Hyppää sisältöön
ISMS.online

Kuinka osoittaa GDPR-artiklan 36 noudattaminen

GDPR:n artikla 36 edellyttää, että organisaatiot neuvottelevat valvontaviranomaisen kanssa ennen henkilötietojen käsittelyä, jos tietosuojavaikutusten arvioinnissa (Data Protection Impact Assessment, DPIA) havaitaan suuria riskejä, joita ei voida vähentää. Tämä varmistaa ennakoivan riskienhallinnan ja tietosuojamääräysten noudattamisen.

kirjailija
David Holloway
Päivitetty syyskuussa 30, 2025
4/5 tähteä

Siirtyminen GDPR:n artiklaan 36: Toimenpiteet noudattamisen varmistamiseksi

GDPR Artikla 36 Siinä määritellään organisaation velvollisuus kuulla "valvontaviranomaista" ennen tietosuojaselvityksen suorittamista (katso 35 artikla), jotta rekisteröityjen oikeuksia ja vapauksia suojellaan edelleen koko käsittelyn ajan.

GDPR artiklan 36 lakiteksti

EU:n GDPR-versio

Ennakkoneuvottelu

  1. Rekisterinpitäjän on kuultava valvontaviranomaista ennen käsittelyä, jos 35 artiklan mukainen tietosuojavaikutusten arviointi osoittaa, että käsittely johtaisi suureen riskiin, jos rekisterinpitäjä ei toteuttaisi toimenpiteitä riskin vähentämiseksi.
  2. Jos valvontaviranomainen katsoo, että 1 kohdassa tarkoitettu aiottu käsittely rikkoisi tätä asetusta, erityisesti jos rekisterinpitäjä ei ole riittävästi tunnistanut tai vähentänyt riskiä, ​​valvontaviranomaisen on enintään kahdeksan viikon kuluessa tiedon vastaanottamisesta kuulemispyynnön, antaa kirjalliset neuvot rekisterinpitäjälle ja soveltuvin osin käsittelijälle ja voi käyttää mitä tahansa 58 artiklassa tarkoitettuja valtuuksiaan. Tätä määräaikaa voidaan pidentää kuudella viikolla, kun otetaan huomioon suunnitellun käsittelyn monimutkaisuus . Valvontaviranomaisen on ilmoitettava rekisterinpitäjälle ja tapauksen mukaan käsittelijälle tällaisesta jatkamisesta kuukauden kuluessa kuulemispyynnön vastaanottamisesta ja ilmoitettava viivästyksen syyt. Nämä määräajat voidaan lykätä, kunnes valvontaviranomainen on saanut kuulemista varten pyytämänsä tiedot.
  3. Rekisterinpitäjän on 1 kohdan mukaisesti kuultuaan valvontaviranomaista toimitettava valvontaviranomaiselle:

    • a) tarvittaessa rekisterinpitäjän, yhteisten rekisterinpitäjien ja henkilötietojen käsittelijöiden vastuut, jotka osallistuvat käsittelyyn, erityisesti käsittelyyn yritysryhmän sisällä;
    • b) aiotun käsittelyn tarkoitukset ja keinot;
    • c) toimenpiteet ja takeet rekisteröityjen oikeuksien ja vapauksien suojelemiseksi tämän asetuksen mukaisesti;
    • d) tarvittaessa tietosuojavastaavan yhteystiedot;
    • e) 35 artiklassa säädetty tietosuojavaikutusten arviointi; ja
    • f) muut valvontaviranomaisen pyytämät tiedot.
  4. Jäsenvaltioiden on kuultava valvontaviranomaista valmistellessaan ehdotusta kansallisen parlamentin hyväksymäksi säädökseksi tai sellaiseen lainsäädäntötoimeen perustuvaksi käsittelyyn liittyväksi sääntelytoimeksi.
  5. Sen estämättä, mitä 1 kohdassa määrätään, jäsenvaltioiden lainsäädännössä voidaan vaatia rekisterinpitäjiä kuulemaan valvontaviranomaista ja saamaan siltä ennakkoluvan, kun rekisterinpitäjä suorittaa rekisterinpitäjän yleisen edun mukaisen tehtävän suorittamista, mukaan lukien käsittelyyn liittyvän sosiaaliturvaan ja kansanterveyteen.

