GDPR:n artiklan 15 ymmärtäminen: Oikeutesi päästä käsiksi henkilötietoihin
Artikla 15 koskee organisaation velvollisuutta antaa johdonmukaisia, luotettavia ja täsmällisiä tietoja toimistaan rekisterinpitäjänä.
Organisaation rekisteröidyille toimittamien tietojen avulla yksilöt voivat lisätä tietoisuuttaan tietojensa käytöstä, valvoa tietojensa käsittelyä ja jakamista sekä varmistaa, että heidän tietojaan käsitellään laillisesti.
GDPR artiklan 15 lakiteksti
Yhdistyneen kuningaskunnan GDPR-versio
Rekisteröidyn oikeus tutustua tietoihin
- Rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, käsitelläänkö häntä koskevia henkilötietoja ja mikäli näin on, oikeus saada pääsy henkilötietoihin ja seuraaviin tietoihin:
- käsittelyn tarkoitukset;
- kyseisten henkilötietojen luokat;
- vastaanottajat tai vastaanottajaryhmät, joille henkilötietoja on luovutettu tai tullaan luovuttamaan, erityisesti vastaanottajat kolmansissa maissa tai kansainvälisissä järjestöissä;
- mahdollisuuksien mukaan suunniteltu ajanjakso, jona henkilötietoja säilytetään, tai jos ei ole mahdollista, kyseisen ajan määrittämisessä käytettävät kriteerit;
- oikeus pyytää rekisterinpitäjältä rekisteröityä koskevien henkilötietojen oikaisemista tai poistamista tai henkilötietojen käsittelyn rajoittamista tai vastustaa tällaista käsittelyä;
- oikeus tehdä valitus komission jäsenelle;
- jos henkilötietoja ei kerätä rekisteröidyltä;
- 22 artiklan 1 ja 4 kohdassa tarkoitetun automatisoidun päätöksenteon olemassaolo, mukaan lukien profilointi, ja ainakin näissä tapauksissa mielekkäät tiedot käsittelyn logiikasta sekä tällaisen käsittelyn merkityksestä ja arvioiduista seurauksista rekisteröidylle.
- Jos henkilötietoja siirretään kolmanteen maahan tai kansainväliselle järjestölle, rekisteröidyllä on oikeus saada tietoa siirtoon liittyvistä 46 artiklan mukaisista asianmukaisista suojatoimista.
- Rekisterinpitäjä toimittaa kopion käsiteltävistä henkilötiedoista. Rekisterinpitäjä voi periä rekisteröidyn pyytämistä lisäkopioista kohtuullisen hallinnollisiin kuluihin perustuvan maksun. Jos rekisteröity tekee pyynnön sähköisesti ja ellei rekisteröity toisin pyydä, tiedot on annettava yleisesti käytetyssä sähköisessä muodossa.
- Edellä 3 kohdassa tarkoitettu oikeus saada jäljennös ei saa vaikuttaa haitallisesti muiden oikeuksiin ja vapauksiin.
EU:n GDPR-versio
Rekisteröidyn oikeus tutustua tietoihin
- Rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, käsitelläänkö häntä koskevia henkilötietoja ja mikäli näin on, oikeus saada pääsy henkilötietoihin ja seuraaviin tietoihin:
- käsittelyn tarkoitukset;
- kyseisten henkilötietojen luokat;
- vastaanottajat tai vastaanottajaryhmät, joille henkilötietoja on luovutettu tai tullaan luovuttamaan, erityisesti vastaanottajat kolmansissa maissa tai kansainvälisissä järjestöissä;
- mahdollisuuksien mukaan suunniteltu ajanjakso, jona henkilötietoja säilytetään, tai jos ei ole mahdollista, kyseisen ajan määrittämisessä käytettävät kriteerit;
- oikeus pyytää rekisterinpitäjältä rekisteröityä koskevien henkilötietojen oikaisemista tai poistamista tai henkilötietojen käsittelyn rajoittamista tai vastustaa tällaista käsittelyä;
- oikeus tehdä valitus valvontaviranomaiselle;
- jos henkilötietoja ei kerätä rekisteröidyltä;
- 22 artiklan 1 ja 4 kohdassa tarkoitetun automatisoidun päätöksenteon olemassaolo, mukaan lukien profilointi, ja ainakin näissä tapauksissa mielekkäät tiedot käsittelyn logiikasta sekä tällaisen käsittelyn merkityksestä ja arvioiduista seurauksista rekisteröidylle.
