GDPR Artikla 6 hahmotellaan lailliset perusperiaatteet, jotka kieltävät kaiken henkilötietojen käsittelyn, ellei se perustu erityisiin laillisiin määräyksiin.
Käsittelyn laillisuus
- Käsittely on laillista vain, jos ja siltä osin kuin vähintään yksi seuraavista pätee:
- a) rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten;
- b) käsittely on tarpeen sellaisen sopimuksen täyttämiseksi, jossa rekisteröity on osapuolena, tai toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä ennen sopimuksen tekemistä;
- (c) käsittely on tarpeen rekisterinpitäjän oikeudellisen velvoitteen noudattamiseksi;
- d) käsittely on tarpeen rekisteröidyn tai muun luonnollisen henkilön elintärkeiden etujen suojelemiseksi;
- e) käsittely on tarpeen yleisen edun mukaisen tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi;
- f) käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettuja etuja varten, paitsi jos rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut, jotka edellyttävät henkilötietojen suojaa, erityisesti jos rekisteröity on lapsi.
Ensimmäisen alakohdan f alakohtaa ei sovelleta viranomaisten tehtäviään suorittaessaan suorittamaan käsittelyyn.- Jäsenvaltiot voivat pitää voimassa tai ottaa käyttöön tarkempia säännöksiä tämän asetuksen käsittelyä koskevien sääntöjen soveltamisen mukauttamiseksi 1 kohdan c ja e alakohdan noudattamiseksi määrittelemällä tarkemmin käsittelyä koskevia erityisiä vaatimuksia ja muita toimenpiteitä. varmistaa laillinen ja oikeudenmukainen käsittely, mukaan lukien muut erityiset käsittelytilanteet IX luvun mukaisesti.
- Edellä 1 kohdan c ja e alakohdassa tarkoitetun käsittelyn perusteet vahvistetaan:
- a) unionin lainsäädäntö; tai
- b) jäsenvaltion lainsäädäntö, jota rekisterinpitäjä koskee.
Käsittelyn tarkoitus on määritettävä kyseisessä oikeusperustassa tai 1 kohdan e alakohdassa tarkoitetun käsittelyn osalta sen on oltava tarpeen yleisen edun mukaisen tehtävän suorittamiseksi tai virkatehtävien hoitamiseksi. rekisterinpitäjälle annettu toimivalta. Oikeusperusta voi sisältää erityissäännöksiä tämän asetuksen sääntöjen soveltamisen mukauttamiseksi, muun muassa: yleiset ehdot, jotka koskevat rekisterinpitäjän suorittaman käsittelyn laillisuutta; tietotyypit, joita käsitellään; asianomaiset rekisteröidyt; tahoille ja tarkoitukset, joita varten henkilötietoja voidaan luovuttaa; käyttötarkoituksen rajoitus; varastointiajat; sekä käsittelytoiminnot ja käsittelymenettelyt, mukaan lukien toimenpiteet laillisen ja oikeudenmukaisen käsittelyn varmistamiseksi, kuten muissa erityisissä käsittelytilanteissa IX luvussa säädetyt toimenpiteet. Unionin tai jäsenvaltion lainsäädännön on täytettävä yleisen edun mukainen tavoite ja oltava oikeassa suhteessa tavoiteltuun oikeutettuun päämäärään.
- Jos käsittely muuhun tarkoitukseen kuin siihen, jota varten henkilötiedot on kerätty, ei perustu rekisteröidyn suostumukseen tai unionin tai jäsenvaltion lainsäädäntöön, joka on välttämätön ja oikeasuhteinen toimenpide demokraattisessa yhteiskunnassa mainittujen tavoitteiden turvaamiseksi. 23 artiklan 1 kohdan mukaisesti rekisterinpitäjän on otettava huomioon muun muassa:
- a) yhteys niiden tarkoitusten välillä, joita varten henkilötiedot on kerätty, ja aiotun jatkokäsittelyn tarkoitusten välillä;
- b) asiayhteys, jossa henkilötiedot on kerätty, erityisesti mitä tulee rekisteröityjen ja rekisterinpitäjän väliseen suhteeseen;
- c) henkilötietojen luonne, erityisesti se, käsitelläänkö erityisiä henkilötietoja 9 artiklan mukaisesti vai käsitelläänkö rikostuomioita ja rikoksia koskevia henkilötietoja 10 artiklan mukaisesti;
- d) suunnitellun jatkokäsittelyn mahdolliset seuraukset rekisteröidyille;
- e) asianmukaisten suojatoimien olemassaolo, joihin voi sisältyä salaus tai pseudonyymisaatio.
