Hur man visar efterlevnad av GDPR artikel 11

Programvara för efterlevnad av GDPR

Boka en demo

lagarbete,tillsammans,professionell,yrke,koncept

GDPR Artikel 11 handlar om dataminimeringsprinciper, vilket i hög grad begränsar hur data behandlas kopplat till endast det som anses nödvändigt.

Personuppgiftsansvariga bör radera eller dölja alla hänvisningar till den registrerade i det ögonblick som uppgifterna inte längre behövs. När detta inträffar måste de registeransvariga också skaffa ytterligare information om den registrerade för att kunna förbli efterlevnad.

Om försökspersonerna skulle vilja bli omidentifierade bör kontrollanterna ta till sig detta och formulera steg för att hantera begäran.

Det är viktigt att notera att, om försökspersonen inte identifieras, gäller artikel 11 delvis, men om den registrerade begär omidentifiering måste den registeransvarige försöka detta (såvida inte detta, genom bevisbördan, visar sig vara omöjligt).

GDPR Artikel 11 Lagtext

EU GDPR-version

Behandling som inte kräver legitimation

  1. Om ändamålen för vilka en personuppgiftsansvarig behandlar personuppgifter inte eller inte längre kräver att den personuppgiftsansvarige identifierar en registrerad, ska den personuppgiftsansvarige inte vara skyldig att behålla, skaffa eller behandla ytterligare information för att identifiera den registrerade för enda syftet med att följa denna förordning.

  2. Om den registeransvarige, i de fall som avses i punkt 1 i denna artikel, kan visa att den inte är i stånd att identifiera den registrerade, ska den registeransvarige informera den registrerade om detta, om möjligt. I sådana fall ska artiklarna 15–20 inte tillämpas utom när den registrerade, i syfte att utöva sina rättigheter enligt dessa artiklar, tillhandahåller ytterligare information som gör det möjligt att identifiera honom eller henne.

Storbritanniens GDPR-version

Behandling som inte kräver legitimation

  1. Om ändamålen för vilka en personuppgiftsansvarig behandlar personuppgifter inte eller inte längre kräver att den personuppgiftsansvarige identifierar en registrerad, ska den personuppgiftsansvarige inte vara skyldig att behålla, skaffa eller behandla ytterligare information för att identifiera den registrerade för enda syftet med att följa denna förordning.

  2. Om den registeransvarige, i de fall som avses i punkt 1 i denna artikel, kan visa att den inte är i stånd att identifiera den registrerade, ska den registeransvarige informera den registrerade om detta, om möjligt. I sådana fall ska artiklarna 15–20 inte tillämpas utom när den registrerade, i syfte att utöva sina rättigheter enligt dessa artiklar, tillhandahåller ytterligare information som gör det möjligt att identifiera honom eller henne.
Hoppa till ämne
Vi kan inte komma på något företag vars tjänst kan hålla ett ljus till ISMS.online.
Vivian Kroner
ISO 27001, 27701 och GDPR ledande implementerare Aperian Global
100 % av våra användare klarar certifieringen första gången
Boka din demo

EU GDPR artikel 11 (1) och ISO 27701 klausul 7.4.5

PII-avidentifiering och radering vid slutet av bearbetningen

När PII inte längre uppfyller ett uttalat syfte, behöver organisationer antingen fullständigt förstöra uppgifterna eller modifiera dem på ett sätt som förhindrar någon form av identifiering på något sätt, antingen internt eller externt.

Så snart organisationen konstaterat att PII inte behöver behandlas någon gång i framtiden, bör informationen raderas eller ändras på ett sätt som gör det omöjligt för den registrerade att identifieras

EU GDPR artikel 11 (2) och ISO 27701 klausul 7.3.2

Fastställande av information för PII-huvudmän

Organisationer bör dokumentera den information som PII-huvudmän får, som beskriver hur PII behandlas.

Det behöver ställas krav som styr när information ska lämnas, och exakt vad den informationen är, såsom:

  • Syftet med att PII samlas in och bearbetas.

  • Kontaktuppgifter.

  • Hur PII erhölls.

  • Skriftliga krav (avtalsmässiga, lagstadgade).

  • Processen genom vilken samtycke tas bort.

  • Dataöverföringar.

  • Ett klagomålsförfarande.

  • Den interna beslutsprocessen.

  • Datalagringsperioder.

Upptäck vår plattform

Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo

ISMS.online kommer att spara tid och pengar

Få din offert

EU GDPR artikel 11 (2) och ISO 27701 klausul 7.3.3

Tillhandahålla information till PII-huvudmän

Organisationer måste beskriva vem PII-kontrollanten är och hur data behandlas, genom "tydliga och tillgängliga" sätt som inte hindrar spridningen av viktig information.

Informationen bör vara lätt att följa och anges i lekmannaspråk så att alla som läser den kan förstå vad som förmedlas, tillsammans med eventuella tekniska eller operativa detaljer (se ISO 27701 klausul 7.3.2).

Stöder ISO 27701 klausuler

  • ISO 27701 7.3.2

Stöd för kontroller från ISO 27701

GDPR-artikelISO 27701 klausulISO 27701 stödklausuler
EU GDPR artikel 11 (1)ISO 27701 7.4.5Ingen
EU GDPR artikel 11 (2)ISO 27701 7.3.2Ingen
EU GDPR artikel 11 (2)ISO 27701 7.3.3ISO 27701 7.3.2

Hur ISMS.online hjälper

Vår förbyggda miljö låter dig beskriva och demonstrera ditt sätt att skydda dina europeiska och brittiska kunddata på ett sätt som sömlöst integreras i ditt ledningssystem.

ISMS.online-plattformen innehåller inbyggd vägledning vid varje steg, samt vår implementeringsmetod 'Adoptera, anpassa, lägg till', vilket minskar den ansträngning som krävs för att följa GDPR. Du får också en rad tidsbesparande förmåner.

Oavsett om du har problem med att komma till GDPR på grund av bristande självförtroende, förmåga eller motivation att vidta åtgärder, kan vi hjälpa dig genom att tillhandahålla våra interna experter eller genom att rekommendera en av våra pålitliga partners.

Ta reda på mer av boka en demo.

Se ISMS.online
i aktion

Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo

ISMS.online stöder nu ISO 42001 - världens första AI Management System. Klicka för att ta reda på mer