- Jos henkilötietoja siirretään kolmanteen maahan tai kansainväliselle järjestölle, rekisteröidyllä on oikeus saada tietoa siirtoon liittyvistä 46 artiklan mukaisista asianmukaisista suojatoimista.
- Rekisterinpitäjä toimittaa kopion käsiteltävistä henkilötiedoista. Rekisterinpitäjä voi periä rekisteröidyn pyytämistä lisäkopioista kohtuullisen hallinnollisiin kuluihin perustuvan maksun. Jos rekisteröity tekee pyynnön sähköisesti ja ellei rekisteröity toisin pyydä, tiedot on annettava yleisesti käytetyssä sähköisessä muodossa.
- Edellä 3 kohdassa tarkoitettu oikeus saada jäljennös ei saa vaikuttaa haitallisesti muiden oikeuksiin ja vapauksiin.
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia
ja määräykset, mikä antaa sinulle yhden
alusta kaikkiin vaatimustenmukaisuustarpeisiisi.
Tekninen kommentti
15 artikla sisältää kolme rekisteröidyllä olevaa perusoikeutta:
- pääsyoikeus (mukaan lukien oikeus saada vahvistus käsittelystä ja lisätietoja käsittelystä);
- oikeus saada tietoja suojatoimista;
- oikeus saada kopio henkilötiedoista;
15 artiklassa hahmotellaan myös joitakin tiedonsaantioikeuden rajoituksia (ks. edellä). Jos tällainen pääsy loukkaa muiden oikeuksia ja vapauksia, organisaatiot voivat evätä tietojen kopiointipyynnöt.
Myös silloin, kun tällaisia pyyntöjä pidetään kohtuuttomina tai ilmeisen perusteettomina, organisaatiot voivat periä "kohtuullisen maksun" torjuakseen tietopyyntöjen toistuvan luonteen.
ISO 27701 lauseke 7.3.2 ja EU GDPR artikla 15
Tässä osiossa puhumme GDPR-artikkeleista 15 (1) (a), 15 (1) (b), 15 (1) (c), 15 (1) (d), 15 (1) (e), 15 ( 1) (f), 15 (1) (g), 15 (1) (h) ja 15 (2)
Organisaatioiden tulee laatia yksityiskohtaiset vaatimukset, jotka säätelevät, kuinka ja milloin tiedot on toimitettava henkilökohtaisten tunnistetietojen päämiehille.
Esimerkkejä ovat:
- kerättyjen ja käsiteltyjen tietojen taustalla oleva tarkoitus;
- yhteystiedot;
- miten ja missä henkilökohtainen tunniste on saatu;
- sopimus- ja/tai lakisääteiset vaatimukset;
- kuinka suostumus voidaan poistaa;
- PII-siirrot;
- kuinka kirjata valitus;
- miten organisaatio tekee päätöksiä henkilötietojen käsittelystä;
- tietojen säilytysajat.
ISO 27701 lauseke 7.3.8 ja EU GDPR artiklan 15 (3) ja (4)
Organisaatioiden on toimitettava kopiot henkilökohtaisista tunnistetiedoista käyttäjäystävällisessä ja helposti saatavilla olevassa muodossa.
Organisaatioiden tulee varmistaa, että kaikki toimitetut tiedot liittyvät asiaan Yksin PII-päämiehelle, joka pyysi sitä ensimmäisenä.
Jos henkilökohtaisten tunnistetietojen tunnistaminen on poistettu, henkilöllisyyttä ei pidä yrittää uudelleen, ellei organisaatio ole lain mukaan velvoitettu tekemään niin.
Organisaatioiden tulisi myös selvittää tapoja siirtää henkilökohtaisia tunnistetietoja suoraan toiselle organisaatiolle pyydettäessä.
Vaatimustenmukaisuuden ei tarvitse olla monimutkaista.
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.
ISO 27701 lauseke 7.3.9 ja EU GDPR artikla 15
Tässä osiossa puhumme GDPR-artikkeleista 15 (1) (a), 15 (1) (b), 15 (1) (c), 15 (1) (d), 15 (1) (e), 15 ( 1) (f), 15 (1) (g), 15 (1) (h)
Pyyntöihin voi sisältyä kopio henkilökohtaisista tiedoista tai valituksen rekisteröinti, ja ne on täytettävä kohtuullisessa vastausajassa.
Organisaatiot voivat myös periä käsittelymaksun, mutta tämä rajoittuu yleensä liiallisiin tai toistuviin pyyntöihin, ja se riippuu lainkäyttöalueesta, jolla organisaatio toimii.
ISO 27701:n lauseke 7.4.5 ja EU:n GDPR:n artikla 15 (2)
Organisaatioiden on joko tuhottava henkilökohtaiset tunnistetiedot, jotka eivät enää täytä tarkoitusta, tai muutettava niitä tavalla, joka estää kaikenlaisen päätunnistuksen.
ISO 27701:n lauseke 7.5.1 ja EU:n GDPR:n artikla 15 (2)
Saattaa olla tarpeen siirtää henkilökohtaisia tunnistetietoja kahden erillisen lainkäyttöalueen välillä. Kun näin tapahtuu, organisaatioiden tulee perustella ja dokumentoida sen tarve.
Organisaatioiden tulee ottaa kaikki asiaankuuluvat lait, puitteet ja määräykset huomioon aina, kun niiden on siirrettävä tietoja lainkäyttöalueiden välillä. Organisaatioiden olisi tarvittaessa myös dokumentoitava nimetyn valvontaviranomaisen käyttö.
ISO 27701:n lauseke 8.3.1 ja EU:n GDPR:n artikla 15 (3)
Organisaatioiden on varmistettava riittävät keinot täyttääkseen velvoitteensa kolmella avainalueella:
- lainsäädäntö;
- säätö;
- sopimuksia.
Hakemisto linkitetyistä EU:n GDPR-artikkeleista ja ISO 27701 -lausekkeista
| GDPR-artikkeli | ISO 27701 -lauseke | ISO 27701 -tukilausekkeet |
|---|---|---|
| EU:n GDPR:n artiklan 15 (1) a–15 (2) | ISO 27701 7.3.2 | Ei eristetty |
| EU:n GDPR artiklan 15 (3) ja 15 (4) | ISO 27701 7.3.8 | Ei eristetty |
| EU:n GDPR:n 15 artiklan 1 kohdan a alakohta - 15 artiklan 1 kohdan h alakohta | ISO 27701 7.3.9 | Ei eristetty |
| EU:n GDPR:n artikla 15 (2) | ISO 27701 7.4.5 | Ei eristetty |
| EU:n GDPR:n artikla 15 (2) | ISO 27701 7.5.1 | Ei eristetty |
| EU:n GDPR:n artikla 15 (3) | ISO 27701 8.3.1 | Ei eristetty |
Miten ISMS.online auttaa
ISMS.online tarjoaa ympäristön, joka on valmiiksi rakennettu, jotta voit kuvata ja esitellä lähestymistapaasi Euroopan ja Iso-Britannian asiakastietojesi suojaamiseen, mikä sopii saumattomasti hallintajärjestelmääsi.
GDPR Sitä pidetään yleisesti maailman tiukimpana tietosuoja- ja turvallisuussääntelynä, ja rikkomuksista seuraa merkittäviä sakkoja. Se voi olla moniselitteinen ja tulkinnanvarainen, mikä viittaa siihen, että organisaatioiden on tarjottava "kohtuullinen" henkilötietojen suojan taso.
ISMS.onlinen avulla voit helposti hypätä suoraan matkallesi kohti GDPR-vaatimustenmukaisuutta ja helposti osoittaa suojaustasoa, joka ylittää "kohtuullisen", kaikki yhdessä turvallisessa paikassa.
Ota selvää, kuinka ISMS.online voi auttaa sinua osoittamaan GDPR:n noudattamisen varata käytännön demo.
Hyppää aiheeseen
