Kuinka osoittaa GDPR-artiklan 25 noudattaminen

Tietosuoja suunniteltu ja oletusarvoisesti

Varaa demo

nuori,nainen,yrittäjä,freelancer,työssä,käyttäen,kannettavaa,työssä

GDPR 25 artikla koskee sisäänrakennettua ja oletusarvoista tietosuojaa.

Tällä konseptilla varmistetaan, että rekisterinpitäjä huomioi rekisteröidyn yksityisyyden jokaisessa toiminnan vaiheessa ja suunnittelee tietojenkäsittelytoiminnot, jotka asettavat GDPR:n tavoitteiden ytimeen.

Tämän saavuttamiseksi organisaatioiden on ensin määriteltävä erilliset tietosuojatavoitteet, ennen kuin ne ryhtyvät suunnittelemaan ja toteuttamaan tietojenkäsittelyoperaatiota (tai välityspalvelimen avulla tuotetta).

GDPR artiklan 25 lakiteksti

EU:n GDPR-versio

Tietosuoja on suunniteltu ja oletusarvoisesti

  1. Ottaen huomioon tekniikan tason, toteutuksen kustannukset ja käsittelyn luonteen, laajuuden, kontekstin ja tarkoitukset sekä käsittelyn aiheuttamat riskit, joiden todennäköisyys ja vakavuus vaihtelee luonnollisten henkilöiden oikeuksille ja vapauksille, rekisterinpitäjän on Sekä käsittelykeinoja määriteltäessä että itse käsittelyn aikana on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten pseudonyymisaatio, jotka on suunniteltu toteuttamaan tietosuojaperiaatteet, kuten tietojen minimoiminen, tehokkaasti tavalla ja sisällyttää käsittelyyn tarvittavat takeet tämän asetuksen vaatimusten täyttämiseksi ja rekisteröityjen oikeuksien suojelemiseksi.

  2. Rekisterinpitäjän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet sen varmistamiseksi, että oletusarvoisesti käsitellään vain sellaisia ​​henkilötietoja, jotka ovat tarpeen kunkin käsittelyn erityistarkoituksen kannalta. Tämä velvollisuus koskee kerättyjen henkilötietojen määrää, käsittelyn laajuutta, säilytysaikaa ja saatavuutta. Tällaisilla toimenpiteillä on erityisesti varmistettava, että oletusarvoisesti henkilötietoja ei aseteta rajoittamattoman määrän luonnollisten henkilöiden saataville ilman yksilön puuttumista.

  3. Edellä 42 artiklan mukaisesti hyväksyttyä sertifiointimekanismia voidaan käyttää osana tämän artiklan 1 ja 2 kohdassa asetettujen vaatimusten noudattamisen osoittamista.

Yhdistyneen kuningaskunnan GDPR-versio

Tietosuoja on suunniteltu ja oletusarvoisesti

  1. Ottaen huomioon tekniikan tason, toteutuksen kustannukset ja käsittelyn luonteen, laajuuden, kontekstin ja tarkoitukset sekä käsittelyn aiheuttamat riskit, joiden todennäköisyys ja vakavuus vaihtelee luonnollisten henkilöiden oikeuksille ja vapauksille, rekisterinpitäjän on Sekä käsittelykeinoja määriteltäessä että itse käsittelyn aikana on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten pseudonyymisaatio, jotka on suunniteltu toteuttamaan tietosuojaperiaatteet, kuten tietojen minimoiminen, tehokkaasti tavalla ja sisällyttää käsittelyyn tarvittavat takeet tämän asetuksen vaatimusten täyttämiseksi ja rekisteröityjen oikeuksien suojelemiseksi.

  2. Rekisterinpitäjän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet sen varmistamiseksi, että oletusarvoisesti käsitellään vain sellaisia ​​henkilötietoja, jotka ovat tarpeen kunkin käsittelyn erityistarkoituksen kannalta. Tämä velvollisuus koskee kerättyjen henkilötietojen määrää, käsittelyn laajuutta, säilytysaikaa ja saatavuutta. Tällaisilla toimenpiteillä on erityisesti varmistettava, että oletusarvoisesti henkilötietoja ei aseteta rajoittamattoman määrän luonnollisten henkilöiden saataville ilman yksilön puuttumista.

