GDPR 25 artikla koskee sisäänrakennettua ja oletusarvoista tietosuojaa.
Tällä konseptilla varmistetaan, että rekisterinpitäjä huomioi rekisteröidyn yksityisyyden jokaisessa toiminnan vaiheessa ja suunnittelee tietojenkäsittelytoiminnot, jotka asettavat GDPR:n tavoitteiden ytimeen.
Tämän saavuttamiseksi organisaatioiden on ensin määriteltävä erilliset tietosuojatavoitteet, ennen kuin ne ryhtyvät suunnittelemaan ja toteuttamaan tietojenkäsittelyoperaatiota (tai välityspalvelimen avulla tuotetta).
Tietosuoja on suunniteltu ja oletusarvoisesti
- Ottaen huomioon tekniikan tason, toteutuksen kustannukset ja käsittelyn luonteen, laajuuden, kontekstin ja tarkoitukset sekä käsittelyn aiheuttamat riskit, joiden todennäköisyys ja vakavuus vaihtelee luonnollisten henkilöiden oikeuksille ja vapauksille, rekisterinpitäjän on Sekä käsittelykeinoja määriteltäessä että itse käsittelyn aikana on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten pseudonyymisaatio, jotka on suunniteltu toteuttamaan tietosuojaperiaatteet, kuten tietojen minimoiminen, tehokkaasti tavalla ja sisällyttää käsittelyyn tarvittavat takeet tämän asetuksen vaatimusten täyttämiseksi ja rekisteröityjen oikeuksien suojelemiseksi.
- Rekisterinpitäjän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet sen varmistamiseksi, että oletusarvoisesti käsitellään vain sellaisia henkilötietoja, jotka ovat tarpeen kunkin käsittelyn erityistarkoituksen kannalta. Tämä velvollisuus koskee kerättyjen henkilötietojen määrää, käsittelyn laajuutta, säilytysaikaa ja saatavuutta. Tällaisilla toimenpiteillä on erityisesti varmistettava, että oletusarvoisesti henkilötietoja ei aseteta rajoittamattoman määrän luonnollisten henkilöiden saataville ilman yksilön puuttumista.
- Edellä 42 artiklan mukaisesti hyväksyttyä sertifiointimekanismia voidaan käyttää osana tämän artiklan 1 ja 2 kohdassa asetettujen vaatimusten noudattamisen osoittamista.
Tietosuoja on suunniteltu ja oletusarvoisesti
- Ottaen huomioon tekniikan tason, toteutuksen kustannukset ja käsittelyn luonteen, laajuuden, kontekstin ja tarkoitukset sekä käsittelyn aiheuttamat riskit, joiden todennäköisyys ja vakavuus vaihtelee luonnollisten henkilöiden oikeuksille ja vapauksille, rekisterinpitäjän on Sekä käsittelykeinoja määriteltäessä että itse käsittelyn aikana on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten pseudonyymisaatio, jotka on suunniteltu toteuttamaan tietosuojaperiaatteet, kuten tietojen minimoiminen, tehokkaasti tavalla ja sisällyttää käsittelyyn tarvittavat takeet tämän asetuksen vaatimusten täyttämiseksi ja rekisteröityjen oikeuksien suojelemiseksi.
- Rekisterinpitäjän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet sen varmistamiseksi, että oletusarvoisesti käsitellään vain sellaisia henkilötietoja, jotka ovat tarpeen kunkin käsittelyn erityistarkoituksen kannalta. Tämä velvollisuus koskee kerättyjen henkilötietojen määrää, käsittelyn laajuutta, säilytysaikaa ja saatavuutta. Tällaisilla toimenpiteillä on erityisesti varmistettava, että oletusarvoisesti henkilötietoja ei aseteta rajoittamattoman määrän luonnollisten henkilöiden saataville ilman yksilön puuttumista.
- Edellä 42 artiklan mukaisesti hyväksyttyä sertifiointimekanismia voidaan käyttää osana tämän artiklan 1 ja 2 kohdassa asetettujen vaatimusten noudattamisen osoittamista.
Jos et käytä ISMS.onlinea, teet elämästäsi vaikeampaa kuin sen tarvitsee olla!
Kun organisaatio aikoo toteuttaa tietojenkäsittelyn, joka noudattaa tietosuojaa "suunnitellusti" ja "oletusarvoisesti", on useita tärkeitä tekijöitä, jotka on otettava huomioon:
Organisaatioiden tulee käydä läpi kartoitus, jossa luetellaan sekä sisäiset että ulkoiset tekijät, jotka liittyvät PIMS:n käyttöönottoon.
Organisaation on kyettävä ymmärtämään, kuinka se aikoo saavuttaa tietosuojatuloksensa, ja kaikki asiat, jotka estävät henkilökohtaisten tunnistetietojen suojaamisen, tulee tunnistaa ja käsitellä.
Ennen kuin organisaatiot yrittävät käsitellä yksityisyyden suojaa ja ottaa käyttöön henkilökohtaisia tunnistetietoja, niiden on ensin ymmärrettävä velvollisuutensa yksittäisenä tai yhteisenä henkilökohtaisten tunnistetietojen rekisterinpitäjänä ja/tai käsittelijänä.
Tämä sisältää:
Organisaatioiden tulee käyttää salassapitosopimuksia (NDA) ja luottamuksellisuussopimuksia suojatakseen arkaluonteisten tietojen tahallista tai vahingossa tapahtuvaa luovuttamista luvattomalle henkilöstölle.
Tällaisia sopimuksia laatiessaan, toteuttaessaan ja ylläpitäessään organisaatioiden tulee:
Luottamuksellisuutta koskevat lait vaihtelevat lainkäyttöalueittain, ja organisaatioiden tulee ottaa huomioon omat lakisääteiset velvoitteensa laatiessaan NDA-sopimuksia ja salassapitosopimuksia (katso ISO 27002 Kontrollit 5.31, 5.32, 5.33 ja 5.34).
Organisaatioiden on varmistettava, että kehitystyön elinkaari luodaan yksityisyyden suojaa ajatellen.
Tämän saavuttamiseksi organisaatioiden tulee:
Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi
Olemme kustannustehokkaita ja nopeita
Organisaatiojärjestelmä tulee suunnitella, dokumentoida, toteuttaa ja ylläpitää yksityisyyden suojaa ajatellen:
Suunnitteluperiaatteiden tulisi analysoida:
Suunnitteluperiaatteissa tulee ottaa huomioon:
Turvallisen järjestelmäsuunnittelun tulee sisältää:
Organisaatioiden tulisi oletuksena olla "nolla luottamus" -lähestymistapa turvallisuuteen.
Kun organisaatio ulkoistaa kehitystyön ulkopuolisille organisaatioille, tulee pyrkiä varmistamaan, että kumppanin turvallisuusperiaatteet ovat linjassa organisaation omien turvallisuusperiaatteiden kanssa.
Organisaatioiden tulisi myös käsitellä henkilökohtaisia tunnistetietoja vain, jos se on merkityksellistä, oikeasuhteista ja välttämätöntä tietyn tarkoituksen saavuttamiseksi, mukaan lukien:
GDPR-artikkeli | ISO 27701 -lauseke | ISO 27002 -säätimet |
---|---|---|
EU:n GDPR:n artikla 25 (3) | ISO 27701 5.2.1 | Ei eristetty |
EU:n GDPR artiklan 25 (1) f) | ISO 27701 6.10.2.4 | ISO 27002 5.31 ISO 27002 5.32 ISO 27002 5.33 ISO 27002 5.34 |
EU:n GDPR:n artikla 25 (1) | ISO 27701 6.11.2.1 | ISO 27002 5.8 ISO 27002 8.4 ISO 27002 8.9 ISO 27002 8.27 ISO 27002 8.28 ISO 27002 8.30 ISO 27002 8.31 |
EU:n GDPR:n artikla 25 (1) | ISO 27701 6.11.2.5 | ISO 27002 5.15 ISO 27002 5.18 ISO 27002 8.2 ISO 27002 8.5 |
EU:n GDPR:n artikla 25 (2) | ISO 27701 7.4.2 | Ei eristetty |
Tarjoamme sinulle valmiiksi rakennetun ympäristön, jossa voit kuvata ja esitellä, kuinka suojaat eurooppalaisten ja brittiläisten asiakkaidesi tietoja.
ISMS.online-alustalla on sisäänrakennettu opastus jokaisessa vaiheessa yhdistettynä "Ota käyttöön, mukauta, lisää" -toteutustapamme kanssa, joten GDPR-asetuksesi osoittamiseen vaadittava vaiva vähenee huomattavasti.
Hyödynnät myös useita tehokkaita aikaa säästäviä ominaisuuksia.
Lisätietoja: varata lyhyt 30 minuutin demo.
Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi