GDPR Artikla 24 on GDPR:n ensimmäinen osa, joka koskee rekisterinpitäjän yleisiä velvoitteita, jotka kuvataan tarkemmin seuraavissa artikkeleissa.
Sävyn muutos passiivisesta noudattamisesta pakollisen kielenkäyttöön on GDPR-lainsäädännön tunnusmerkki, ja se antaa sävyn sille, miten rekisterinpitäjien odotetaan käyttäytyvän myöhemmin lainsäädännössä.
Rekisterinpitäjän vastuu
- Ottaen huomioon käsittelyn luonteen, laajuuden, kontekstin ja tarkoitukset sekä riskit vaihtelevan todennäköisyyden ja vakavuuden luonnollisten henkilöiden oikeuksiin ja vapauksiin, rekisterinpitäjän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet varmistaakseen ja pystyäkseen osoittamaan, että käsittely suoritetaan tämän asetuksen mukaisesti. Näitä toimenpiteitä tarkastellaan uudelleen ja ajantasaistetaan tarvittaessa.
- Jos 1 kohdassa tarkoitettuihin toimenpiteisiin on suhteutettu käsittelytoimiin nähden, siihen on sisällyttävä asianmukaisten tietosuojakäytäntöjen täytäntöönpano rekisterinpitäjän toimesta.
- Edellä 40 artiklassa tarkoitettujen hyväksyttyjen käytännesääntöjen tai 42 artiklassa tarkoitettujen hyväksyttyjen sertifiointimekanismien noudattamista voidaan käyttää osana, jolla osoitetaan rekisterinpitäjän velvoitteiden noudattaminen.
Rekisterinpitäjän vastuu
- Ottaen huomioon käsittelyn luonteen, laajuuden, kontekstin ja tarkoitukset sekä riskit vaihtelevan todennäköisyyden ja vakavuuden luonnollisten henkilöiden oikeuksiin ja vapauksiin, rekisterinpitäjän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet varmistaakseen ja pystyäkseen osoittamaan, että käsittely suoritetaan tämän asetuksen mukaisesti. Näitä toimenpiteitä tarkastellaan uudelleen ja ajantasaistetaan tarvittaessa.
- Jos 1 kohdassa tarkoitettuihin toimenpiteisiin on suhteutettu käsittelytoimiin nähden, siihen on sisällyttävä asianmukaisten tietosuojakäytäntöjen täytäntöönpano rekisterinpitäjän toimesta.
- Edellä 40 artiklassa tarkoitettujen hyväksyttyjen käytännesääntöjen tai 42 artiklassa tarkoitettujen hyväksyttyjen sertifiointimekanismien noudattamista voidaan käyttää osana, jolla osoitetaan rekisterinpitäjän velvoitteiden noudattaminen.
GDPR ei itse asiassa määrittele, mitä tekninen toimenpide on, mikä on johtanut hämmennykseen organisaatioissa, joilla on vaikeuksia ymmärtää velvollisuuksiaan. Sellaisenaan useimmat lainopilliset viranomaiset määrittelivät "toimenpiteeksi" mitä tahansa toimintaa, jonka organisaatio voi toteuttaa, mikä tekee niistä vaatimusten mukaisia.
Ottaen huomioon käsitteen "toimenpide" laaja soveltamisala, jotta voidaan varmistaa, miten vaatimustenmukaisuus saavutetaan, organisaatioille olisi suoritettava perusteellinen riskinarviointi, jossa otetaan huomioon luonto, laajuus ja tarkoitus käsittelytoimistaan.
Lisäksi organisaatioiden tulee jatkuvasti muistaa oikeus yksilönvapauteen ja mahdolliset toiminnalliset riskit.
Yleissääntönä on, että mitä riskialtisempi käsittelytoiminto on, sitä enemmän todisteita tarvitaan. Organisaatioiden tulisi olla huolissaan fyysisten ja digitaalisten todisteiden keräämisestä, jotka osoittavat, että ne noudattavat lainkuuliaisia organisaatioita.
Varaa 30 minuutin chat kanssamme, niin näytämme sinulle kuinka
Ennen kuin organisaatiot yrittävät käsitellä yksityisyyden suojaa ja ottaa käyttöön henkilökohtaisia tunnistetietoja, niiden on ensin ymmärrettävä velvollisuutensa yksittäisenä tai yhteisenä henkilökohtaisten tunnistetietojen rekisterinpitäjänä ja/tai käsittelijänä.
Tämä sisältää:
Tietueenhallinta kattaa neljä avainaluetta:
Organisaatioiden tulee:
ISO kannattaa kaksitahoista lähestymistapaa organisaation yksityisyyden suojaamiseen, joka sisältää:
Molemmat käytännöt voidaan joko yhdistää yhdeksi asiakirjaksi tai erottaa organisaation parhaaksi katsomallaan tavalla.
Käytännöt olisi levitettävä kaikille asiaankuuluville henkilöstön jäsenille (ja tarvittaessa ulkoiselle henkilöstölle), jotta voidaan varmistaa sisäisten ja ulkoisten yksityisyyden suojavaatimusten jatkuva noudattaminen.
Kaikkia vakuutuksen saaneita tulee pyytää vahvistamaan mieluiten kirjallisesti, että he molemmat ymmärtävät, mitä heiltä pyydetään, ja ovat valmiita noudattamaan niitä.
Käytännöt tulee tarkistaa, kun muutoksia tehdään:
Ylimmän johdon tulee laatia (muiden aihekohtaisten käytäntöjen ohella) ylimmän tason yksityisyyden suojapolitiikka, jossa hahmotellaan selkeästi prosessit ja käytännön toimenpiteet, joihin henkilökohtaisten tunnistetietojen turvaamiseksi ryhdytään.
Organisaation tietosuojakäytäntöjen tulee sisältää tietoja ja pysyä asiaankuuluvina:
Yksityisyyden suojaperiaatteissa tulee määritellä organisaation:
Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi
Olemme kustannustehokkaita ja nopeita
Tietueilla (tunnetaan myös nimellä "varastoluettelot") tulee olla valtuutettu omistaja, ja ne voivat sisältää:
GDPR-artikkeli | ISO 27701 -lauseke | ISO 27701 -tukilausekkeet |
---|---|---|
EU:n GDPR:n artikla 24 (3) | ISO 27701 5.2.1 | Ei eristetty |
EU:n GDPR:n artikla 24 (2) | ISO 27701 6.15.1.3 | Ei eristetty |
EU:n GDPR:n artikla 24 (2) | ISO 27701 6.2.1.1 | Ei eristetty |
EU:n GDPR:n artikla 24 (1) | ISO 27701 7.2.8 | Ei eristetty |
ISMS.online tarjoaa sinulle täydellisen GDPR-ratkaisun.
Tarjoamme ympäristön, joka on valmiiksi rakennettu, jotta voit kuvata ja esitellä lähestymistapaasi Euroopan ja Iso-Britannian asiakastietojesi suojaamiseen, joka sopii saumattomasti hallintajärjestelmääsi.
ISMS.online-alustalla on sisäänrakennettu opastus jokaisessa vaiheessa yhdistettynä "Ota käyttöön, mukauta, lisää" -toteutustapamme kanssa, joten GDPR-asetuksesi osoittamiseen vaadittava vaiva vähenee huomattavasti.
Onko sinulla 30 minuuttia? Lisätietoja: varata demo.
Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi