GDPR Artikla 35 edellyttää, että organisaatiot suorittavat a Tietosuojavaikutusten arviointi (DPIA) aina kun heidän toimintansa tietojen käsittelijänä voivat vaikuttaa yksilöiden oikeuksiin ja vapauksiin, sellaisina kuin niiden kansalliset hallitukset ovat myöntäneet.
Tietosuojavaikutusten arviointi
- Jos käsittelyn tyyppi, erityisesti uutta teknologiaa käyttäen ja käsittelyn luonne, laajuus, konteksti ja tarkoitukset huomioon ottaen, todennäköisesti aiheuttaa suuren riskin luonnollisten henkilöiden oikeuksille ja vapauksille, rekisterinpitäjän on ennen suorittaa käsittelyn arvioinnin suunniteltujen käsittelytoimien vaikutuksesta henkilötietojen suojaan. Yhdellä arvioinnilla voidaan käsitellä useita samanlaisia käsittelytoimia, joihin liittyy samanlaisia suuria riskejä.
- Rekisterinpitäjän on pyydettävä neuvoja tietosuojavastaavalta, jos se on nimetty, tehdessään tietosuojavaikutusten arviointia.
- Edellä 1 kohdassa tarkoitettu tietosuojavaikutusten arviointi vaaditaan erityisesti, jos:
- a) luonnollisiin henkilöihin liittyvien henkilökohtaisten näkökohtien järjestelmällinen ja laaja arviointi, joka perustuu automatisoituun käsittelyyn, mukaan lukien profilointi, ja johon perustuvat päätökset, joilla on luonnollista henkilöä koskevia oikeusvaikutuksia tai jotka vastaavalla tavalla vaikuttavat merkittävästi luonnolliseen henkilöön.
- b) 9 artiklan 1 kohdassa tarkoitettujen erityisten tietoryhmien tai 10 artiklassa tarkoitettuihin rikostuomioihin ja rikoksiin liittyvien henkilötietojen käsittely laajassa mittakaavassa; tai
- c) yleisesti saatavilla olevan alueen järjestelmällinen seuranta laajamittaisesti.
- Komissaari laatii ja julkistaa luettelon käsittelytoimista, joihin sovelletaan 1 kohdan mukaista tietosuojavaikutusten arviointia. Valvontaviranomaisen on toimitettava nämä luettelot 68 artiklassa tarkoitetulle lautakunnalle.
- Komissaari voi myös laatia ja julkistaa luettelon sellaisista käsittelytoimista, joiden osalta ei vaadita tietosuojavaikutusten arviointia. Valvontaviranomaisen on toimitettava nämä luettelot hallitukselle.
- Arvioinnissa on oltava vähintään:
- a) järjestelmällinen kuvaus suunnitelluista käsittelytoimista ja käsittelyn tarkoituksista, mukaan lukien tarvittaessa rekisterinpitäjän oikeutettu etu.
- b) arvio käsittelytoimien tarpeellisuudesta ja oikeasuhteisuudesta käyttötarkoituksiin nähden.
- c) arvio 1 kohdassa tarkoitetuista rekisteröityjen oikeuksiin ja vapauksiin kohdistuvista riskeistä; ja
- d) riskien käsittelemiseksi suunnitellut toimenpiteet, mukaan lukien suojatoimet, turvatoimenpiteet ja mekanismit, joilla varmistetaan henkilötietojen suoja ja osoitetaan tämän asetuksen noudattaminen ottaen huomioon rekisteröityjen ja muiden asianomaisten henkilöiden oikeudet ja oikeutetut edut.
- Se, että asianomaiset rekisterinpitäjät tai henkilötietojen käsittelijät noudattavat 40 artiklassa tarkoitettuja hyväksyttyjä käytännesääntöjä, on otettava asianmukaisesti huomioon arvioitaessa tällaisten rekisterinpitäjien tai henkilötietojen käsittelijöiden suorittamien käsittelytoimien vaikutusta, erityisesti tietosuojavaikutusten arviointia varten.
- Rekisterinpitäjän on tarvittaessa pyydettävä rekisteröityjen tai heidän edustajiensa näkemyksiä aiotusta käsittelystä, sanotun kuitenkaan rajoittamatta kaupallisten tai yleisten etujen suojaa tai käsittelytoimintojen turvallisuutta.
- Tämän artiklan 6–1 kohtaa ei sovelleta 1 artiklan 7 kohdan c tai e alakohdan mukaiseen käsittelyyn, jos käsittelystä on jo tehty tietosuojavaikutusten arviointi osana kansallisen lainsäädännön edellyttämä yleinen vaikutustenarviointi, ellei kansallisessa lainsäädännössä toisin säädetä.
- Rekisterinpitäjän on tarvittaessa suoritettava tarkastelu sen arvioimiseksi, suoritetaanko käsittely tietosuojavaikutusten arvioinnin mukaisesti ainakin silloin, kun käsittelytoimien aiheuttamassa riskissä on tapahtunut muutos.