  3. Edellä 42 artiklan mukaisesti hyväksyttyä sertifiointimekanismia voidaan käyttää osana tämän artiklan 1 ja 2 kohdassa asetettujen vaatimusten noudattamisen osoittamista.

Siirry aiheeseen
Jos et käytä ISMS.onlinea, teet elämästäsi vaikeampaa kuin sen tarvitsee olla!
Mark Wightman
tekninen johtaja Aluma
100 % käyttäjistämme läpäisee sertifioinnin ensimmäistä kertaa
Varaa esittelysi

Tekninen kommentti

Kun organisaatio aikoo toteuttaa tietojenkäsittelyn, joka noudattaa tietosuojaa "suunnitellusti" ja "oletusarvoisesti", on useita tärkeitä tekijöitä, jotka on otettava huomioon:

  • Tekninen kehitys.

  • Toteutuskustannukset.

  • Toimenpiteen luonne (konteksti ja tarkoitus).

  • Riskit ja yksilön vapaudet.

  • Laajuus (eli missä tiedot kerätään).

  • Tietojen minimointi.

  • "Asianmukaisten" toimenpiteiden käsite.

ISO 27701:n lauseke 5.2.1 (Organisaatiosta ja sen kontekstista) ja EU:n GDPR:n artikla 25 (3)

Organisaatioiden tulee käydä läpi kartoitus, jossa luetellaan sekä sisäiset että ulkoiset tekijät, jotka liittyvät PIMS:n käyttöönottoon.

Organisaation on kyettävä ymmärtämään, kuinka se aikoo saavuttaa tietosuojatuloksensa, ja kaikki asiat, jotka estävät henkilökohtaisten tunnistetietojen suojaamisen, tulee tunnistaa ja käsitellä.

Ennen kuin organisaatiot yrittävät käsitellä yksityisyyden suojaa ja ottaa käyttöön henkilökohtaisia ​​tunnistetietoja, niiden on ensin ymmärrettävä velvollisuutensa yksittäisenä tai yhteisenä henkilökohtaisten tunnistetietojen rekisterinpitäjänä ja/tai käsittelijänä.

Tämä sisältää:

  • Tarkistaa kaikki voimassa olevat yksityisyyttä koskevat lait, määräykset tai "oikeudelliset päätökset".

  • Ottaen huomioon organisaation ainutlaatuiset vaatimukset, jotka liittyvät myymien tuotteiden ja palvelujen laatuun, sekä yrityskohtaiset hallintoasiakirjat, politiikat ja menettelytavat.

  • Kaikki hallinnolliset tekijät, mukaan lukien yrityksen päivittäinen toiminta.

  • Kolmannen osapuolen sopimukset tai palvelusopimukset, jotka voivat vaikuttaa henkilökohtaisiin tunnistetietoihin ja yksityisyyden suojaan.

ISO 27701 -lauseke 6.10.2.4 (luottamuksellisuus- tai salassapitosopimukset) ja EU:n GDPR:n artikla 25 (1) f)

Organisaatioiden tulee käyttää salassapitosopimuksia (NDA) ja luottamuksellisuussopimuksia suojatakseen arkaluonteisten tietojen tahallista tai vahingossa tapahtuvaa luovuttamista luvattomalle henkilöstölle.

Tällaisia ​​sopimuksia laatiessaan, toteuttaessaan ja ylläpitäessään organisaatioiden tulee:

  • Tarjoa määritelmä suojattavalle tiedolle.

  • Ilmoita selkeästi sopimuksen odotettu kesto.

  • Ilmoita selkeästi tarvittavat toimenpiteet, kun sopimus on irtisanottu.

  • Kaikki velvollisuudet, jotka vahvistetut allekirjoittajat ovat sopineet.

  • Tietojen omistusoikeus (mukaan lukien IP ja liikesalaisuudet).

  • Miten allekirjoittajat saavat käyttää tietoja.

  • Selvitä selkeästi organisaation oikeus valvoa luottamuksellisia tietoja.