Käsittelyn laillisuus
- Käsittely on laillista vain, jos ja siltä osin kuin vähintään yksi seuraavista pätee:
- a) rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten;
- b) käsittely on tarpeen sellaisen sopimuksen täyttämiseksi, jossa rekisteröity on osapuolena, tai toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä ennen sopimuksen tekemistä;
- (c) käsittely on tarpeen rekisterinpitäjän oikeudellisen velvoitteen noudattamiseksi;
- d) käsittely on tarpeen rekisteröidyn tai muun luonnollisen henkilön elintärkeiden etujen suojelemiseksi;
- e) käsittely on tarpeen yleisen edun mukaisen tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi;
- f) käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettuja etuja varten, paitsi jos rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut, jotka edellyttävät henkilötietojen suojaa, erityisesti jos rekisteröity on lapsi.
Ensimmäisen alakohdan f alakohtaa ei sovelleta viranomaisten tehtäviään suorittaessaan suorittamaan käsittelyyn.
Edellä 1 kohdan c ja e alakohdassa tarkoitetun käsittelyn perusteet vahvistetaan kansallisessa lainsäädännössä.
Käsittelyn tarkoitus on määritettävä kyseisessä oikeusperustassa tai 1 kohdan e alakohdassa tarkoitetun käsittelyn osalta sen on oltava tarpeen yleisen edun mukaisen tehtävän suorittamiseksi tai virkatehtävien hoitamiseksi. rekisterinpitäjälle annettu toimivalta. Oikeusperusta voi sisältää erityissäännöksiä tämän asetuksen sääntöjen soveltamisen mukauttamiseksi, muun muassa: yleiset ehdot, jotka koskevat rekisterinpitäjän suorittaman käsittelyn laillisuutta; tietotyypit, joita käsitellään; asianomaiset rekisteröidyt; tahoille ja tarkoitukset, joita varten henkilötietoja voidaan luovuttaa; käyttötarkoituksen rajoitus; varastointiajat; sekä käsittelytoiminnot ja käsittelymenettelyt, mukaan lukien toimenpiteet laillisen ja oikeudenmukaisen käsittelyn varmistamiseksi, kuten muissa erityisissä käsittelytilanteissa IX luvussa säädetyt toimenpiteet. Kansallisen lainsäädännön on täytettävä yleisen edun mukainen tavoite ja oltava oikeassa suhteessa tavoiteltuun oikeutettuun päämäärään.- Jos käsittely muuhun tarkoitukseen kuin siihen, jota varten henkilötiedot on kerätty, ei perustu rekisteröidyn suostumukseen tai kansalliseen lainsäädäntöön, joka on demokraattisessa yhteiskunnassa välttämätön ja oikeasuhteinen toimenpide [kansallisen turvallisuuden, puolustuksen tai jonkin muun] turvaamiseksi. 23 artiklan 1 kohdassa tarkoitettujen tavoitteiden saavuttamiseksi, rekisterinpitäjän on otettava huomioon muun muassa, onko käsittely muuhun tarkoitukseen sopusoinnussa sen tarkoituksen kanssa, jota varten henkilötiedot alun perin kerättiin:
- a) yhteys niiden tarkoitusten välillä, joita varten henkilötiedot on kerätty, ja aiotun jatkokäsittelyn tarkoitusten välillä;
- b) asiayhteys, jossa henkilötiedot on kerätty, erityisesti mitä tulee rekisteröityjen ja rekisterinpitäjän väliseen suhteeseen;
- c) henkilötietojen luonne, erityisesti se, käsitelläänkö erityisiä henkilötietoja 9 artiklan mukaisesti vai käsitelläänkö rikostuomioita ja rikoksia koskevia henkilötietoja 10 artiklan mukaisesti;
- d) suunnitellun jatkokäsittelyn mahdolliset seuraukset rekisteröidyille;
- e) asianmukaisten suojatoimien olemassaolo, joihin voi sisältyä salaus tai pseudonyymisaatio.
