Kuinka osoittaa GDPR-artiklan 30 noudattaminen

Yhdistyneen kuningaskunnan GDPR-versio

Käsittelytoimien tiedot

1. Jokaisen rekisterinpitäjän ja tarvittaessa rekisterinpitäjän edustajan on pidettävä kirjaa vastuullaan olevista käsittelytoimista. Tietueen tulee sisältää kaikki seuraavat tiedot:
• Rekisterinpitäjän ja tarvittaessa yhteisen rekisterinpitäjän, rekisterinpitäjän edustajan ja tietosuojavastaavan nimi ja yhteystiedot.
• Käsittelyn tarkoitukset.
• Kuvaus rekisteröityjen luokista ja henkilötietojen luokista.
• Vastaanottajat, joille henkilötietoja on luovutettu tai tullaan luovuttamaan, mukaan lukien vastaanottajat kolmansissa maissa tai kansainvälisissä järjestöissä.
• Tarvittaessa henkilötietojen siirrot kolmanteen maahan tai kansainväliselle järjestölle, mukaan lukien kyseisen kolmannen maan tai kansainvälisen järjestön tunnistaminen ja 49 artiklan 1 kohdan toisessa alakohdassa tarkoitettujen siirtojen tapauksessa asiakirjat suojatoimia.
• Mikäli mahdollista, eri tietoluokkien poistamiselle suunnitellut määräajat.
• Mahdollisuuksien mukaan yleiskuvaus vuoden 32 lain 1 §:n 28 momentissa tarkoitetuista teknisistä ja organisatorisista turvatoimenpiteistä tai tapauksen mukaan 3 §:n 2018 momentissa tarkoitetuista turvatoimenpiteistä.
2. Jokaisen käsittelijän ja soveltuvin osin käsittelijän edustajan on pidettävä rekisteriä kaikista rekisterinpitäjän puolesta suoritetuista käsittelytoimista, jotka sisältävät:
• Käsittelijän tai käsittelijöiden ja jokaisen rekisterinpitäjän, jonka puolesta henkilötietojen käsittelijä toimii, nimi ja yhteystiedot sekä tarvittaessa rekisterinpitäjän tai käsittelijän edustajan ja tietosuojavastaavan nimi ja yhteystiedot.
• Kunkin rekisterinpitäjän puolesta suoritetun käsittelyn luokat.
• Tarvittaessa henkilötietojen siirrot kolmanteen maahan tai kansainväliselle järjestölle, mukaan lukien kyseisen kolmannen maan tai kansainvälisen järjestön tunnistaminen ja 49 artiklan 1 kohdan toisessa alakohdassa tarkoitettujen siirtojen tapauksessa asiakirjat suojatoimia.
• Jos mahdollista, yleinen kuvaus 32 artiklan 1 kohdassa tarkoitetuista teknisistä ja organisatorisista turvatoimenpiteistä. Tai tapauksen mukaan vuoden 28 lain 3 §:n 2018 momentissa tarkoitetut turvatoimenpiteet.
3. Edellä 1 ja 2 kohdassa tarkoitetut asiakirjat on tehtävä kirjallisesti, myös sähköisessä muodossa.
4. Rekisterinpitäjän tai henkilötietojen käsittelijän ja tarvittaessa rekisterinpitäjän tai käsittelijän edustajan on pyynnöstä asetettava asiakirja komission jäsenen saataville.
5. Edellä 1 ja 2 kohdassa tarkoitetut velvoitteet eivät koske yritystä tai organisaatiota, joka työllistää alle 250 henkilöä, ellei sen suorittama käsittely todennäköisesti aiheuta riskiä rekisteröityjen oikeuksille ja vapauksille, käsittely ei ole satunnaista , tai käsittely sisältää 9 artiklan 1 kohdassa tarkoitettuja erityisiä tietoryhmiä tai 10 artiklassa tarkoitettuihin rikostuomioihin ja rikoksiin liittyviä henkilötietoja.

Tekninen kommentti

GDPR:n artikla 30 käsittelee neljää tietueen ylläpidon pääaluetta:

1. Rekisterinpitäjän suorittamia käsittelytoimia koskevat tiedot.
2. Tietueet käsittelijän suorittamista käsittelytoimista.
3. Kirjalliset tietuemuodot.
4. Valvontaviranomaisten valtuudet.