  • Kaikki seuraukset, jotka johtuvat noudattamatta jättämisestä.

  • Tarkistaa säännöllisesti heidän luottamuksellisuustarpeensa ja muokkaa tulevia sopimuksia vastaavasti.

Luottamuksellisuutta koskevat lait vaihtelevat lainkäyttöalueittain, ja organisaatioiden tulee ottaa huomioon omat lakisääteiset velvoitteensa laatiessaan NDA-sopimuksia ja salassapitosopimuksia (katso ISO 27002 Kontrollit 5.31, 5.32, 5.33 ja 5.34).

Tukee ISO 27002 -säätimiä

  • ISO 27002 5.31
  • ISO 27002 5.32
  • ISO 27002 5.33
  • ISO 27002 5.34

ISO 27701 -lauseke 6.11.2.1 (Secure Development Policy) ja EU:n GDPR:n artikla 25 (1)

Organisaatioiden on varmistettava, että kehitystyön elinkaari luodaan yksityisyyden suojaa ajatellen.

Tämän saavuttamiseksi organisaatioiden tulee:

  1. Toimii erillisissä kehitys-, testaus- ja kehitysympäristöissä (katso ISO 27002 Control 8.31).

  2. Julkaise ohjeita yksityisyyden suojasta koko kehitystyön elinkaaren ajan, mukaan lukien menetelmät, koodausohjeet ja ohjelmointikielet (katso ISO 27002 Controls 8.28, 8.27 ja 5.8).

  3. Esitä turvallisuusvaatimukset määrittely- ja suunnitteluvaiheessa (katso ISO 27002 Control 5.8).

  4. Ota turvatarkastuspisteet käyttöön kaikissa asiaankuuluvissa projekteissa (katso ISO 27002 Control 5.8).

  5. Suorita järjestelmä- ja turvatestaukset, mukaan lukien koodiskannaukset ja tunkeutumistestit (katso ISO 27002 Control 5.8).

  6. Tarjoa suojattuja tietovarastoja kaikelle lähdekoodille (katso ISO 27002 Controls 8.4 ja 8.9).

  7. Käytä tiukkoja versionhallintamenettelyjä (katso ISO 27002 Control 8.32).

  8. Tarjoa henkilökunnalle yksityisyyden suojan ja sovellusten tietoturvakoulutusta (katso ISO 27002 Control 8.28).

  9. Analysoi kehittäjien kykyä paikantaa, lieventää ja poistaa haavoittuvuuksia (katso ISO 27002 Control 8.28).

  10. Dokumentoi kaikki voimassa olevat tai tulevat lisenssivaatimukset (katso ISO 27002 Control 8.30).

Tukee ISO 27002 -säätimiä

  • ISO 27002 5.8
  • ISO 27002 8.4
  • ISO 27002 8.9
  • ISO 27002 8.27
  • ISO 27002 8.28
  • ISO 27002 8.30
  • ISO 27002 8.31

Katso ISMS.online
toiminnassa

Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi

Olemme kustannustehokkaita ja nopeita

Selvitä, kuinka se parantaa sijoitetun pääoman tuottoprosenttia
Hanki tarjous

ISO 27701:n lauseke 6.11.2.5 (Secure Development Environment) ja EU:n GDPR:n artikla 25 (1)

Organisaatiojärjestelmä tulee suunnitella, dokumentoida, toteuttaa ja ylläpitää yksityisyyden suojaa ajatellen:

Suunnitteluperiaatteiden tulisi analysoida:

  • Laaja valikoima suojaustoimintoja, joita tarvitaan henkilökohtaisten tunnistetietojen suojaamiseen erityisiltä ja yleisiltä uhilta.

  • Kuinka hyvin varustetut turvatarkastukset ovat suuria turvallisuustapahtumia varten.

  • Kohdennettuja ohjaustoimintoja, jotka eroavat yksittäisistä liiketoimintaprosesseista.

  • Missä verkossa ja miten turvatarkastukset olisi toteutettava.

  • Kuinka eri säätimet toimivat sopusoinnussa keskenään.

