohjeet artikkelista 13.

EU:n GDPR:n artikla 14(2(c)) ja ISO 27701:n lauseke 7.3.6

Katso ISO 27701:n lausekkeen 7.3.6 ohjeet artikkelista 13.

EU:n GDPR:n artikla 14(2(g)) ja ISO 27701:n lauseke 7.3.10

Katso ISO 27701:n lausekkeen 7.3.10 ohjeet artikkelista 13.

EU:n GDPR:n artikla 14(2(a)) ja ISO 27701:n lauseke 7.4.7

Katso ISO 27701:n lausekkeen 7.4.7 ohjeet artikkelista 13.

Tuetut säätimet ISO 27701:stä

Miten ISMS.online auttaa

Tarjoamme ympäristön, joka on valmiiksi rakennettu, jotta voit kuvata ja esitellä lähestymistapaasi Euroopan ja Iso-Britannian asiakastietojesi suojaamiseen, joka sopii saumattomasti hallintajärjestelmääsi.

Siksi olemme luoneet sisäänrakennetun riskipankin ja joukon muita käytännön työkaluja, jotka auttavat kaikissa riskinarviointi- ja hallintaprosessin osissa. Mitä tahansa tietosuojastandardeja tai säännöksiä parissa työskentelet, sinun on osoitettava, kuinka hyvin hallitset Data Subject Rights Requests (DRR) -pyyntöjä. Suojattu DRR-tilamme pitää kaiken yhdessä paikassa ja tukee sitä automaattisella raportoinnilla ja oivalluksilla.

Lisätietoja: varata 30 minuutin demo.