30 artiklassa hahmotellaan myös poikkeuksia, joita sovelletaan mihin tahansa edellä mainituista alueista – erityisesti siihen alle 250 henkilöä työllistävien organisaatioiden ei tarvitse ylläpitää käsittelytietoja, paitsi jos rekisteröityjen oikeudet ja vapaudet eivät ole satunnaisia ​​tai organisaatio käsittelee "erityisluokkien" tietoja tai rikostietoja.

ISO 27701:n lauseke 6.12.1.2 (turvallisuuden huomioon ottaminen toimittajasopimuksissa) ja EU:n GDPR:n artiklan 30 (2) (d)

Toimittajasuhteiden turvallisuudesta puhuttaessa organisaatioiden tulee varmistaa, että molemmat osapuolet ovat tietoisia velvollisuuksistaan ​​yksityisyyden tietoturvaa kohtaan ja toisilleen.

Näin tehdessään organisaatioiden tulee:

• Tarjoa selkeä kuvaus, joka sisältää yksityiskohdat, joita on käytettävä, ja kuinka näihin tietoihin päästään.
• Luokittele käytettävät yksityisyystiedot hyväksytyn luokitusjärjestelmän mukaisesti (katso ISO 27002 Kontrollit 5.10, 5.12 ja 5.13).
• Ota riittävästi huomioon toimittajien oma luokitusjärjestelmä.
• Luokittele oikeudet neljään pääalueeseen – oikeudellinen, lakisääteinen, säädös- ja sopimusperusteinen – ja kuvaile yksityiskohtaisesti velvollisuudet alueittain.
• Varmista, että jokainen osapuoli on velvollinen toteuttamaan useita valvontatoimia, jotka valvovat, arvioivat ja hallitsevat tietosuojan tietoturvariskin tasoja.
• Piirrä toimittajahenkilöstön tarve noudattaa organisaation tietoturvastandardeja (ks. ISO 27002 Control 5.20).
• Edistää selkeää ymmärrystä siitä, mikä on kummankin osapuolen yksityisyystietojen sekä fyysisten ja virtuaalisten omaisuuserien sekä hyväksyttävää että ei-hyväksyttävää käyttöä.
• Ota käyttöön valtuutusvalvonta, jota toimittajapuolen henkilöstö tarvitsee päästäkseen käsiksi tai tarkastellakseen organisaation tietosuojatietoja.
• Harkitse, mitä tapahtuu, jos sopimusta rikotaan tai jos yksittäisiä määräyksiä ei noudateta.
• Esittele tapahtumanhallintamenettely, mukaan lukien se, miten tärkeistä tapahtumista tiedotetaan.
• Varmista, että henkilöstölle annetaan turvallisuustietoisuuskoulutusta.
• (Jos toimittajalla on lupa käyttää alihankkijoita) lisää vaatimuksia varmistaaksesi, että alihankkijat noudattavat samoja tietosuojatietoturvastandardeja kuin toimittaja.
• Harkitse, kuinka tavarantoimittajien henkilökuntaa seulotaan ennen kuin he ovat vuorovaikutuksessa tietosuojatietojen kanssa.
• Määritä tarve kolmannen osapuolen todistuksille, jotka koskevat toimittajan kykyä täyttää organisaation tietosuojan tietoturvavaatimukset.
• Sinulla on sopimusoikeus tarkastaa toimittajan menettelyt.
• Vaadi toimittajia toimittamaan raportteja, joissa kerrotaan heidän omien prosessiensa ja menettelyjensä tehokkuudesta.
• Keskity toimenpiteisiin, jotka vaikuttavat vikojen tai ristiriitojen oikea-aikaiseen ja perusteelliseen ratkaisemiseen.
• Varmista, että toimittajat noudattavat asianmukaista BUDR-käytäntöä henkilökohtaisten tunnistetietojen ja yksityisyyteen liittyvien resurssien eheyden ja saatavuuden suojaamiseksi.
• Vaadi toimittajapuolen muutostenhallintakäytäntöä, joka ilmoittaa organisaatiolle kaikista muutoksista, jotka voivat vaikuttaa yksityisyyden suojaan.
• Ota käyttöön fyysisiä turvatoimia, jotka ovat verrannollisia tallennettavien ja käsiteltävien tietojen herkkyyteen.
• (Mihin tietoja siirretään) pyytää toimittajia varmistamaan, että tiedot ja omaisuus on suojattu katoamiselta, vahingoittumiselta tai korruptiolta.
• Esitä luettelo toimista, jotka jommankumman osapuolen on toteutettava irtisanomisen yhteydessä.
• Pyydä toimittajaa kertomaan, kuinka hän aikoo tuhota tietosuojatiedot irtisanomisen jälkeen tai tietoja ei enää tarvita.
• Ryhdy toimenpiteisiin varmistaaksesi, että liiketoiminta keskeytyy mahdollisimman vähän luovutusjakson aikana.

Organisaatioiden tulee myös ylläpitää a sopimusrekisteri, jossa luetellaan kaikki muiden organisaatioiden kanssa tehdyt sopimukset.

Tukee ISO 27002 -säätimiä

• ISO 27002 5.10
• ISO 27002 5.12
• ISO 27002 5.13
• ISO 27002 5.20

ISO 27701 -lauseke 6.15.1.1 (Sovellettavan lainsäädännön ja sopimusvaatimusten tunnistaminen) ja EU:n GDPR-asetuksen 30 artiklan 2 kohdan d alakohta

Organisaatioiden tulee noudattaa lakisääteisiä, lakisääteisiä, säännöksiä ja sopimusehtoja, kun:

• Yksityisyystietoturvamenettelyjen laatiminen ja/tai muuttaminen.
• Tietojen luokittelu.
• Yksityisyyden tietoturvatoimiin liittyvien riskiarviointien aloittaminen.
• Toimittajasuhteiden luominen, mukaan lukien kaikki sopimusvelvoitteet koko toimitusketjussa.

Organisaatioiden tulee noudattaa menettelyjä, jotka mahdollistavat sen tunnistaa, analysoida ja ymmärtää lainsäädäntö- ja sääntelyvelvoitteet – erityisesti ne, jotka liittyvät yksityisyyden suojaan ja henkilökohtaisiin tietoihin – kaikkialla, missä ne toimivat.

Organisaatioiden tulee olla jatkuvasti tietoisia yksityisyyden suojaa koskevista velvoitteistaan, kun ne tekevät uusia sopimuksia kolmansien osapuolten, tavarantoimittajien ja urakoitsijoiden kanssa.

Ottaessaan käyttöön salausmenetelmiä yksityisyyden suojan ja henkilökohtaisten tunnistetietojen turvaamiseksi, organisaatioiden tulee:

• Noudata kaikkia lakeja, jotka säätelevät sellaisten laitteistojen tai ohjelmistojen tuontia ja vientiä, jotka voivat suorittaa salaustoiminnon
• Tarjoa pääsy salattuihin tietoihin sen lainkäyttöalueen lakien mukaisesti, jolla he toimivat.
• Käytä kolmea salauksen avainelementtiä:
1. Digitaaliset allekirjoitukset.
2. Tiivisteet.
3. Digitaaliset sertifikaatit.

Tukee ISO 27002 -säätimiä

• ISO 27002 5.20

ISO 27701 -lauseke 7.2.8 (henkilökohtaisten tunnistetietojen käsittelyyn liittyvät tietueet) ja EU:n GDPR-artikkeli 30

Tässä osiossa puhumme GDPR-artikkeleista 30 (1) (a), 30 (1) (b), 30 (1) (c), 30 (1) (d), 30 (1) (f), 30 ( 1)(g), 30 (3), 30 (4) ja 30 (5)

Organisaatioiden on ylläpidettävä perusteellisia tietueita, jotka tukevat sen toimia ja velvollisuuksia henkilötietojen käsittelijänä.

Tietueilla (tunnetaan myös nimellä "varastoluettelot") tulee olla valtuutettu omistaja, ja ne voivat sisältää:

• Operatiivinen – suoritettavan henkilötietojen käsittelyn tyyppi.
• Perustelut – miksi henkilökohtaisia ​​tunnistetietoja käsitellään.
• Kategorinen – luettelot henkilökohtaisten tunnistetietojen vastaanottajista, mukaan lukien kansainväliset järjestöt.
• Turvallisuus – yleiskatsaus henkilökohtaisten tunnistetietojen suojaamiseen.
• Yksityisyys – eli tietosuojavaikutusten arviointiraportti.

ISO 27701 -lauseke 7.5.1 (Tunnista perusteet henkilökohtaisten tunnistetietojen siirtämiselle lainkäyttöalueiden välillä) ja EU:n GDPR:n artiklan 30 (1) e)

Ajoittain saattaa ilmetä tarve siirtää henkilökohtaisia ​​tunnistetietoja kahden erillisen lainkäyttöalueen välillä. Kun näin tapahtuu, organisaatioiden tulee perustella ja dokumentoida sen tarve.