Yhdistyneen kuningaskunnan GDPR-versio

Ennakkoneuvottelu

  1. Rekisterinpitäjän on kuultava komission jäsentä ennen käsittelyä, jos 35 artiklan mukainen tietosuojavaikutusten arviointi osoittaa, että käsittely johtaisi suureen riskiin, jos rekisterinpitäjä ei toteuttaisi toimenpiteitä riskin vähentämiseksi.
  2. Jos komissaari katsoo, että 1 kohdassa tarkoitettu aiottu käsittely rikkoisi tätä asetusta, erityisesti jos rekisterinpitäjä ei ole riittävästi tunnistanut tai vähentänyt riskiä, ​​komission on enintään kahdeksan viikon kuluessa pyynnön vastaanottamisesta. antaa kirjallisia neuvoja kuulemista varten rekisterinpitäjälle ja soveltuvin osin käsittelijälle, ja se voi käyttää mitä tahansa 58 artiklassa tarkoitettuja valtuuksiaan. Tätä määräaikaa voidaan pidentää kuudella viikolla ottaen huomioon suunnitellun käsittelyn monimutkaisuus. Komissaari ilmoittaa rekisterinpitäjälle ja tapauksen mukaan käsittelijälle tällaisesta jatkamisesta kuukauden kuluessa kuulemispyynnön vastaanottamisesta sekä viivästyksen syyt. Nämä määräajat voidaan lykätä, kunnes komission jäsen on saanut kuulemista varten pyytämänsä tiedot.
  3. Rekisterinpitäjän on 1 kohdan mukaisesti kuultuaan komission jäsentä toimitettava valvontaviranomaiselle:

    • a) tarvittaessa rekisterinpitäjän, yhteisten rekisterinpitäjien ja henkilötietojen käsittelijöiden vastuut, jotka osallistuvat käsittelyyn, erityisesti käsittelyyn yritysryhmän sisällä;
    • b) aiotun käsittelyn tarkoitukset ja keinot;
    • c) toimenpiteet ja takeet rekisteröityjen oikeuksien ja vapauksien suojelemiseksi tämän asetuksen mukaisesti;
    • d) tarvittaessa tietosuojavastaavan yhteystiedot;
    • e) 35 artiklassa säädetty tietosuojavaikutusten arviointi; ja
    • f) muut valvontaviranomaisen pyytämät tiedot.
  4. Asianomaisen viranomaisen on kuultava komission jäsentä valmistellessaan ehdotusta säädökseksi, jonka parlamentti, Walesin kansalliskokous, Skotlannin parlamentti tai Pohjois-Irlannin parlamentti hyväksyy, tai tällaiseen säädökseen perustuvaa sääntelytoimea, joka liittyy käsittelyyn.

    • 4A. Artiklan 4 kohdassa "asianomaisella viranomaisella" tarkoitetaan (a) parlamentin hyväksymän lainsäädäntötoimenpiteen tai sellaiseen lainsäädäntötoimeen perustuvan sääntelytoimenpiteen osalta valtiosihteeriä; b) Walesin kansalliskokouksen hyväksymän lainsäädäntötoimenpiteen tai sellaiseen lainsäädäntötoimeen perustuvan sääntelytoimenpiteen osalta Walesin ministerit; c) Skotlannin parlamentin hyväksymän lainsäädäntötoimenpiteen tai sellaiseen lainsäädäntötoimeen perustuvan sääntelytoimenpiteen osalta Skotlannin ministerit; d) Pohjois-Irlannin edustajakokouksen hyväksymän lainsäädäntötoimenpiteen tai tällaiseen säädökseen perustuvan sääntelytoimenpiteen osalta asianomainen Pohjois-Irlannin ministeriö.
  5. Sen estämättä, mitä 1 kohdassa määrätään, jäsenvaltioiden lainsäädännössä voidaan vaatia rekisterinpitäjiä kuulemaan valvontaviranomaista ja saamaan siltä ennakkoluvan, kun rekisterinpitäjä suorittaa rekisterinpitäjän yleisen edun mukaisen tehtävän suorittamista, mukaan lukien käsittelyyn liittyvän sosiaaliturvaan ja kansanterveyteen.


ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa

ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Varaa esittelysi


ISO 27701 -lauseke 5.2.2 (kiinnostuneiden osapuolten tarpeiden ja odotusten ymmärtäminen) ja EU:n GDPR:n artikla 36

Tässä osiossa puhumme GDPR-artikkeleista 36 (1), 36 (2), 36 (3) (a), 36 (3) (b), 36 (3) (c), 36 (3) (d), 36 (3) (e), 36 (3) (f) ja 36 (5)

Henkilökohtaiset tunnistetiedot ja yksityisyyden suoja voivat vaikuttaa suureen määrään työntekijöitä, käyttäjiä ja asiakkaita sekä sisäisesti että ulkoisesti.

Organisaatioiden on saatava vankka käsitys asianomaisen henkilöstön tarpeista ja siitä, mitä ISO pitää "kiinnostuneina osapuolina".

Organisaation tarve vahvistaa ja dokumentoida:

  • Kaikki "kiinnostuneet osapuolet", joilla on merkitystä laajemman yksityisyyden suojan kannalta.
  • Mitkä ovat PIMS:n piiriin kuuluvien henkilöiden ainutlaatuiset vaatimukset.

Organisaatioiden tulisi myös ottaa huomioon kaikki oikeudelliset, lainsäädännölliset tai sopimusvelvoitteet sekä käytännön ja toiminnalliset vaatimukset.

Ottaessaan käyttöön PIMS:ää organisaatioiden on laadittava luettelo kiinnostuneista osapuolista, joihin PIMS vaikuttaa tai joilla on rooli henkilötietojen käsittelyssä.

Henkilökohtaisten tunnistetietojen osalta asianomainen osapuoli voi olla jokin seuraavista (mutta ei rajoittuen):

  • Työntekijä.
  • Asiakas.
  • sääntely-, oikeus- tai valvontaviranomaiset.
  • Muut PII-ohjaimet ja prosessorit.

On tärkeää huomata, että PII-vaatimukset – kuten PIMS:ään liittyvät – tulevat usein useista lähteistä, mukaan lukien:

  • Sisäiset prosessit ja tavoitteet.
  • Hallituksen ja/tai sääntelyelimet.
  • Sopimusvelvoitteet ulkopuolisten organisaatioiden kanssa.

Hallitsevien ja sääntelevien organisaatioiden voi usein olla vaikeaa vahvistaa, että organisaatio noudattaa julkaistuja yksityisyyden suojastandardeja sen roolissa henkilötietojen käsittelijänä ja rekisterinpitäjänä.

Sellaisenaan organisaatioiden on odotettava tällaisten elinten vaativan riippumattomia tarkastuksia kaikista asiaankuuluvista johtamisjärjestelmistä, jotta ne voivat täyttää omat auditointivaatimukset.

ISO 27701 -lauseke 7.2.5 (tietosuojavaikutusten arviointi) ja EU:n GDPR-artikkeli 36

Tässä osiossa puhumme GDPR-artikkeleista 36 (1), 36 (3) (a), 36 (3) (b), 36 (3) (c), 36 (3) (d), 36 (3) ( e), 36 (3) (f) ja 36 (5)

Henkilötietojen käsittely on riskialtis liiketoimintatoiminto, joka on arvioitava perusteellisesti, jotta voidaan varmistaa käsiteltävien tietojen eheys, aitous ja laillisuus.

