Kuinka osoittaa GDPR-artiklan 25 noudattaminen

GDPR:n artikla 25, joka velvoittaa rekisterinpitäjien sisällyttämään tietosuojatoimenpiteitä sekä suunnitteluvaiheessa että oletusarvoisesti toimintoihinsa. Tämä lähestymistapa varmistaa, että tietosuojanäkökohdat ovat olennainen osa kaikkia käsittelytoimia GDPR:n ydintavoitteiden mukaisesti.

Tarvitsemme meille antamiasi tietoja ottaaksemme sinuun yhteyttä palveluihimme liittyen.
Peruuta tilaus milloin tahansa. Lisätietoja saat tutustumalla Tietosuojakäytäntö.

kirjailija
Max Edwards
Päivitetty 7. maaliskuuta 2025
LinkedIn Twitter Twitter

Ymmärrä GDPR:n artikla 25: Sisäänrakennettu ja oletustietosuoja

GDPR 25 artikla koskee sisäänrakennettua ja oletusarvoista tietosuojaa.

Tällä konseptilla varmistetaan, että rekisterinpitäjä huomioi rekisteröidyn yksityisyyden jokaisessa toiminnan vaiheessa ja suunnittelee tietojenkäsittelytoiminnot, jotka asettavat GDPR:n tavoitteiden ytimeen.

Tämän saavuttamiseksi organisaatioiden on ensin määriteltävä erilliset tietosuojatavoitteet, ennen kuin ne ryhtyvät suunnittelemaan ja toteuttamaan tietojenkäsittelyoperaatiota (tai välityspalvelimen avulla tuotetta).

GDPR artiklan 25 lakiteksti

EU:n GDPR-versio

Tietosuoja on suunniteltu ja oletusarvoisesti

  1. Ottaen huomioon tekniikan tason, toteutuksen kustannukset ja käsittelyn luonteen, laajuuden, kontekstin ja tarkoitukset sekä käsittelyn aiheuttamat riskit, joiden todennäköisyys ja vakavuus vaihtelee luonnollisten henkilöiden oikeuksille ja vapauksille, rekisterinpitäjän on Sekä käsittelykeinoja määriteltäessä että itse käsittelyn aikana on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten pseudonyymisaatio, jotka on suunniteltu toteuttamaan tietosuojaperiaatteet, kuten tietojen minimoiminen, tehokkaasti tavalla ja sisällyttää käsittelyyn tarvittavat takeet tämän asetuksen vaatimusten täyttämiseksi ja rekisteröityjen oikeuksien suojelemiseksi.
  2. Rekisterinpitäjän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet sen varmistamiseksi, että oletusarvoisesti käsitellään vain sellaisia ​​henkilötietoja, jotka ovat tarpeen kunkin käsittelyn erityistarkoituksen kannalta. Tämä velvollisuus koskee kerättyjen henkilötietojen määrää, käsittelyn laajuutta, säilytysaikaa ja saatavuutta. Tällaisilla toimenpiteillä on erityisesti varmistettava, että oletusarvoisesti henkilötietoja ei aseteta rajoittamattoman määrän luonnollisten henkilöiden saataville ilman yksilön puuttumista.
  3. Edellä 42 artiklan mukaisesti hyväksyttyä sertifiointimekanismia voidaan käyttää osana tämän artiklan 1 ja 2 kohdassa asetettujen vaatimusten noudattamisen osoittamista.

Yhdistyneen kuningaskunnan GDPR-versio

Tietosuoja on suunniteltu ja oletusarvoisesti

  1. Ottaen huomioon tekniikan tason, toteutuksen kustannukset ja käsittelyn luonteen, laajuuden, kontekstin ja tarkoitukset sekä käsittelyn aiheuttamat riskit, joiden todennäköisyys ja vakavuus vaihtelee luonnollisten henkilöiden oikeuksille ja vapauksille, rekisterinpitäjän on Sekä käsittelykeinoja määriteltäessä että itse käsittelyn aikana on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten pseudonyymisaatio, jotka on suunniteltu toteuttamaan tietosuojaperiaatteet, kuten tietojen minimoiminen, tehokkaasti tavalla ja sisällyttää käsittelyyn tarvittavat takeet tämän asetuksen vaatimusten täyttämiseksi ja rekisteröityjen oikeuksien suojelemiseksi.
  2. Rekisterinpitäjän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet sen varmistamiseksi, että oletusarvoisesti käsitellään vain sellaisia ​​henkilötietoja, jotka ovat tarpeen kunkin käsittelyn erityistarkoituksen kannalta. Tämä velvollisuus koskee kerättyjen henkilötietojen määrää, käsittelyn laajuutta, säilytysaikaa ja saatavuutta. Tällaisilla toimenpiteillä on erityisesti varmistettava, että oletusarvoisesti henkilötietoja ei aseteta rajoittamattoman määrän luonnollisten henkilöiden saataville ilman yksilön puuttumista.
  3. Edellä 42 artiklan mukaisesti hyväksyttyä sertifiointimekanismia voidaan käyttää osana tämän artiklan 1 ja 2 kohdassa asetettujen vaatimusten noudattamisen osoittamista.


Vaatimustenmukaisuuden ei tarvitse olla monimutkaista.

Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.

Varaa demo


Tekninen kommentti

Kun organisaatio aikoo toteuttaa tietojenkäsittelyn, joka noudattaa tietosuojaa "suunnitellusti" ja "oletusarvoisesti", on useita tärkeitä tekijöitä, jotka on otettava huomioon:

  • Tekninen kehitys.
  • Toteutuskustannukset.
  • Toimenpiteen luonne (konteksti ja tarkoitus).
  • Riskit ja yksilön vapaudet.
  • Laajuus (eli missä tiedot kerätään).
  • Tietojen minimointi.
  • "Asianmukaisten" toimenpiteiden käsite.

ISO 27701:n lauseke 5.2.1 (Organisaatiosta ja sen kontekstista) ja EU:n GDPR:n artikla 25 (3)

Organisaatioiden tulee käydä läpi kartoitus, jossa luetellaan sekä sisäiset että ulkoiset tekijät, jotka liittyvät PIMS:n käyttöönottoon.

Organisaation on kyettävä ymmärtämään, kuinka se aikoo saavuttaa tietosuojatuloksensa, ja kaikki asiat, jotka estävät henkilökohtaisten tunnistetietojen suojaamisen, tulee tunnistaa ja käsitellä.

Ennen kuin organisaatiot yrittävät käsitellä yksityisyyden suojaa ja ottaa käyttöön henkilökohtaisia ​​tunnistetietoja, niiden on ensin ymmärrettävä velvollisuutensa yksittäisenä tai yhteisenä henkilökohtaisten tunnistetietojen rekisterinpitäjänä ja/tai käsittelijänä.

Tämä sisältää:

  • Tarkistaa kaikki voimassa olevat yksityisyyttä koskevat lait, määräykset tai "oikeudelliset päätökset".
  • Ottaen huomioon organisaation ainutlaatuiset vaatimukset, jotka liittyvät myymien tuotteiden ja palvelujen laatuun, sekä yrityskohtaiset hallintoasiakirjat, politiikat ja menettelytavat.
  • Kaikki hallinnolliset tekijät, mukaan lukien yrityksen päivittäinen toiminta.
  • Kolmannen osapuolen sopimukset tai palvelusopimukset, jotka voivat vaikuttaa henkilökohtaisiin tunnistetietoihin ja yksityisyyden suojaan.

ISO 27701 -lauseke 6.10.2.4 (luottamuksellisuus- tai salassapitosopimukset) ja EU:n GDPR:n artikla 25 (1) f)

Organisaatioiden tulee käyttää salassapitosopimuksia (NDA) ja luottamuksellisuussopimuksia suojatakseen arkaluonteisten tietojen tahallista tai vahingossa tapahtuvaa luovuttamista luvattomalle henkilöstölle.

Tällaisia ​​sopimuksia laatiessaan, toteuttaessaan ja ylläpitäessään organisaatioiden tulee:

  • Tarjoa määritelmä suojattavalle tiedolle.
  • Ilmoita selkeästi sopimuksen odotettu kesto.
  • Ilmoita selkeästi tarvittavat toimenpiteet, kun sopimus on irtisanottu.
  • Kaikki velvollisuudet, jotka vahvistetut allekirjoittajat ovat sopineet.
  • Tietojen omistusoikeus (mukaan lukien IP ja liikesalaisuudet).
  • Miten allekirjoittajat saavat käyttää tietoja.
  • Selvitä selkeästi organisaation oikeus valvoa luottamuksellisia tietoja.
  • Kaikki seuraukset, jotka johtuvat noudattamatta jättämisestä.
  • Tarkistaa säännöllisesti heidän luottamuksellisuustarpeensa ja muokkaa tulevia sopimuksia vastaavasti.

Luottamuksellisuutta koskevat lait vaihtelevat lainkäyttöalueittain, ja organisaatioiden tulee ottaa huomioon omat lakisääteiset velvoitteensa laatiessaan NDA-sopimuksia ja salassapitosopimuksia (katso ISO 27002 Kontrollit 5.31, 5.32, 5.33 ja 5.34).

Tukee ISO 27002 -säätimiä

  • ISO 27002 5.31
  • ISO 27002 5.32
  • ISO 27002 5.33
  • ISO 27002 5.34

ISO 27701 -lauseke 6.11.2.1 (Secure Development Policy) ja EU:n GDPR:n artikla 25 (1)

Organisaatioiden on varmistettava, että kehitystyön elinkaari luodaan yksityisyyden suojaa ajatellen.

Tämän saavuttamiseksi organisaatioiden tulee:

  1. Toimii erillisissä kehitys-, testaus- ja kehitysympäristöissä (katso ISO 27002 Control 8.31).
  2. Julkaise ohjeita yksityisyyden suojasta koko kehitystyön elinkaaren ajan, mukaan lukien menetelmät, koodausohjeet ja ohjelmointikielet (katso ISO 27002 Controls 8.28, 8.27 ja 5.8).
  3. Esitä turvallisuusvaatimukset määrittely- ja suunnitteluvaiheessa (katso ISO 27002 Control 5.8).
  4. Ota turvatarkastuspisteet käyttöön kaikissa asiaankuuluvissa projekteissa (katso ISO 27002 Control 5.8).
  5. Suorita järjestelmä- ja turvatestaukset, mukaan lukien koodiskannaukset ja tunkeutumistestit (katso ISO 27002 Control 5.8).
  6. Tarjoa suojattuja tietovarastoja kaikelle lähdekoodille (katso ISO 27002 Controls 8.4 ja 8.9).
  7. Käytä tiukkoja versionhallintamenettelyjä (katso ISO 27002 Control 8.32).
  8. Tarjoa henkilökunnalle yksityisyyden suojan ja sovellusten tietoturvakoulutusta (katso ISO 27002 Control 8.28).
  9. Analysoi kehittäjien kykyä paikantaa, lieventää ja poistaa haavoittuvuuksia (katso ISO 27002 Control 8.28).
  10. Dokumentoi kaikki voimassa olevat tai tulevat lisenssivaatimukset (katso ISO 27002 Control 8.30).

Tukee ISO 27002 -säätimiä

  • ISO 27002 5.8
  • ISO 27002 8.4
  • ISO 27002 8.9
  • ISO 27002 8.27
  • ISO 27002 8.28
  • ISO 27002 8.30
  • ISO 27002 8.31


Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa

ISMS.online tukee yli 100 standardia
ja määräykset, mikä antaa sinulle yhden
alusta kaikkiin vaatimustenmukaisuustarpeisiisi.

Varaa demo


ISO 27701:n lauseke 6.11.2.5 (Secure Development Environment) ja EU:n GDPR:n artikla 25 (1)

Organisaatiojärjestelmä tulee suunnitella, dokumentoida, toteuttaa ja ylläpitää yksityisyyden suojaa ajatellen:

Suunnitteluperiaatteiden tulisi analysoida:

  • Laaja valikoima suojaustoimintoja, joita tarvitaan henkilökohtaisten tunnistetietojen suojaamiseen erityisiltä ja yleisiltä uhilta.
  • Kuinka hyvin varustetut turvatarkastukset ovat suuria turvallisuustapahtumia varten.
  • Kohdennettuja ohjaustoimintoja, jotka eroavat yksittäisistä liiketoimintaprosesseista.
  • Missä verkossa ja miten turvatarkastukset olisi toteutettava.
  • Kuinka eri säätimet toimivat sopusoinnussa keskenään.

Suunnitteluperiaatteissa tulee ottaa huomioon:

  1. Arkkitehtoninen integraatio.
  2. Tekniset turvatoimenpiteet (salaus, IAM, DAM jne.)
  3. Kuinka hyvin organisaatiolla on valmiudet toteuttaa ja ylläpitää valittua ratkaisua.
  4. Alan parhaita käytäntöjä koskevat ohjeet.

Turvallisen järjestelmäsuunnittelun tulee sisältää:

  • Vakiintuneet alan standardit arkkitehtoniset periaatteet.
  • Laaja-alainen suunnittelukatsaus, joka paikantaa haavoittuvuudet ja auttaa muodostamaan kokonaisvaltaisen lähestymistavan noudattamiseen.
  • Täydellinen paljastaminen kaikista turvatoimista, jotka eivät täytä odotettuja vaatimuksia.
  • Järjestelmän kovettuminen.

