GDPR Artikla 30 edellyttää, että organisaatiot pitävät riittävää kirjaa (pääasiassa kirjallisia tilejä) kaikista käsittelyyn liittyvistä toimista.
Tämä velvoite ilmaisee useita tietojenkäsittelyperiaatteita:
Käsittelytoimien tiedot
- Jokaisen rekisterinpitäjän ja tarvittaessa rekisterinpitäjän edustajan on pidettävä kirjaa vastuullaan olevista käsittelytoimista. Tietueen tulee sisältää kaikki seuraavat tiedot:
- Rekisterinpitäjän ja tarvittaessa yhteisen rekisterinpitäjän, rekisterinpitäjän edustajan ja tietosuojavastaavan nimi ja yhteystiedot.
- Käsittelyn tarkoitukset.
- Kuvaus rekisteröityjen luokista ja henkilötietojen luokista.
- Vastaanottajat, joille henkilötietoja on luovutettu tai tullaan luovuttamaan, mukaan lukien vastaanottajat kolmansissa maissa tai kansainvälisissä järjestöissä.
- Tarvittaessa henkilötietojen siirrot kolmanteen maahan tai kansainväliselle järjestölle, mukaan lukien kyseisen kolmannen maan tai kansainvälisen järjestön tunnistaminen ja 49 artiklan 1 kohdan toisessa alakohdassa tarkoitettujen siirtojen tapauksessa asiakirjat suojatoimia.
- Mikäli mahdollista, eri tietoluokkien poistamiselle suunnitellut määräajat.
- Jos mahdollista, yleinen kuvaus 32 artiklan 1 kohdassa tarkoitetuista teknisistä ja organisatorisista turvatoimenpiteistä.
- Jokaisen käsittelijän ja soveltuvin osin käsittelijän edustajan on pidettävä rekisteriä kaikista rekisterinpitäjän puolesta suoritetuista käsittelytoimista, jotka sisältävät:
- Käsittelijän tai käsittelijöiden ja jokaisen rekisterinpitäjän, jonka puolesta henkilötietojen käsittelijä toimii, nimi ja yhteystiedot sekä tarvittaessa rekisterinpitäjän tai käsittelijän edustajan ja tietosuojavastaavan nimi ja yhteystiedot.
- Kunkin rekisterinpitäjän puolesta suoritetun käsittelyn luokat.
- Tarvittaessa henkilötietojen siirrot kolmanteen maahan tai kansainväliselle järjestölle, mukaan lukien kyseisen kolmannen maan tai kansainvälisen järjestön tunnistaminen ja 49 artiklan 1 kohdan toisessa alakohdassa tarkoitettujen siirtojen tapauksessa asiakirjat suojatoimia.
- Jos mahdollista, yleinen kuvaus 32 artiklan 1 kohdassa tarkoitetuista teknisistä ja organisatorisista turvatoimenpiteistä.
- Edellä 1 ja 2 kohdassa tarkoitetut asiakirjat on tehtävä kirjallisesti, myös sähköisessä muodossa.
- Rekisterinpitäjän tai henkilötietojen käsittelijän ja tarvittaessa rekisterinpitäjän tai henkilötietojen käsittelijän edustajan on pyynnöstä annettava tietue valvontaviranomaisen saataville.
- Edellä 1 ja 2 kohdassa tarkoitetut velvoitteet eivät koske yritystä tai organisaatiota, joka työllistää alle 250 henkilöä, ellei sen suorittama käsittely todennäköisesti aiheuta riskiä rekisteröityjen oikeuksille ja vapauksille, käsittely ei ole satunnaista , tai käsittely sisältää 9 artiklan 1 kohdassa tarkoitettuja erityisiä tietoryhmiä tai 10 artiklassa tarkoitettuihin rikostuomioihin ja rikoksiin liittyviä henkilötietoja.
Varaa 30 minuutin chat kanssamme, niin näytämme sinulle kuinka
Käsittelytoimien tiedot
- Jokaisen rekisterinpitäjän ja tarvittaessa rekisterinpitäjän edustajan on pidettävä kirjaa vastuullaan olevista käsittelytoimista. Tietueen tulee sisältää kaikki seuraavat tiedot:
- Rekisterinpitäjän ja tarvittaessa yhteisen rekisterinpitäjän, rekisterinpitäjän edustajan ja tietosuojavastaavan nimi ja yhteystiedot.
- Käsittelyn tarkoitukset.
- Kuvaus rekisteröityjen luokista ja henkilötietojen luokista.