Alueelliset säädökset ja lait vaihtelevat sen mukaan, mistä tiedot ovat peräisin ja mihin ne aiotaan siirtää.

Organisaatioiden tulee ottaa huomioon kaikki asiaankuuluvat lait, puitteet ja määräykset aina, kun niiden on siirrettävä tietoja lainkäyttöalueiden välillä, mukaan lukien nimetyn valvontaviranomaisen käyttö.

ISO 27701 -lauseke 7.5.2 (Maat ja kansainväliset organisaatiot, joille henkilökohtaisia ​​tunnistetietoja voidaan siirtää) ja EU:n GDPR:n artiklan 30 (1) e)

Organisaatioiden tulee säilyttää dokumentoitu luettelo maista ja organisaatioista, joille ne voisivat mahdollisesti siirtää henkilökohtaisia ​​tunnistetietojaan kohtuullisissa olosuhteissa.

Kun organisaatiot ovat laatineet luettelon, niiden tulee saattaa tiedot asiakkaidensa saataville, mukaan lukien mahdolliset alihankintana tehdyt henkilökohtaiset tunnistetiedot (katso ISO 27701, kohta 7.5.1).

Tietyissä olosuhteissa – erityisesti rikostutkinnan yhteydessä – luottamuksellisuutta koskevat lait voivat estää organisaatiota paljastamasta kohdemaiden ja -organisaatioiden henkilöllisyyttä etukäteen (katso ISO 27701 kohdat 8.5.4 ja 8.5.5).

Tukee ISO 27701 -säätimiä

• ISO 27701 7.5.1
• ISO 27701 8.5.4
• ISO 27701 8.5.5

ISO 27701:n lauseke 7.5.3 (henkilökohtaisten tunnistetietojen siirtotiedot) ja EU:n GDPR:n artiklan 30 (1) e)

On erittäin tärkeää, että organisaatiot pitävät tarkkaa kirjaa henkilökohtaisten tunnistetietojen siirroista kolmansien osapuolien organisaatioille.

Organisaatioiden tulee pystyä tallentamaan henkilökohtaisia ​​tunnistetietoja, joita on muutettu millä tahansa tavalla (rekisterinpitäjien velvoitteiden ja tavoitteiden mukaisesti), tai siirrot, jotka vaaditaan ennen kuin PII-päällikkö pyytää PII-tietojen muuttamista tai poistamista.

Tietueisiin olisi sovellettava suhteellista säilytysaikaa, ja niihin olisi sovellettava tietojen minimointisääntöjä, jotka palauttavat vain sen, mikä on tarpeen tietyn tavoitteen saavuttamiseksi.

ISO 27701 -lauseke 7.5.4 (rekisterit henkilökohtaisten tunnistetietojen luovuttamisesta kolmansille osapuolille) ja EU:n GDPR:n artikla 30 (1) (d)

Organisaatioiden tulee kirjata kaikki henkilökohtaisten tunnistetietojen paljastaminen kolmansille osapuolille, mukaan lukien seuraavat kolme tietoa:

• Mitä on paljastettu.
• Kenelle tiedot on luovutettu.
• Milloin ilmoitus tehtiin (päivämäärä ja aika).

Tavanomainen käytäntö on paljastaa henkilökohtaisia ​​tunnistetietoja useista syistä organisaation tietojenkäsittelyn aikana.

Lokiin tulee kirjata tavanomaisten liiketoimintakäytäntöjen aikana tapahtuvat paljastukset ja mahdolliset erityisolosuhteet (eli viranomais- tai oikeudelliset tutkimukset).

ISO 27701 -lauseke 8.2.6 (henkilökohtaisten tunnistetietojen käsittelyyn liittyvät tietueet) ja EU:n GDPR-artikkeli 30

Tässä osiossa puhumme GDPR-artikkeleista 30 (2) (a), 30 (2) (b), 30 (3), 30 (4) ja 30 (5).

Organisaatioiden tulee säilyttää tarkkoja ja ajantasaisia ​​tietoja, joiden avulla ne voivat milloin tahansa todistaa henkilötietojen käsittelyyn liittyvien sopimusvelvoitteiden noudattamisen.