Lainkäyttöalueesta riippuen joidenkin organisaatioiden on noudatettava kategorista luetteloa skenaarioista, joissa vaaditaan tietosuojavaikutusten arviointi, kuten:

  1. Automaattinen päätöksenteko.
  2. Yritystason erityisten PII-luokkien käsittely.
  3. Suurten julkisten alueiden valvonta.

Organisaatioiden on määritettävä, mikä on riittävä vaikutustenarviointi, mukaan lukien (mutta ei rajoittuen):

  • Millaisia ​​henkilökohtaisia ​​tunnistetietoja tallennetaan.
  • Missä sitä säilytetään.
  • Mihin se voidaan siirtää.

Hakemisto linkitetyistä EU:n GDPR-artikkeleista ja ISO 27701 -lausekkeista

GDPR-artikkeli ISO 27701 -lauseke ISO 27701 -tukilausekkeet
EU:n GDPR:n artiklat 36 (1)–36 (5) ISO 27701 5.2.2 Ei eristetty
EU:n GDPR:n artikla 36 (1), 36 (3) (a), 36 (3) (b), 36 (3) (c), 36 (3) (d), 36 (3) (e), 36 (3) (f) ja 36 (5) ISO 27701 7.2.5 Ei eristetty

Miten ISMS.online Ohje

Tue laajempia liiketoimintapäätöksiä. Kun kaikki tietosi on yhdessä paikassa ja suunniteltu yhteistyötä ajatellen, voit tehdä oikeita päätöksiä oikeaan aikaan.

Pysy muutoksen edellä. Riskit eivät ole staattisia, joten työkalujesi on kyettävä mukautumaan. Tartu uhkiin ja mahdollisuuksiin vaivattomasti integroidun ja dynaamisen työkalun avulla, joka yksinkertaistaa riskien tunnistamista, arviointia ja käsittelyä jatkuvasti.

Lisätietoja: varata demo.

David Holloway

Chief Marketing Officer

David Holloway on ISMS.onlinen markkinointijohtaja, jolla on yli neljän vuoden kokemus vaatimustenmukaisuudesta ja tietoturvasta. Johtotiimin jäsenenä David keskittyy auttamaan organisaatioita navigoimaan monimutkaisissa sääntelymaisemissa luottavaisin mielin ja ajamaan strategioita, jotka yhdenmukaistavat liiketoimintatavoitteet vaikuttavien ratkaisujen kanssa. Hän on myös Phishing For Trouble -podcastin toinen juontaja, jossa hän syventyy korkean profiilin kyberturvallisuustapahtumiin ja jakaa arvokkaita oppeja auttaakseen yrityksiä vahvistamaan tietoturva- ja vaatimustenmukaisuuskäytäntöjään.

LinkedIn

GDPR-artikkelit

GDPR-perusteellinen tarkastelu

Olemme alamme johtaja

4/5 tähteä
Käyttäjät rakastavat meitä
Johtaja - Talvi 2026
Aluejohtaja - Talvi 2026, Iso-Britannia
Aluejohtaja - talvi 2026 EU
Aluejohtaja - talvi 2026 Keskisuuret EU-markkinat
Aluejohtaja - Talvi 2026 EMEA
Aluejohtaja - Talvi 2026 Keskisuuret markkinat EMEA

"ISMS.Online, erinomainen työkalu sääntelyn noudattamiseen"

—Jim M.

"Tekee ulkoisista tarkastuksista helppoa ja yhdistää kaikki ISMS:si osat saumattomasti yhteen"

—Karen C.

"Innovatiivinen ratkaisu ISO- ja muiden akkreditointien hallintaan"

—Ben H.

Tee virtuaalikierros

Aloita ilmainen kahden minuutin interaktiivinen demosi nyt ja katso
ISMS.online toiminnassa!

Kokeile nyt
alustan kojelauta täysin uudenveroinen

Valmis aloittamaan?

Varaa demo