Hur man visar efterlevnad av GDPR artikel 12

Storbritanniens GDPR-version

1. Den registeransvarige ska vidta lämpliga åtgärder för att tillhandahålla all information som avses i artiklarna 13 och 14 och all kommunikation enligt artiklarna 15-22 och 34 som avser behandling till den registrerade i en kortfattad, transparent, begriplig och lättillgänglig form, med användning av tydlig och enkel språk, särskilt för all information som riktar sig specifikt till ett barn. Informationen ska tillhandahållas skriftligen eller på annat sätt, inklusive, i förekommande fall, på elektronisk väg. På begäran av den registrerade får informationen lämnas muntligen, förutsatt att den registrerades identitet kan styrkas på annat sätt.
2. Den registeransvarige ska underlätta utövandet av den registrerades rättigheter enligt artiklarna 15–22. I de fall som avses i artikel 11 ska den registeransvarige inte vägra att agera på den registrerades begäran för att utöva sina rättigheter enligt artiklarna 2–15, såvida inte den registeransvarige visar att den inte är i stånd att identifiera den registrerade.
3. Den registeransvarige ska utan onödigt dröjsmål och i alla händelser inom en månad från mottagandet av begäran lämna information om åtgärder som vidtagits på en begäran enligt artiklarna 15–22 till den registrerade. Denna period kan vid behov förlängas med ytterligare två månader, med hänsyn till komplexiteten och antalet förfrågningar. Den registeransvarige ska informera den registrerade om en sådan förlängning inom en månad efter mottagandet av begäran, tillsammans med skälen till förseningen. . Om den registrerade gör en begäran på elektronisk väg ska informationen lämnas på elektronisk väg om möjligt, om inte den registrerade begär något annat.
4. Om den registeransvarige inte vidtar åtgärder på den registrerades begäran, ska den registeransvarige utan dröjsmål och senast inom en månad efter mottagandet av begäran informera den registrerade om skälen till att inte vidta åtgärder och om möjligheten att inge en klagomål hos en tillsynsmyndighet kommissionsledamoten och begära en rättslig prövning.
5. Information som lämnas enligt artiklarna 13 och 14 och all kommunikation och alla åtgärder som vidtas enligt artiklarna 15–22 och 34 ska tillhandahållas kostnadsfritt. Om förfrågningar från en registrerad är uppenbart ogrundade eller överdrivna, särskilt på grund av deras repetitiva karaktär, kan den registeransvarige antingen:
• Ta ut en rimlig avgift med hänsyn till de administrativa kostnaderna för att tillhandahålla informationen eller kommunikationen eller vidta den begärda åtgärden; eller
• Vägra att agera på begäran.

Den registeransvarige ska bära bördan att visa att begäran är uppenbart ogrundad eller överdriven.

6. Utan att det påverkar tillämpningen av artikel 11, om den registeransvarige har rimliga tvivel angående identiteten på den fysiska person som gör den begäran som avses i artiklarna 15–21, får den registeransvarige begära tillhandahållande av ytterligare information som är nödvändig för att bekräfta den registrerades identitet.
• [6A. Kommissionären kan publicera (och ändra eller dra tillbaka)
• (a) Standardiserade ikoner för användning i kombination med information som ges till registrerade enligt artiklarna 13 och 14;
• (b) Ett meddelande som anger att andra personer får publicera (och ändra eller dra tillbaka) sådana ikoner, förutsatt att ikonerna uppfyller de krav som anges i meddelandet om informationen som ska presenteras av ikonerna och procedurerna för att tillhandahålla ikonerna.
• 6B. Kommissionären får inte publicera ikoner eller ett meddelande enligt punkt 6A om han inte är övertygad (i förekommande fall) att ikonerna ger en meningsfull översikt över den avsedda behandlingen på ett lätt synligt, begripligt och klart läsbart sätt eller att meddelandet kommer att resultera i ikoner som gör det .]
7. Om standardiserade ikoner publiceras enligt beskrivningen i punkt 6A (och inte dras tillbaka), får informationen som ska lämnas till registrerade enligt artiklarna 13 och 14 tillhandahållas i kombination med ikonerna. Om ikonerna presenteras elektroniskt ska de vara maskinläsbara.