Lainkäyttöalueesta riippuen tietueet saattavat edellyttää:

• Kategoriset käsittelyluettelot asiakaskohtaisesti.
• Kaikki tiedonsiirrot muihin maihin tai kansainvälisiin järjestöihin.
• Tekniset turvatarkastukset.

ISO 27701 -lauseke 8.4.2 (henkilökohtaisten tunnistetietojen palauttaminen, siirto tai hävittäminen) ja EU:n GDPR:n artikla 30 (1) f)

Organisaatioilla on oltava konkreettisia suunnitelmia, jotka ohjaavat PII:tä palautettu, siirretty or sijoitettu ja anna kaikki tällaiset käytännöt asiakkaan saataville.

• Mahdollisten henkilökohtaisten tunnistetietojen palauttaminen asiakkaalle.
• PII-tietojen toimittaminen toiselle organisaatiolle.
• Tietojen tuhoaminen.
• Tunnistautuminen.
• Arkistointi.

On olemassa useita tilanteita, jotka edellyttävät henkilökohtaisten tunnistetietojen hävittämistä, mukaan lukien (mutta ei rajoittuen):

Organisaatioiden on annettava ehdoton takeet siitä, että kaikki tarpeettomat henkilötiedot tuhotaan voimassa olevan lainsäädännön tai alueellisten ohjeiden mukaisesti.

Kaikkien hävityskäytäntöjen tulee olla asiakkaan saatavilla pyynnöstä, ja niiden on katettava aika, jonka organisaatioiden on tuhottava henkilökohtaiset tiedot sopimuksen päättämisen jälkeen.

ISO 27701 -lauseke 8.5.2 (Maat ja kansainväliset organisaatiot, joille henkilökohtaisia ​​tunnistetietoja voidaan siirtää) ja EU:n GDPR-asetuksen 30 artiklan 2 kohdan c alakohta

Organisaatioiden tulee pitää tarkkaa ja ajan tasalla olevaa luetteloa maista tai organisaatioista, joihin henkilökohtaisia ​​tunnistetietoja voidaan siirtää.

Asiakkaiden tulee pystyä milloin tahansa tarkastelemaan luetteloa mahdollisista vastaanottajamaista ja organisaatioista, mukaan lukien loki kaikista maista, jotka osallistuvat henkilötietojen alihankintaan (katso ISO 27701, kohta 8.5.1).

Tietyissä olosuhteissa organisaatiot eivät aina pysty paljastamaan etukäteen, mistä siirtopyynnöt ovat peräisin – etenkään rikosoikeudellisissa tapauksissa. Tämä on väistämätöntä, ja lainvalvontaoperaation eheyden ylläpitämisen tulisi olla organisaation prioriteetti (katso ISO 27701:n kohdat 7.5.1, 8.5.4 ja 8.5.5).

Tukee ISO 27701 -säätimiä

• ISO 27701 7.5.1
• ISO 27701 8.5.1
• ISO 27701 8.5.4
• ISO 27701 8.5.5

ISO 27701 -lauseke 8.5.3 (rekisterit henkilökohtaisten tunnistetietojen luovuttamisesta kolmansille osapuolille) ja EU:n GDPR:n artikla 30 (1) (d)

Organisaatioiden tulee kirjata huolellisesti kaikki tapaukset, joissa niiden on luovutettava henkilökohtaisia ​​tunnistetietoja kolmannelle osapuolelle.

Aina kun henkilökohtaisia ​​tunnistetietoja paljastetaan – joko osana normaalia liiketoimintarutiinia tai erityisissä olosuhteissa, kuten meneillään olevassa oikeudellisessa tai sääntelyprosessissa – organisaatioiden tulee kirjata, mitä on paljastettu, vastaanottaja ja sen taustalla oleva syy.

Tukee ISO 27701 -lausekkeita ja ISO 27002 -säätimiä

Miten ISMS.online auttaa

ISMS.online auttaa sinua osoittamaan suojaustasoa, joka ylittää "kohtuullisen" suojatussa, aina päällä olevassa paikassa.

Teemme tietojen kartoittamisesta yksinkertaisen tehtävän. Lisäämällä organisaatiosi tiedot valmiiksi määritettyyn dynaamiseen käsittelytoiminnan tietueeseen -työkaluun, voit helposti tallentaa ja tarkistaa kaiken.

Jos pahin tapahtuu, olet valmis.

Työkalujemme avulla voit suunnitella, kommunikoida, dokumentoida ja oppia kaikista rikkomuksista.

Lisätietoja: varata 30 minuutin demo.