Yhdistyneen kuningaskunnan GDPR on suurelta osin samanlainen kuin EU:n GDPR-ote, eikä siinä ole havaittavia eroja.
Pyydä tarjous
Harkittaessa DPIA:n suunnittelua ja toteuttamista, organisaatioiden on otettava huomioon 11 avainaluetta:
Henkilökohtaiset tunnistetiedot ja yksityisyyden suoja voivat vaikuttaa suureen määrään työntekijöitä, käyttäjiä ja asiakkaita sekä sisäisesti että ulkoisesti.
Organisaatioiden on saatava vankka käsitys asianomaisen henkilöstön tarpeista ja siitä, mitä ISO pitää "kiinnostuneina osapuolina".
Organisaation tarve vahvistaa ja dokumentoida:
Organisaatioiden tulisi myös ottaa huomioon kaikki oikeudelliset, lainsäädännölliset tai sopimusvelvoitteet sekä käytännön ja toiminnalliset vaatimukset.
Ottaessaan käyttöön PIMS:ää organisaatioiden on laadittava luettelo kiinnostuneista osapuolista, joihin PIMS vaikuttaa tai joilla on rooli henkilötietojen käsittelyssä.
Henkilökohtaisten tunnistetietojen osalta asianomainen osapuoli voi olla jokin seuraavista (mutta ei rajoittuen):
On tärkeää huomata, että PII-vaatimukset – kuten PIMS:ään liittyvät – tulevat usein useista lähteistä, mukaan lukien:
Hallitsevien ja sääntelevien organisaatioiden voi usein olla vaikeaa vahvistaa, että organisaatio noudattaa julkaistuja yksityisyyden suojastandardeja sen roolissa henkilötietojen käsittelijänä ja rekisterinpitäjänä.
Sellaisenaan organisaatioiden on odotettava tällaisten elinten vaativan riippumattomia tarkastuksia kaikista asiaankuuluvista johtamisjärjestelmistä, jotta ne voivat täyttää omat auditointivaatimukset.
Tässä osiossa puhumme GDPR-artikkeleista 35 (1), 35 (10), 35 (11), 35 (2), 35 (3) (a), 35 (3) (b), 35 (3) (c). ), 35 (4), 35 (5), 35 (7) (a), 35 (7) (b), 35 (7) (c), 35 (7) (d), 35 (8) ja 35 (9)
Tietosuojavaikutusten arvioinnin avulla organisaatiot voivat mitata tietoturvavaikutuksia uusien henkilökohtaisten tunnistetietojen käsittelyn tai olemassa olevien tietojen käsittelytavan muuttamisen yhteydessä.
Henkilötietojen käsittely on riskialtis liiketoimintatoiminto, joka on arvioitava perusteellisesti, jotta voidaan varmistaa käsiteltävien tietojen eheys, aitous ja laillisuus.
Lainkäyttöalueesta riippuen joidenkin organisaatioiden on noudatettava kategorista luetteloa skenaarioista, joissa vaaditaan tietosuojavaikutusten arviointi, kuten:
Organisaatioiden on määritettävä, mikä on riittävä vaikutustenarviointi, mukaan lukien (mutta ei rajoittuen):
Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi
Olemme kustannustehokkaita ja nopeita
Sopimuksiin tulee sisältyä:
| GDPR-artikkeli | ISO 27701 -lauseke | ISO 27701 -tukilausekkeet |
|---|---|---|
| EU:n GDPR:n artikla 35 (9) | ISO 27701 5.2.2 | Ei eristetty |
| EU:n GDPR:n artiklat 35 (1)–35 (9) | ISO 27701 7.2.5 | Ei eristetty |
| EU:n GDPR:n artikla 35 (1) | ISO 27701 8.2.1 | ISO 27701 7.4 ISO 27701 8.4 |
GDPR:n rikkominen voi johtaa merkittäviin sakkoihin, mikä tekee siitä yhden maailman tiukimmista tietosuoja- ja turvallisuussäännöistä. Siksi organisaatioiden on suojattava henkilötietoja "kohtuullisessa" laajuudessa.
Mutta tässä on hyvä uutinen.
Käyttämällä ISMS.onlinea voit siirtyä suoraan GDPR-vaatimustenmukaisuuteen ja osoittaa suojaustasoa, joka ylittää "kohtuullisen". Teemme tietojen kartoittamisesta helppoa. Tallenna ja tarkista organisaatiosi käsittelytoiminta helposti lisäämällä tietosi valmiiksi määritettyyn dynaamiseen käsittelytoiminnan tietueeseen -työkaluun.
Työkalujemme avulla voit suunnitella, kommunikoida, dokumentoida ja oppia kaikista rikkomuksista.
Lisätietoja: varata demo.
ISMS.online on a
yhden luukun ratkaisu, joka nopeuttaa toteutumistamme radikaalisti.