- Vastaanottajat, joille henkilötietoja on luovutettu tai tullaan luovuttamaan, mukaan lukien vastaanottajat kolmansissa maissa tai kansainvälisissä järjestöissä.
- Tarvittaessa henkilötietojen siirrot kolmanteen maahan tai kansainväliselle järjestölle, mukaan lukien kyseisen kolmannen maan tai kansainvälisen järjestön tunnistaminen ja 49 artiklan 1 kohdan toisessa alakohdassa tarkoitettujen siirtojen tapauksessa asiakirjat suojatoimia.
- Mikäli mahdollista, eri tietoluokkien poistamiselle suunnitellut määräajat.
- Mahdollisuuksien mukaan yleiskuvaus vuoden 32 lain 1 §:n 28 momentissa tarkoitetuista teknisistä ja organisatorisista turvatoimenpiteistä tai tapauksen mukaan 3 §:n 2018 momentissa tarkoitetuista turvatoimenpiteistä.
- Jokaisen käsittelijän ja soveltuvin osin käsittelijän edustajan on pidettävä rekisteriä kaikista rekisterinpitäjän puolesta suoritetuista käsittelytoimista, jotka sisältävät:
- Käsittelijän tai käsittelijöiden ja jokaisen rekisterinpitäjän, jonka puolesta henkilötietojen käsittelijä toimii, nimi ja yhteystiedot sekä tarvittaessa rekisterinpitäjän tai käsittelijän edustajan ja tietosuojavastaavan nimi ja yhteystiedot.
- Kunkin rekisterinpitäjän puolesta suoritetun käsittelyn luokat.
- Tarvittaessa henkilötietojen siirrot kolmanteen maahan tai kansainväliselle järjestölle, mukaan lukien kyseisen kolmannen maan tai kansainvälisen järjestön tunnistaminen ja 49 artiklan 1 kohdan toisessa alakohdassa tarkoitettujen siirtojen tapauksessa asiakirjat suojatoimia.
- Jos mahdollista, yleinen kuvaus 32 artiklan 1 kohdassa tarkoitetuista teknisistä ja organisatorisista turvatoimenpiteistä. Tai tapauksen mukaan vuoden 28 lain 3 §:n 2018 momentissa tarkoitetut turvatoimenpiteet.
- Edellä 1 ja 2 kohdassa tarkoitetut asiakirjat on tehtävä kirjallisesti, myös sähköisessä muodossa.
- Rekisterinpitäjän tai henkilötietojen käsittelijän ja tarvittaessa rekisterinpitäjän tai käsittelijän edustajan on pyynnöstä asetettava asiakirja komission jäsenen saataville.
- Edellä 1 ja 2 kohdassa tarkoitetut velvoitteet eivät koske yritystä tai organisaatiota, joka työllistää alle 250 henkilöä, ellei sen suorittama käsittely todennäköisesti aiheuta riskiä rekisteröityjen oikeuksille ja vapauksille, käsittely ei ole satunnaista , tai käsittely sisältää 9 artiklan 1 kohdassa tarkoitettuja erityisiä tietoryhmiä tai 10 artiklassa tarkoitettuihin rikostuomioihin ja rikoksiin liittyviä henkilötietoja.
GDPR:n artikla 30 käsittelee neljää tietueen ylläpidon pääaluetta:
30 artiklassa hahmotellaan myös poikkeuksia, joita sovelletaan mihin tahansa edellä mainituista alueista – erityisesti siihen alle 250 henkilöä työllistävien organisaatioiden ei tarvitse ylläpitää käsittelytietoja, paitsi jos rekisteröityjen oikeudet ja vapaudet eivät ole satunnaisia tai organisaatio käsittelee "erityisluokkien" tietoja tai rikostietoja.
Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi
Jos et käytä ISMS.onlinea, teet elämästäsi vaikeampaa kuin sen tarvitsee olla!
Toimittajasuhteiden turvallisuudesta puhuttaessa organisaatioiden tulee varmistaa, että molemmat osapuolet ovat tietoisia velvollisuuksistaan yksityisyyden tietoturvaa kohtaan ja toisilleen.
Näin tehdessään organisaatioiden tulee:
Organisaatioiden tulee myös ylläpitää a sopimusrekisteri, jossa luetellaan kaikki muiden organisaatioiden kanssa tehdyt sopimukset.