Olemme kustannustehokkaita ja nopeita
GDPR:n artiklassa 6 esitetään 7 tekijää, jotka vaikuttavat siihen, mitä siinä määritellään "käsittelyn lailliseksi perustaksi":
Tässä osiossa puhumme GDPR-artikkeleista 6 (1) (a), 6 (1) (b), 6 (1) (c), 6 (1) (d), 6 (1) (e), 6 ( 1) (f), 6 (2), 6 (3), 6 (4) (a), 6 (4) (b), 6 (4) (c), 6 (4) (d) ja 6 ( 4)(e)
Lainkäyttöalueesta riippuen organisaatiot voivat joutua todistaa, että heidän henkilötietojen käsittelytoimintansa on laillista ennen kuin ne alkavat.
Luodakseen oikeusperustan henkilökohtaisten tunnistetietojen käsittelylle organisaatioiden tulee:
Organisaatioiden tulee pystyä tarjoamaan dokumentoitu vahvistus jokaisesta edellä mainitusta kohdasta.
Organisaatioiden on myös otettava huomioon niiden organisaatioon liittyvät PII-erikoisluokat niiden tietojen luokitusjärjestelmässä (katso ISO 27701, kohta 7.2.8) (luokitukset voivat vaihdella alueittain).
Jos organisaatiot kokevat muutoksia henkilökohtaisten tunnistetietojen käsittelyn taustalla olevissa syissä, tämän tulee välittömästi näkyä niiden dokumentoidussa oikeusperustassa.
Tässä osiossa puhumme GDPR:n artiklan 6(4(e))
Organisaatioiden on joko tuhottava kokonaan kaikki henkilötiedot, jotka eivät enää täytä tarkoitusta, tai muutettava niitä tavalla, joka estää kaikenlaisen pääasiallisen tunnistamisen.
Heti kun organisaatio on todennut, että henkilökohtaisia tunnistetietoja ei tarvitse käsitellä jatkossa, tiedot tulee toimittaa Poistetaan or de-identifioituolosuhteiden mukaan.
| GDPR-artikkeli | ISO 27701 -lauseke | ISO 27701 -tukilausekkeet |
|---|---|---|
| EU:n GDPR:n 6 artiklan 1 kohdan a alakohta - 6 artiklan 4 kohdan e alakohta | ISO 27701 7.2.2 | ISO 27701 7.2.8 |
| EU:n GDPR artiklan 6 (4) e) | ISO 27701 7.4.5 | Ei eristetty |
ISMS.online-alusta sisältää sisäänrakennetut ohjeet jokaisessa vaiheessa yhdistettynä 'Ota käyttöön, mukauta, lisää' -toteutustapaamme, joten GDPR-vaatimustenmukaisuuden osoittaminen on huomattavasti helpompaa. Hyödynnät myös useita tehokkaita aikaa säästäviä ominaisuuksia.
Kartoittamalla työsi useiden standardien ja kehysten pohjalta, intuitiivinen alustamme helpottaa useiden tietoturva- ja tietosuojatavoitteiden saavuttamista.
Jos et jostain syystä koet itseluottamuksen, kyvyn tai halun puuttua matkallasi GDPR:ään, voimme tarjota oman asiantuntijatiimimme saataville tai suositella jotakin luotetuista kumppaneistamme tehostamaan työtäsi.
Lisätietoja: varata lyhyt demo.
Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi
