GDPR 22 artikla koskee käsitettä, jota kutsutaan "tietojen profiloinniksi" – olennaisesti menetelmään, jota käytetään yksilön persoonallisuuden profilointiin. Yksin automaattisen data-analyysin avulla, jolla on mahdollisuus vaikuttaa niihin laillisesti tai taloudellisesti (esim. luottoluokitus ja asuntolainahakemukset).
Henkilöillä on 22 artiklan mukaan oikeus olla profiloitumatta tällä tavalla, ellei tutkittavan ja profiloinnin suorittavan organisaation välisellä sopimuksella ole nimenomaisesti sovittu.
Automatisoitu yksilöllinen päätöksenteko, mukaan lukien profilointi
Automatisoitu yksilöllinen päätöksenteko, mukaan lukien profilointi
Yleisesti ottaen 22 artikla ei ole merkityksellinen, jos päätökset koskevat useita rekisteröityjä tai henkilöryhmiä, joita yhdistävät tietyt muuttujat – esimerkiksi ikä, sukupuoli tai sijainti.
Sen sijaan laki keskittyy yksilön – eli yhden henkilön – oikeuksiin olla profiloitumatta ilman hänen suostumustaan.
Vaikka päätökset ovat ensisijainen aihe, ne ovat harmaata aluetta. Laki on epäselvä, mikä on päätös. Nämä voivat vaihdella valtion viranomaisen päätöksestä tai jostain helpommin tunnistettavasta, kuten luottopisteistä tai asuntolainahakemukseen liittyvistä toimista.
Epäselvyyden vuoksi päätökset voivat myös muodostaa asenteen tai mielipiteen rekisteröityä kohtaan, joka perustuu hänen tietoihinsa, mutta vain siinä tapauksessa, että siihen on todennäköistä reagoida.
"Oikeusvaikutus" on henkilöä kohtaan kohdistettu sitova toimenpide. Päätökset ovat skenaarioita, kuten etuushakemus, veroilmoitus tai terveydenhuollon arviointi.
Vaikka jotkin tai kaikki näistä eivät välttämättä muuta henkilön perusoikeudellista asemaa, niillä voi silti olla syvällinen vaikutus kyseisen henkilön elämään, mukaan lukien:
Tässä osiossa puhumme GDPR-artikkeleista 22 (2) (a), 22 (2) (b), 22 (2) (c), 22 (4)
Oikeusperustan muodostamiseksi henkilötietojen käsittelylle organisaatioiden tulee dokumentoida toimintansa ja:
Organisaatioiden on myös otettava huomioon niiden organisaatioon liittyvät PII-erikoisluokat niiden tietojen luokitusjärjestelmässä (katso ISO 27701, kohta 7.2.8) (luokitukset voivat vaihdella alueittain).
Jos organisaatiot kokevat muutoksia henkilökohtaisten tunnistetietojen käsittelyn taustalla olevissa syissä, tämän tulee välittömästi näkyä niiden dokumentoidussa oikeusperustassa.
Tässä osiossa puhumme GDPR-artikkeleista 22 (1) ja 22 (3)
Organisaatioiden tulee ottaa huomioon lainkäyttövallan vaihtelut henkilökohtaisia tunnistetietoja koskevassa automatisoidussa päätöksenteossa.
Organisaatioiden tulee kunnioittaa yksilön oikeutta vastustaa ja pyytää ihmisen väliintuloa automaattisten menettelyjen sijaan.
GDPR-artikkeli | ISO 27701 -lauseke | ISO 27701 -tukilausekkeet |
---|---|---|
EU:n GDPR:n artikla 22 (2) (a), 22 (2) (b), 22 (2) (c), 22 (4) | ISO 27701 7.2.2 | ISO 27701 7.2.8 |
EU:n GDPR:n artikla 22 (1) ja 22 (3) | ISO 27701 7.3.10 | Ei eristetty |
Kun lisäät PIMS:n ISMS:ään ISMS.online-alustalla, tietoturva-asento pysyy yhtenäisenä ja vältyt päällekkäisyydeltä, kun standardit menevät päällekkäin.
Kun PIMS on välittömästi kiinnostuneiden osapuolten saatavilla, ei ole koskaan ollut helpompaa valvoa, raportoida ja auditoida sekä ISO 27701- että ISO 27001 -standardien mukaisesti napin painalluksella.
Selvitä, kuinka paljon aikaa ja rahaa säästät matkallasi yhdistettyyn ISO 27701- ja ISO 27001 -sertifiointiin käyttämällä ISMS.onlinea. varata demo.
Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi
Olemme kustannustehokkaita ja nopeita