Teknisk kommentar

Kvaliteten på tillhandahållen information

Information som den registeransvarige lämnar till huvudmannen bör vara:

1. Koncis.
2. Genomskinlig.
3. Begriplig.
4. Lätt tillgänglig.
5. Lätt att förstå.
6. I lämpligt format.

Underlätta den registrerades rättigheter

Även om GDPR inte innehåller en specifik uppsättning instruktioner som rör hur organisationer ska tillhandahålla "mekanismer för att begära och, om tillämpligt, erhålla, kostnadsfritt, i synnerhet tillgång till och rättelse eller radering av personuppgifter och utövande av rätten att protestera'.

Tidsgränser

Lagstiftningen utelämnar någon exakt definition av vad som anses vara en acceptabel tid för att svara på förfrågningar. Det överlåts istället till organisationer att agera så snabbt som möjligt (eller "utan onödigt dröjsmål") inom en månad – förlängd till två månader för komplexa förfrågningar.

Om en organisation inte har för avsikt att agera på en begäran, bör den registrerade informeras om skälen inom en månad, tillsammans med information om hur man lämnar in ett klagomål.

EU GDPR artikel 12 (2) och ISO 27701 klausul 7.3.1

Fastställande och fullgörande av skyldigheter gentemot Pii-huvudmän

Organisationer måste dokumentera sina skyldigheter gentemot PII-huvudmän inom tre nyckelområden:

1. Legal.
2. Reglerande.
3. Företag.

Organisationer bör tillhandahålla transparent dokumentation och en utsedd kontaktpunkt till PII-huvudmän, för att underlätta det fria informationsflödet och inte på något sätt hindra PII-huvudmannen från att fastställa den registeransvariges skyldigheter.

Det är viktigt att notera att, för att säkerställa enhetlighet, alla kontaktsätt som tillhandahålls bör spegla det sätt genom vilket organisationen samlar in PII – t.ex. tillhandahålla en e-postadress eller en PoC, om data samlades in via e-post, snarare än att enbart be en rektor att skriva ett brev.

EU GDPR artikel 12 (1) och (7) och ISO 27701 klausul 7.3.3

Tillhandahålla information till PII-huvudmän

Organisationer måste kunna tillhandahålla information till PII-huvudmän som identifierar PII-kontrollanten och hur data behandlas.

Organisationer bör göra sitt yttersta för att se till att de använder ett tillgängligt språk som undviker branschjargong och förmedlar information i enkla termer som är lätt att förstå (se ISO 27702 klausul 7.3.2).

Stöder ISO 27701 klausuler

• ISO 27701 7.3.2

EU GDPR artiklarna 12 (3), (4), (5), (6) och ISO 27701 klausul 7.3.9

Förfrågningar från PII-huvudmän bör styras av processer och kontroller som är allmänt förstådda i hela organisationen, och tillgodose specifikationerna av alla lagar eller regulatoriska krav, inklusive adekvata svarstider.

Förfrågningar kan innehålla:

1. Kopior av data.
2. Klagomål.
3. Procedurmässiga förtydliganden.

Organisationer har lagligen rätt att ta ut en hanteringsavgift, men detta tillämpas vanligtvis endast på upprepade eller överdrivna förfrågningar om data.

Stöd för kontroller från ISO 27701

Hur ISMS.online hjälper

ROPA enkelt

Vi gör datakartläggning till en enkel uppgift. Det är lätt att spela in och granska allt genom att lägga till din organisations information i vårt förkonfigurerade dynamiska verktyg för registrering av bearbetningsaktivitet.

Bedömningsmallar

Vi tillhandahåller lättanvända mallar för att registrera sekretess och berättigade intressebedömningar.

Ett säkert utrymme för DRR

Du måste visa hur väl du hanterar förfrågningar om datasubjekträttigheter (DRR). Vårt säkra DRR-utrymme håller allt på ett ställe och stödjer det med automatisk rapportering och insikt.

Överträdelsehantering

Om det värsta händer är du redo. Vi gör det enkelt att planera och kommunicera ditt arbetsflöde för intrång och dokumentera och lära av varje incident.

Ta reda på mer av boka en demo.