Organisaatioiden tulisi oletuksena olla "nolla luottamus" -lähestymistapa turvallisuuteen.

Kun organisaatio ulkoistaa kehitystyön ulkopuolisille organisaatioille, tulee pyrkiä varmistamaan, että kumppanin turvallisuusperiaatteet ovat linjassa organisaation omien turvallisuusperiaatteiden kanssa.

Tukee ISO 27002 -säätimiä

  • ISO 27002 5.15
  • ISO 27002 5.18
  • ISO 27002 8.2
  • ISO 27002 8.5

ISO 27701:n lauseke 7.4.2 (rajoitettu käsittely) ja EU:n GDPR:n artikla 25 (2)

Organisaatioiden tulisi myös käsitellä henkilökohtaisia ​​tunnistetietoja vain, jos se on merkityksellistä, oikeasuhteista ja välttämätöntä tietyn tarkoituksen saavuttamiseksi, mukaan lukien:

  1. Julkistamista.
  2. Varastointi.
  3. Saavutettavuus.

Tukee ISO 27701 -lausekkeita ja ISO 27002 -säätimiä

GDPR-artikkeliISO 27701 -lausekeISO 27002 -säätimet
EU:n GDPR:n artikla 25 (3) ISO 27701 5.2.1Ei eristetty
EU:n GDPR artiklan 25 (1) f) ISO 27701 6.10.2.4 ISO 27002 5.31
ISO 27002 5.32
ISO 27002 5.33
ISO 27002 5.34
EU:n GDPR:n artikla 25 (1) ISO 27701 6.11.2.1 ISO 27002 5.8
ISO 27002 8.4
ISO 27002 8.9
ISO 27002 8.27
ISO 27002 8.28
ISO 27002 8.30
ISO 27002 8.31
EU:n GDPR:n artikla 25 (1) ISO 27701 6.11.2.5 ISO 27002 5.15
ISO 27002 5.18
ISO 27002 8.2
ISO 27002 8.5
EU:n GDPR:n artikla 25 (2) ISO 27701 7.4.2Ei eristetty

Miten ISMS.online auttaa

Tarjoamme sinulle valmiiksi rakennetun ympäristön, jossa voit kuvata ja esitellä, kuinka suojaat eurooppalaisten ja brittiläisten asiakkaidesi tietoja.

ISMS.online-alustalla on sisäänrakennettu opastus jokaisessa vaiheessa yhdistettynä "Ota käyttöön, mukauta, lisää" -toteutustapamme kanssa, joten GDPR-asetuksesi osoittamiseen vaadittava vaiva vähenee huomattavasti.

Hyödynnät myös useita tehokkaita aikaa säästäviä ominaisuuksia.

  • ROPA on tehty helpoksi
  • Arviointimallit
  • Turvallinen tila DRR:lle (Data Subject Rights Requests)
  • Rikkomuksen hallinta

Lisätietoja: varata lyhyt 30 minuutin demo.

Hyppää aiheeseen

Max Edwards

Max toimii osana ISMS.online-markkinointitiimiä ja varmistaa, että verkkosivustomme päivitetään hyödyllisellä sisällöllä ja tiedolla kaikesta ISO 27001, 27002 ja vaatimustenmukaisuudesta.

ISMS Platform Tour

Oletko kiinnostunut ISMS.online-alustakierroksesta?

Aloita ilmainen 2 minuutin interaktiivinen demo nyt ja koe ISMS.onlinen taika toiminnassa!

Kokeile ilmaiseksi

Olemme alamme johtaja

Käyttäjät rakastavat meitä
Leader Winter 2025
Leader Winter 2025 Iso-Britannia
Paras ROI-talvi 2025
Nopein käyttöönotto talvi 2025
Toteutettavin talvi 2025

"ISMS.Online, erinomainen työkalu sääntelyn noudattamiseen"

-Jim M.

"Tekee ulkoisista tarkastuksista helppoa ja yhdistää kaikki ISMS:si osat saumattomasti yhteen"

-Karen C.

"Innovatiivinen ratkaisu ISO- ja muiden akkreditointien hallintaan"

-Ben H.

DORA on täällä! Paranna digitaalista kestävyyttäsi tänään tehokkaalla uudella ratkaisullamme!