Kuinka osoittaa GDPR-artiklan 22 noudattaminen

GDPR-yhteensopivuusohjelmisto

Varaa demo

yritys,tiimi,kokous.,valokuva,ammattilainen,sijoittaja,työssä,uusi,aloitus,

GDPR 22 artikla koskee käsitettä, jota kutsutaan "tietojen profiloinniksi" – olennaisesti menetelmään, jota käytetään yksilön persoonallisuuden profilointiin. Yksin automaattisen data-analyysin avulla, jolla on mahdollisuus vaikuttaa niihin laillisesti tai taloudellisesti (esim. luottoluokitus ja asuntolainahakemukset).

Henkilöillä on 22 artiklan mukaan oikeus olla profiloitumatta tällä tavalla, ellei tutkittavan ja profiloinnin suorittavan organisaation välisellä sopimuksella ole nimenomaisesti sovittu.

GDPR artiklan 22 lakiteksti

EU:n GDPR-versio

Automatisoitu yksilöllinen päätöksenteko, mukaan lukien profilointi

  1. Rekisteröidyllä on oikeus olla joutumatta sellaisen yksinomaan automatisoituun käsittelyyn, mukaan lukien profilointiin, perustuvaan päätökseen, jolla on häntä koskevia oikeusvaikutuksia tai joka vaikuttaa häneen vastaavalla tavalla merkittävästi.

  2. Edellä olevaa 1 kohtaa ei sovelleta, jos päätös:

    • on tarpeen rekisteröidyn ja rekisterinpitäjän välisen sopimuksen tekemiseksi tai toteuttamiseksi;

    • on valtuutettu unionin tai jäsenvaltion lainsäädännössä, jota rekisterinpitäjä koskee, ja jossa säädetään myös sopivista toimenpiteistä rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen turvaamiseksi; tai

    • perustuu rekisteröidyn nimenomaiseen suostumukseen.

  3. Edellä 2 kohdan a ja c alakohdassa tarkoitetuissa tapauksissa rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet turvatakseen rekisteröidyn oikeudet ja vapaudet sekä oikeutetut edut, ainakin oikeuden saada henkilön puuttumaan asiaan. rekisterinpitäjä, ilmaista kantansa ja riitauttaa päätöksen.

  4. Edellä 2 kohdassa tarkoitetut päätökset eivät saa perustua 9 artiklan 1 kohdassa tarkoitettuihin erityisiin henkilötietoryhmiin, paitsi jos sovelletaan 9 artiklan 2 kohdan a tai g alakohtaa ja asianmukaisia ​​toimenpiteitä rekisteröidyn oikeuksien turvaamiseksi. vapaudet ja oikeutetut edut ovat olemassa.

Yhdistyneen kuningaskunnan GDPR-versio

Automatisoitu yksilöllinen päätöksenteko, mukaan lukien profilointi

  1. Rekisteröidyllä on oikeus olla joutumatta sellaisen yksinomaan automatisoituun käsittelyyn, mukaan lukien profilointiin, perustuvaan päätökseen, jolla on häntä koskevia oikeusvaikutuksia tai joka vaikuttaa häneen vastaavalla tavalla merkittävästi.

  2. Edellä olevaa 1 kohtaa ei sovelleta, jos päätös:

    • on tarpeen rekisteröidyn ja rekisterinpitäjän välisen sopimuksen tekemiseksi tai toteuttamiseksi;

    • on kansallisen lainsäädännön edellyttämä tai valtuutettu, ja siinä säädetään myös sopivista toimenpiteistä rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen turvaamiseksi; tai

    • perustuu rekisteröidyn nimenomaiseen suostumukseen.

  3. Edellä 2 kohdan a ja c alakohdassa tarkoitetuissa tapauksissa rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet turvatakseen rekisteröidyn oikeudet ja vapaudet sekä oikeutetut edut, ainakin oikeuden saada henkilön puuttumaan asiaan. rekisterinpitäjä, ilmaista kantansa ja riitauttaa päätöksen.

    • 3A. Vuoden 14 lain 2018 §:ssä ja sen säännöksissä säädetään rekisteröityjen oikeuksien, vapauksien ja oikeutettujen etujen turvaamisesta tapauksissa, jotka kuuluvat 2 kohdan b alakohdan (mutta ei a tai c alakohdan) soveltamisalaan. kyseisestä kappaleesta).

  4. 4. Edellä 2 kohdassa tarkoitetut päätökset eivät saa perustua 9 artiklan 1 kohdassa tarkoitettuihin erityisiin henkilötietojen luokkiin, paitsi jos sovelletaan 9 artiklan 2 kohdan a tai g alakohtaa ja soveltuvia toimenpiteitä tietojen suojaamiseksi. kohteen oikeudet ja vapaudet sekä oikeutetut edut ovat olemassa.
Siirry aiheeseen
Yksinkertainen. Turvallinen. Kestävä.

Katso alustamme toiminnassa tarpeidesi ja tavoitteidesi perusteella räätälöidyllä käytännönläheisellä istunnolla.

Varaa esittelysi
img

Tekninen kommentti

Laajuus

Yleisesti ottaen 22 artikla ei ole merkityksellinen, jos päätökset koskevat useita rekisteröityjä tai henkilöryhmiä, joita yhdistävät tietyt muuttujat – esimerkiksi ikä, sukupuoli tai sijainti.

Sen sijaan laki keskittyy yksilön – eli yhden henkilön – oikeuksiin olla profiloitumatta ilman hänen suostumustaan.

Mikä on "päätös"

Vaikka päätökset ovat ensisijainen aihe, ne ovat harmaata aluetta. Laki on epäselvä, mikä on päätös. Nämä voivat vaihdella valtion viranomaisen päätöksestä tai jostain helpommin tunnistettavasta, kuten luottopisteistä tai asuntolainahakemukseen liittyvistä toimista.

Epäselvyyden vuoksi päätökset voivat myös muodostaa asenteen tai mielipiteen rekisteröityä kohtaan, joka perustuu hänen tietoihinsa, mutta vain siinä tapauksessa, että siihen on todennäköistä reagoida.

Oikeudelliset vaikutukset

"Oikeusvaikutus" on henkilöä kohtaan kohdistettu sitova toimenpide. Päätökset ovat skenaarioita, kuten etuushakemus, veroilmoitus tai terveydenhuollon arviointi.

Vaikka jotkin tai kaikki näistä eivät välttämättä muuta henkilön perusoikeudellista asemaa, niillä voi silti olla syvällinen vaikutus kyseisen henkilön elämään, mukaan lukien:

  • muuttaa henkilön olosuhteita tai hänen käytettävissään olevia valintoja;

  • sillä on pitkäaikainen vaikutus ihmiseen hänen elämänsä aikana;

  • (tietyissä olosuhteissa) johtaa syrjintään tai epäoikeudenmukaisiin toimiin jotakuta kohtaan.

ISO 27701 lauseke 7.2.2 ja EU GDPR artikla 22

Tässä osiossa puhumme GDPR-artikkeleista 22 (2) (a), 22 (2) (b), 22 (2) (c), 22 (4)

Laillisen perustan tunnistaminen

Oikeusperustan muodostamiseksi henkilötietojen käsittelylle organisaatioiden tulee dokumentoida toimintansa ja:

  1. pyytää suostumusta;

  2. luonnostele sopimus tai ota yhteyttä;

  3. noudattaa muita laillisia velvoitteita;

  4. suojelemaan niiden henkilöiden ja ryhmien "elintärkeiden etujen" suojaa, joista heillä on tietoja;

  5. varmistaa, että ne toimivat yleisen edun mukaisesti ja ovat oikeutettuja etuja.

Organisaatioiden on myös otettava huomioon niiden organisaatioon liittyvät PII-erikoisluokat niiden tietojen luokitusjärjestelmässä (katso ISO 27701, kohta 7.2.8) (luokitukset voivat vaihdella alueittain).

Jos organisaatiot kokevat muutoksia henkilökohtaisten tunnistetietojen käsittelyn taustalla olevissa syissä, tämän tulee välittömästi näkyä niiden dokumentoidussa oikeusperustassa.

Tukee ISO 27701 -lausekkeita

  • ISO 27701 7.2.8

ISO 27701 lauseke 7.3.10 ja EU GDPR artikla 22

Tässä osiossa puhumme GDPR-artikkeleista 22 (1) ja 22 (3)

Automatisoitu päätöksenteko

Organisaatioiden tulee ottaa huomioon lainkäyttövallan vaihtelut henkilökohtaisia ​​tunnistetietoja koskevassa automatisoidussa päätöksenteossa.

Organisaatioiden tulee kunnioittaa yksilön oikeutta vastustaa ja pyytää ihmisen väliintuloa automaattisten menettelyjen sijaan.

Hakemisto linkitetyistä EU:n GDPR-artikkeleista ja ISO 27701 -lausekkeista

GDPR-artikkeliISO 27701 -lausekeISO 27701 -tukilausekkeet
EU:n GDPR:n artikla 22 (2) (a), 22 (2) (b), 22 (2) (c), 22 (4)ISO 27701 7.2.2ISO 27701 7.2.8
EU:n GDPR:n artikla 22 (1) ja 22 (3)ISO 27701 7.3.10Ei eristetty

Miten ISMS.online auttaa

Kun lisäät PIMS:n ISMS:ään ISMS.online-alustalla, tietoturva-asento pysyy yhtenäisenä ja vältyt päällekkäisyydeltä, kun standardit menevät päällekkäin.

Kun PIMS on välittömästi kiinnostuneiden osapuolten saatavilla, ei ole koskaan ollut helpompaa valvoa, raportoida ja auditoida sekä ISO 27701- että ISO 27001 -standardien mukaisesti napin painalluksella.

Selvitä, kuinka paljon aikaa ja rahaa säästät matkallasi yhdistettyyn ISO 27701- ja ISO 27001 -sertifiointiin käyttämällä ISMS.onlinea. varata demo.

Tutustu alustaamme

Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi

Olemme kustannustehokkaita ja nopeita

Selvitä, kuinka se parantaa sijoitetun pääoman tuottoprosenttia
Hanki tarjous

ISMS.online tukee nyt ISO 42001 -standardia - maailman ensimmäistä tekoälyn hallintajärjestelmää. Napsauta saadaksesi lisätietoja