Kuinka osoittaa GDPR-artiklan 24 noudattaminen

GDPR-vaatimustenmukaisuuden varmistaminen: Artiklan 24 mukaisten velvollisuuksien ymmärtäminen

GDPR Artikla 24 on GDPR:n ensimmäinen osa, joka koskee rekisterinpitäjän yleisiä velvoitteita, jotka kuvataan tarkemmin seuraavissa artikkeleissa.

Sävyn muutos passiivisesta noudattamisesta pakollisen kielenkäyttöön on GDPR-lainsäädännön tunnusmerkki, ja se antaa sävyn sille, miten rekisterinpitäjien odotetaan käyttäytyvän myöhemmin lainsäädännössä.

GDPR artiklan 24 lakiteksti

EU:n GDPR-versio

Rekisterinpitäjän vastuu

1. Ottaen huomioon käsittelyn luonteen, laajuuden, kontekstin ja tarkoitukset sekä riskit vaihtelevan todennäköisyyden ja vakavuuden luonnollisten henkilöiden oikeuksiin ja vapauksiin, rekisterinpitäjän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet varmistaakseen ja pystyäkseen osoittamaan, että käsittely suoritetaan tämän asetuksen mukaisesti. Näitä toimenpiteitä tarkastellaan uudelleen ja ajantasaistetaan tarvittaessa.
2. Jos 1 kohdassa tarkoitettuihin toimenpiteisiin on suhteutettu käsittelytoimiin nähden, siihen on sisällyttävä asianmukaisten tietosuojakäytäntöjen täytäntöönpano rekisterinpitäjän toimesta.
3. Edellä 40 artiklassa tarkoitettujen hyväksyttyjen käytännesääntöjen tai 42 artiklassa tarkoitettujen hyväksyttyjen sertifiointimekanismien noudattamista voidaan käyttää osana, jolla osoitetaan rekisterinpitäjän velvoitteiden noudattaminen.

Yhdistyneen kuningaskunnan GDPR-versio

Rekisterinpitäjän vastuu

1. Ottaen huomioon käsittelyn luonteen, laajuuden, kontekstin ja tarkoitukset sekä riskit vaihtelevan todennäköisyyden ja vakavuuden luonnollisten henkilöiden oikeuksiin ja vapauksiin, rekisterinpitäjän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet varmistaakseen ja pystyäkseen osoittamaan, että käsittely suoritetaan tämän asetuksen mukaisesti. Näitä toimenpiteitä tarkastellaan uudelleen ja ajantasaistetaan tarvittaessa.
2. Jos 1 kohdassa tarkoitettuihin toimenpiteisiin on suhteutettu käsittelytoimiin nähden, siihen on sisällyttävä asianmukaisten tietosuojakäytäntöjen täytäntöönpano rekisterinpitäjän toimesta.
3. Edellä 40 artiklassa tarkoitettujen hyväksyttyjen käytännesääntöjen tai 42 artiklassa tarkoitettujen hyväksyttyjen sertifiointimekanismien noudattamista voidaan käyttää osana, jolla osoitetaan rekisterinpitäjän velvoitteiden noudattaminen.

Tekninen kommentti

'Toimenpiteet'

GDPR ei itse asiassa määrittele, mitä tekninen toimenpide on, mikä on johtanut hämmennykseen organisaatioissa, joilla on vaikeuksia ymmärtää velvollisuuksiaan. Sellaisenaan useimmat lainopilliset viranomaiset määrittelivät "toimenpiteeksi" mitä tahansa toimintaa, jonka organisaatio voi toteuttaa, mikä tekee niistä vaatimusten mukaisia.

Riskiperusteisen lähestymistavan omaksuminen

Ottaen huomioon käsitteen "toimenpide" laaja soveltamisala, jotta voidaan varmistaa, miten vaatimustenmukaisuus saavutetaan, organisaatioille olisi suoritettava perusteellinen riskinarviointi, jossa otetaan huomioon luonto, laajuus ja tarkoitus käsittelytoimistaan.

Lisäksi organisaatioiden tulee jatkuvasti muistaa oikeus yksilönvapauteen ja mahdolliset toiminnalliset riskit.

Vaatimustenmukaisuuden osoittaminen

Yleissääntönä on, että mitä riskialtisempi käsittelytoiminto on, sitä enemmän todisteita tarvitaan. Organisaatioiden tulisi olla huolissaan fyysisten ja digitaalisten todisteiden keräämisestä, jotka osoittavat, että ne noudattavat lainkuuliaisia ​​organisaatioita.

ISO 27701:n lauseke 5.2.1 (Organisaatiosta ja sen kontekstista) ja EU:n GDPR:n artikla 24 (3)

Ennen kuin organisaatiot yrittävät käsitellä yksityisyyden suojaa ja ottaa käyttöön henkilökohtaisia ​​tunnistetietoja, niiden on ensin ymmärrettävä velvollisuutensa yksittäisenä tai yhteisenä henkilökohtaisten tunnistetietojen rekisterinpitäjänä ja/tai käsittelijänä.

Tämä sisältää:

• tarkistaa voimassa olevat yksityisyyttä koskevat lait, määräykset tai "oikeudelliset päätökset";
• ottaa huomioon organisaation ainutlaatuiset vaatimukset, jotka liittyvät sen myymien tuotteiden ja palvelujen tyyppiin, sekä yrityskohtaiset hallintoasiakirjat, -periaatteet ja -menettelyt;
• hallinnolliset tekijät;
• kolmannen osapuolen sopimukset tai palvelusopimukset.

ISO 27701:n lauseke 6.15.1.3 (tietueiden suojaus) ja EU:n GDPR:n artikla 24 (2)

Tietueenhallinta kattaa neljä avainaluetta:

1. Aitous;
2. Luotettavuus;
3. Eheys;
4. Käytettävyys.

Organisaatioiden tulee:

• julkaista ohjeita, jotka koskevat:
• varastointi;
• käsittely (alkuperäketju);
• hävittäminen;
• manipuloinnin estäminen.
• hahmotella, kuinka kauan kutakin tietuetyyppiä tulee säilyttää;
• noudata kaikkia kirjanpitoa koskevia lakeja;
• noudattaa asiakkaiden odotuksia sen suhteen, kuinka organisaatioiden tulee käsitellä tiedostojaan;
• tuhota tietueita, kun niitä ei enää tarvita;
• luokitella tietueet niiden turvallisuusriskin perusteella, esim.
• kirjanpito;
• yrityksen tilisiirrot;
• henkilöstöasiakirjat;
• laillista.
• varmistaa, että he pystyvät hakemaan tietueita hyväksyttävän ajan kuluessa, jos kolmas osapuoli tai lainvalvontaviranomainen sitä pyytää;
• noudata aina valmistajan ohjeita, kun tallennat tai käsittelet tallenteita sähköisissä medialähteissä.

ISO 27701:n lauseke 6.2.1.1 (tietoturvakäytännöt) ja EU:n GDPR:n artikla 24 (2)

ISO kannattaa kaksitahoista lähestymistapaa organisaation yksityisyyden suojaamiseen, joka sisältää:

• yleinen yksityisyyden suojakäytäntö;
• aihekohtaiset tietosuojakäytännöt.

Molemmat käytännöt voidaan joko yhdistää yhdeksi asiakirjaksi tai erottaa organisaation parhaaksi katsomallaan tavalla.

Käytännöt olisi levitettävä kaikille asiaankuuluville henkilöstön jäsenille (ja tarvittaessa ulkoiselle henkilöstölle), jotta voidaan varmistaa sisäisten ja ulkoisten yksityisyyden suojavaatimusten jatkuva noudattaminen.

Kaikkia vakuutuksen saaneita tulee pyytää vahvistamaan mieluiten kirjallisesti, että he molemmat ymmärtävät, mitä heiltä pyydetään, ja ovat valmiita noudattamaan niitä.

Käytännöt tulee tarkistaa, kun muutoksia tehdään:

• yritysstrategia;
• toimintatavat/tekniset ympäristöt;
• kaikki lait (mukaan lukien GDPR), sääntelymääräykset tai yleiset henkilökohtaisiin tunnistetietoihin liittyvät ohjeet, joita organisaatiolla on velvollisuus noudattaa;
• yksityisyyden suojan riskitasot ja vallitseva/ennustettu uhkakuva.

Yleiset käytännöt

Ylimmän johdon tulee laatia (muiden aihekohtaisten käytäntöjen ohella) ylimmän tason yksityisyyden suojapolitiikka, jossa hahmotellaan selkeästi prosessit ja käytännön toimenpiteet, joihin henkilökohtaisten tunnistetietojen turvaamiseksi ryhdytään.

Organisaation tietosuojakäytäntöjen tulee sisältää tietoja ja pysyä asiaankuuluvina:

1. yleinen liiketoimintastrategia;
2. voimassa olevat sääntely-, laki- tai sopimusvaatimukset;
3. selkeitä ja ilmeisiä yksityisyyden suojan riskejä.

Yksityisyyden suojaperiaatteissa tulee määritellä organisaation:

• yksityisyyden suojan toiminnallinen määritelmä;
• ilmoitetut yksityisyyden suojatavoitteet;
• laajempi joukko henkilökohtaisten henkilötietojen suojaa koskevia periaatteita;
• sitoutuminen henkilötietoihin liittyvien tavoitteidensa saavuttamiseen ja niiden jatkuvaan parantamiseen;
• lähestymistapa vastuun delegoimiseksi koko tietosuojakäytännöstä tai osasta asiaankuuluville roolityypeille;
• lähestymistapa politiikkaan tehtyjen poikkeuksien käsittelyyn;
• aikoo ylimmän johdon tarkistaa ja hyväksyä muutokset.

ISO 27701:n lauseke 7.2.8 (henkilökohtaisten tunnistetietojen käsittelyyn liittyvät tietueet) ja EU:n GDPR:n artikla 24 (1)

Tietueilla (tunnetaan myös nimellä "varastoluettelot") tulee olla valtuutettu omistaja, ja ne voivat sisältää:

1. toiminnallinen – suoritettavan henkilötietojen käsittelyn tyyppi;
2. perustelut – miksi henkilökohtaisia ​​tunnistetietoja käsitellään;
3. kategorinen – luettelot henkilökohtaisten tunnistetietojen vastaanottajista, mukaan lukien kansainväliset järjestöt;
4. turvallisuus – yleiskatsaus henkilökohtaisten tunnistetietojen suojaamiseen;
5. yksityisyys eli tietosuojavaikutusten arviointiraportti.

Hakemisto linkitetyistä EU:n GDPR-artikkeleista ja ISO 27701 -lausekkeista

Miten ISMS.online auttaa

ISMS.online tarjoaa sinulle täydellisen GDPR-ratkaisun.

Tarjoamme ympäristön, joka on valmiiksi rakennettu, jotta voit kuvata ja esitellä lähestymistapaasi Euroopan ja Iso-Britannian asiakastietojesi suojaamiseen, joka sopii saumattomasti hallintajärjestelmääsi.

ISMS.online-alustalla on sisäänrakennettu opastus jokaisessa vaiheessa yhdistettynä "Ota käyttöön, mukauta, lisää" -toteutustapamme kanssa, joten GDPR-asetuksesi osoittamiseen vaadittava vaiva vähenee huomattavasti.

Onko sinulla 30 minuuttia? Lisätietoja: varata demo.