Organisaatioiden tulee noudattaa lakisääteisiä, lakisääteisiä, säännöksiä ja sopimusehtoja, kun:
Organisaatioiden tulee noudattaa menettelyjä, jotka mahdollistavat sen tunnistaa, analysoida ja ymmärtää lainsäädäntö- ja sääntelyvelvoitteet – erityisesti ne, jotka liittyvät yksityisyyden suojaan ja henkilökohtaisiin tietoihin – kaikkialla, missä ne toimivat.
Organisaatioiden tulee olla jatkuvasti tietoisia yksityisyyden suojaa koskevista velvoitteistaan, kun ne tekevät uusia sopimuksia kolmansien osapuolten, tavarantoimittajien ja urakoitsijoiden kanssa.
Ottaessaan käyttöön salausmenetelmiä yksityisyyden suojan ja henkilökohtaisten tunnistetietojen turvaamiseksi, organisaatioiden tulee:
Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi
Olemme kustannustehokkaita ja nopeita
Tässä osiossa puhumme GDPR-artikkeleista 30 (1) (a), 30 (1) (b), 30 (1) (c), 30 (1) (d), 30 (1) (f), 30 ( 1)(g), 30 (3), 30 (4) ja 30 (5)
Organisaatioiden on ylläpidettävä perusteellisia tietueita, jotka tukevat sen toimia ja velvollisuuksia henkilötietojen käsittelijänä.
Tietueilla (tunnetaan myös nimellä "varastoluettelot") tulee olla valtuutettu omistaja, ja ne voivat sisältää:
Ajoittain saattaa ilmetä tarve siirtää henkilökohtaisia tunnistetietoja kahden erillisen lainkäyttöalueen välillä. Kun näin tapahtuu, organisaatioiden tulee perustella ja dokumentoida sen tarve.
Alueelliset säädökset ja lait vaihtelevat sen mukaan, mistä tiedot ovat peräisin ja mihin ne aiotaan siirtää.
Organisaatioiden tulee ottaa huomioon kaikki asiaankuuluvat lait, puitteet ja määräykset aina, kun niiden on siirrettävä tietoja lainkäyttöalueiden välillä, mukaan lukien nimetyn valvontaviranomaisen käyttö.
Organisaatioiden tulee säilyttää dokumentoitu luettelo maista ja organisaatioista, joille ne voisivat mahdollisesti siirtää henkilökohtaisia tunnistetietojaan kohtuullisissa olosuhteissa.
Kun organisaatiot ovat laatineet luettelon, niiden tulee saattaa tiedot asiakkaidensa saataville, mukaan lukien mahdolliset alihankintana tehdyt henkilökohtaiset tunnistetiedot (katso ISO 27701, kohta 7.5.1).
Tietyissä olosuhteissa – erityisesti rikostutkinnan yhteydessä – luottamuksellisuutta koskevat lait voivat estää organisaatiota paljastamasta kohdemaiden ja -organisaatioiden henkilöllisyyttä etukäteen (katso ISO 27701 kohdat 8.5.4 ja 8.5.5).
On erittäin tärkeää, että organisaatiot pitävät tarkkaa kirjaa henkilökohtaisten tunnistetietojen siirroista kolmansien osapuolien organisaatioille.
Organisaatioiden tulee pystyä tallentamaan henkilökohtaisia tunnistetietoja, joita on muutettu millä tahansa tavalla (rekisterinpitäjien velvoitteiden ja tavoitteiden mukaisesti), tai siirrot, jotka vaaditaan ennen kuin PII-päällikkö pyytää PII-tietojen muuttamista tai poistamista.
Tietueisiin olisi sovellettava suhteellista säilytysaikaa, ja niihin olisi sovellettava tietojen minimointisääntöjä, jotka palauttavat vain sen, mikä on tarpeen tietyn tavoitteen saavuttamiseksi.
Organisaatioiden tulee kirjata kaikki henkilökohtaisten tunnistetietojen paljastaminen kolmansille osapuolille, mukaan lukien seuraavat kolme tietoa:
Tavanomainen käytäntö on paljastaa henkilökohtaisia tunnistetietoja useista syistä organisaation tietojenkäsittelyn aikana.
Lokiin tulee kirjata tavanomaisten liiketoimintakäytäntöjen aikana tapahtuvat paljastukset ja mahdolliset erityisolosuhteet (eli viranomais- tai oikeudelliset tutkimukset).
Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi
Tässä osiossa puhumme GDPR-artikkeleista 30 (2) (a), 30 (2) (b), 30 (3), 30 (4) ja 30 (5).
Organisaatioiden tulee säilyttää tarkkoja ja ajantasaisia tietoja, joiden avulla ne voivat milloin tahansa todistaa henkilötietojen käsittelyyn liittyvien sopimusvelvoitteiden noudattamisen.
Lainkäyttöalueesta riippuen tietueet saattavat edellyttää:
Organisaatioilla on oltava konkreettisia suunnitelmia, jotka ohjaavat PII:tä palautettu, siirretty or sijoitettu ja anna kaikki tällaiset käytännöt asiakkaan saataville.
On olemassa useita tilanteita, jotka edellyttävät henkilökohtaisten tunnistetietojen hävittämistä, mukaan lukien (mutta ei rajoittuen):
Organisaatioiden on annettava ehdoton takeet siitä, että kaikki tarpeettomat henkilötiedot tuhotaan voimassa olevan lainsäädännön tai alueellisten ohjeiden mukaisesti.
Kaikkien hävityskäytäntöjen tulee olla asiakkaan saatavilla pyynnöstä, ja niiden on katettava aika, jonka organisaatioiden on tuhottava henkilökohtaiset tiedot sopimuksen päättämisen jälkeen.
Organisaatioiden tulee pitää tarkkaa ja ajan tasalla olevaa luetteloa maista tai organisaatioista, joihin henkilökohtaisia tunnistetietoja voidaan siirtää.
Asiakkaiden tulee pystyä milloin tahansa tarkastelemaan luetteloa mahdollisista vastaanottajamaista ja organisaatioista, mukaan lukien loki kaikista maista, jotka osallistuvat henkilötietojen alihankintaan (katso ISO 27701, kohta 8.5.1).
Tietyissä olosuhteissa organisaatiot eivät aina pysty paljastamaan etukäteen, mistä siirtopyynnöt ovat peräisin – etenkään rikosoikeudellisissa tapauksissa. Tämä on väistämätöntä, ja lainvalvontaoperaation eheyden ylläpitämisen tulisi olla organisaation prioriteetti (katso ISO 27701:n kohdat 7.5.1, 8.5.4 ja 8.5.5).
Organisaatioiden tulee kirjata huolellisesti kaikki tapaukset, joissa niiden on luovutettava henkilökohtaisia tunnistetietoja kolmannelle osapuolelle.
Aina kun henkilökohtaisia tunnistetietoja paljastetaan – joko osana normaalia liiketoimintarutiinia tai erityisissä olosuhteissa, kuten meneillään olevassa oikeudellisessa tai sääntelyprosessissa – organisaatioiden tulee kirjata, mitä on paljastettu, vastaanottaja ja sen taustalla oleva syy.
GDPR-artikkeli | ISO 27701 -lauseke | ISO 27002 -säätimet |
---|---|---|
EU:n GDPR artiklan 30 (2) (d) | 6.12.1.2 | 5.10 5.12 5.13 5.20 |
EU:n GDPR artiklan 30 (2) (d) | 6.15.1.1 | 5.20 |
EU:n GDPR:n artiklat 30 (1) (a)–30 (5) | 7.2.8 | Ei eristetty |
EU:n GDPR artiklan 30 (1) e) | 7.5.1 | Ei eristetty |
EU:n GDPR artiklan 30 (1) e) | 7.5.2 7.5.1 8.5.4 8.5.5 | Ei eristetty |
EU:n GDPR artiklan 30 (1) e) | 7.5.3 | Ei eristetty |
EU:n GDPR artiklan 30 (1) (d) | 7.5.4 | Ei eristetty |
EU:n GDPR:n artiklat 30 (2) (a)–30 (5) | 8.2.6 | Ei eristetty |
EU:n GDPR artiklan 30 (1) f) | 8.4.2 | Ei eristetty |
EU:n GDPR artiklan 30 (2) (c) | 8.5.2 7.5.1 8.5.1 8.5.4 8.5.5 | Ei eristetty |
EU:n GDPR artiklan 30 (1) (d) | 8.5.3 | Ei eristetty |
ISMS.online auttaa sinua osoittamaan suojaustasoa, joka ylittää "kohtuullisen" suojatussa, aina päällä olevassa paikassa.
Teemme tietojen kartoittamisesta yksinkertaisen tehtävän. Lisäämällä organisaatiosi tiedot valmiiksi määritettyyn dynaamiseen käsittelytoiminnan tietueeseen -työkaluun, voit helposti tallentaa ja tarkistaa kaiken.
Jos pahin tapahtuu, olet valmis.
Työkalujemme avulla voit suunnitella, kommunikoida, dokumentoida ja oppia kaikista rikkomuksista.
Lisätietoja: varata 30 minuutin demo.
Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi
Pyydä tarjous