GDPR Artikel 12 fokuserar på hur personuppgiftsansvariga kommunicerar med registrerade, både när det gäller hur de kommunicerar sina interna processer, hur de underlättar informationsflödet och hur de tillgodoser personens rättigheter.
Transparent information, kommunikation och modaliteter för utövandet av den registrerades rättigheter
Den registeransvarige ska bära bördan att visa att begäran är uppenbart ogrundad eller överdriven.
Den registeransvarige ska bära bördan att visa att begäran är uppenbart ogrundad eller överdriven.
Information som den registeransvarige lämnar till huvudmannen bör vara:
Även om GDPR inte innehåller en specifik uppsättning instruktioner som rör hur organisationer ska tillhandahålla "mekanismer för att begära och, om tillämpligt, erhålla, kostnadsfritt, i synnerhet tillgång till och rättelse eller radering av personuppgifter och utövande av rätten att protestera'.
Lagstiftningen utelämnar någon exakt definition av vad som anses vara en acceptabel tid för att svara på förfrågningar. Det överlåts istället till organisationer att agera så snabbt som möjligt (eller "utan onödigt dröjsmål") inom en månad – förlängd till två månader för komplexa förfrågningar.
Om en organisation inte har för avsikt att agera på en begäran, bör den registrerade informeras om skälen inom en månad, tillsammans med information om hur man lämnar in ett klagomål.
Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo
Organisationer måste dokumentera sina skyldigheter gentemot PII-huvudmän inom tre nyckelområden:
Organisationer bör tillhandahålla transparent dokumentation och en utsedd kontaktpunkt till PII-huvudmän, för att underlätta det fria informationsflödet och inte på något sätt hindra PII-huvudmannen från att fastställa den registeransvariges skyldigheter.
Det är viktigt att notera att, för att säkerställa enhetlighet, alla kontaktsätt som tillhandahålls bör spegla det sätt genom vilket organisationen samlar in PII – t.ex. tillhandahålla en e-postadress eller en PoC, om data samlades in via e-post, snarare än att enbart be en rektor att skriva ett brev.
Organisationer måste kunna tillhandahålla information till PII-huvudmän som identifierar PII-kontrollanten och hur data behandlas.
Organisationer bör göra sitt yttersta för att se till att de använder ett tillgängligt språk som undviker branschjargong och förmedlar information i enkla termer som är lätt att förstå (se ISO 27702 klausul 7.3.2).
Förfrågningar från PII-huvudmän bör styras av processer och kontroller som är allmänt förstådda i hela organisationen, och tillgodose specifikationerna av alla lagar eller regulatoriska krav, inklusive adekvata svarstider.
Förfrågningar kan innehålla:
Organisationer har lagligen rätt att ta ut en hanteringsavgift, men detta tillämpas vanligtvis endast på upprepade eller överdrivna förfrågningar om data.
GDPR-artikel | ISO 27701 klausul | ISO 27701 stödklausuler |
---|---|---|
EU GDPR artikel 12 (2) | ISO 27701 7.3.1 | Ingen |
EU GDPR artiklarna 12 (1), (7) | ISO 27701 7.3.3 | ISO 27701 7.3.2 |
EU GDPR artiklarna 12 (3), (4), (5), (6) | ISO 27701 7.3.9 | Ingen |
ROPA enkelt
Vi gör datakartläggning till en enkel uppgift. Det är lätt att spela in och granska allt genom att lägga till din organisations information i vårt förkonfigurerade dynamiska verktyg för registrering av bearbetningsaktivitet.
Bedömningsmallar
Vi tillhandahåller lättanvända mallar för att registrera sekretess och berättigade intressebedömningar.
Ett säkert utrymme för DRR
Du måste visa hur väl du hanterar förfrågningar om datasubjekträttigheter (DRR). Vårt säkra DRR-utrymme håller allt på ett ställe och stödjer det med automatisk rapportering och insikt.
Överträdelsehantering
Om det värsta händer är du redo. Vi gör det enkelt att planera och kommunicera ditt arbetsflöde för intrång och dokumentera och lära av varje incident.
Ta reda på mer av boka en demo.
Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo
Vi kan inte komma på något företag vars tjänst kan hålla ett ljus till ISMS.online.