Suunnitteluperiaatteissa tulee ottaa huomioon:

  1. Arkkitehtoninen integraatio.

  2. Tekniset turvatoimenpiteet (salaus, IAM, DAM jne.)

  3. Kuinka hyvin organisaatiolla on valmiudet toteuttaa ja ylläpitää valittua ratkaisua.

  4. Alan parhaita käytäntöjä koskevat ohjeet.

Turvallisen järjestelmäsuunnittelun tulee sisältää:

  • Vakiintuneet alan standardit arkkitehtoniset periaatteet.

  • Laaja-alainen suunnittelukatsaus, joka paikantaa haavoittuvuudet ja auttaa muodostamaan kokonaisvaltaisen lähestymistavan noudattamiseen.

  • Täydellinen paljastaminen kaikista turvatoimista, jotka eivät täytä odotettuja vaatimuksia.

  • Järjestelmän kovettuminen.

Organisaatioiden tulisi oletuksena olla "nolla luottamus" -lähestymistapa turvallisuuteen.

Kun organisaatio ulkoistaa kehitystyön ulkopuolisille organisaatioille, tulee pyrkiä varmistamaan, että kumppanin turvallisuusperiaatteet ovat linjassa organisaation omien turvallisuusperiaatteiden kanssa.

Tukee ISO 27002 -säätimiä

  • ISO 27002 5.15
  • ISO 27002 5.18
  • ISO 27002 8.2
  • ISO 27002 8.5

ISO 27701:n lauseke 7.4.2 (rajoitettu käsittely) ja EU:n GDPR:n artikla 25 (2)

Organisaatioiden tulisi myös käsitellä henkilökohtaisia ​​tunnistetietoja vain, jos se on merkityksellistä, oikeasuhteista ja välttämätöntä tietyn tarkoituksen saavuttamiseksi, mukaan lukien:

  1. Julkistamista.

  2. Varastointi.

  3. Saavutettavuus.

Tukee ISO 27701 -lausekkeita ja ISO 27002 -säätimiä

GDPR-artikkeliISO 27701 -lausekeISO 27002 -säätimet
EU:n GDPR:n artikla 25 (3)ISO 27701 5.2.1Ei eristetty
EU:n GDPR artiklan 25 (1) f)ISO 27701 6.10.2.4ISO 27002 5.31
ISO 27002 5.32
ISO 27002 5.33
ISO 27002 5.34
EU:n GDPR:n artikla 25 (1)ISO 27701 6.11.2.1ISO 27002 5.8
ISO 27002 8.4
ISO 27002 8.9
ISO 27002 8.27
ISO 27002 8.28
ISO 27002 8.30
ISO 27002 8.31
EU:n GDPR:n artikla 25 (1)ISO 27701 6.11.2.5ISO 27002 5.15
ISO 27002 5.18
ISO 27002 8.2
ISO 27002 8.5
EU:n GDPR:n artikla 25 (2)ISO 27701 7.4.2Ei eristetty

Miten ISMS.online auttaa

Tarjoamme sinulle valmiiksi rakennetun ympäristön, jossa voit kuvata ja esitellä, kuinka suojaat eurooppalaisten ja brittiläisten asiakkaidesi tietoja.

ISMS.online-alustalla on sisäänrakennettu opastus jokaisessa vaiheessa yhdistettynä "Ota käyttöön, mukauta, lisää" -toteutustapamme kanssa, joten GDPR-asetuksesi osoittamiseen vaadittava vaiva vähenee huomattavasti.

Hyödynnät myös useita tehokkaita aikaa säästäviä ominaisuuksia.

  • ROPA on tehty helpoksi
  • Arviointimallit
  • Turvallinen tila DRR:lle (Data Subject Rights Requests)
  • Rikkomuksen hallinta

Lisätietoja: varata lyhyt 30 minuutin demo.

Tutustu alustaamme

Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi

Yksinkertainen. Turvallinen. Kestävä.

Katso alustamme toiminnassa tarpeidesi ja tavoitteidesi perusteella räätälöidyllä käytännönläheisellä istunnolla.

Varaa esittelysi
img

ISMS.online tukee nyt ISO 42001 -standardia - maailman ensimmäistä tekoälyn hallintajärjestelmää. Napsauta saadaksesi lisätietoja