Hur man visar efterlevnad av GDPR artikel 13

Storbritanniens GDPR-version

Artikel 13: Information som ska lämnas när personuppgifter samlas in från den registrerade

1. Om personuppgifter som rör en registrerad samlas in från den registrerade ska den registeransvarige, vid den tidpunkt då personuppgifter erhålls, förse den registrerade med all följande information:
• Identiteten och kontaktuppgifterna för den registeransvarige och, i förekommande fall, för den registeransvariges representant;
• Dataskyddsombudets kontaktuppgifter, i tillämpliga fall;
• Ändamålen för den behandling som personuppgifterna är avsedda för samt den rättsliga grunden för behandlingen;
• Om behandlingen grundar sig på artikel 6 f, de legitima intressen som eftersträvas av den registeransvarige eller av en tredje part;
• Mottagarna eller kategorierna av mottagare av personuppgifterna, om några;
• I tillämpliga fall, det faktum att den personuppgiftsansvarige avser att överföra personuppgifter till ett tredjeland eller en internationell organisation och förekomsten eller avsaknaden av relevanta adekvata bestämmelser enligt 17A i 2018 års lag, eller vid överföringar som avses i artikel 46 eller 47 , eller artikel 49 andra stycket, hänvisning till lämpliga eller lämpliga skyddsåtgärder och sätten för att få en kopia av dem eller om de har gjorts tillgängliga.
2. Utöver den information som avses i punkt 1 ska den registeransvarige, vid den tidpunkt då personuppgifter erhålls, förse den registrerade med följande ytterligare information som är nödvändig för att säkerställa en rättvis och öppen behandling:
• Den period under vilken personuppgifterna kommer att lagras, eller om det inte är möjligt, de kriterier som används för att fastställa den perioden;
• Förekomsten av rätten att begära från den registeransvarige tillgång till och rättelse eller radering av personuppgifter eller begränsning av behandling som rör den registrerade eller att invända mot behandling samt rätten till dataportabilitet;
• Om behandlingen grundar sig på artikel 6 a eller artikel 1 a, förekomsten av rätten att när som helst återkalla samtycke, utan att det påverkar lagligheten av behandling baserad på samtycke före dess tillbakadragande;
• Rätten att lämna in ett klagomål till kommissionären;
• Huruvida tillhandahållandet av personuppgifter är ett lagstadgat eller avtalsenligt krav, eller ett krav som är nödvändigt för att ingå ett avtal, samt om den registrerade är skyldig att tillhandahålla personuppgifterna och om de möjliga konsekvenserna av underlåtenhet att tillhandahålla sådana uppgifter;
• Förekomsten av automatiserat beslutsfattande, inklusive profilering, som avses i artikel 22 och 1 och, åtminstone i dessa fall, meningsfull information om logiken i fråga, samt betydelsen och de förväntade konsekvenserna av sådan behandling för den registrerade.
3. Om den personuppgiftsansvarige har för avsikt att vidarebehandla personuppgifterna för ett annat ändamål än det för vilket personuppgifterna samlades in, ska den registeransvarige förse den registrerade före den vidare behandlingen med information om det andra ändamålet och med all relevant ytterligare information som avses. till i punkt 2.
4. Punkterna 1, 2 och 3 ska inte tillämpas där och i den mån den registrerade redan har informationen.

Teknisk kommentar

Organisationer måste göra följande information tillgänglig vid insamlingsplatsen, där den är tillämplig (t.ex. internationella överföringar):

1. Identiteten för deras dataskyddsombud.
2. Kontaktuppgifter till deras dataskyddsombud.
3. Syftet och den rättsliga grunden för att samla in uppgifterna.
4. Eventuella legitima intressen.
5. Mottagarnas identitet.
6. Internationella överföringar av data, inklusive landsdetaljer och skyddsåtgärder.

Skyldigheter att tillhandahålla information när personuppgifter erhålls

I enlighet med riktlinjerna i artikel 13 måste organisationer också tillhandahålla följande information:

• Detaljer om datalagringsperioden.
• Detaljerna för den registrerades rättigheter enligt dataskyddslagstiftningen.
• Information om hur man återkallar samtycke.
• Hur man lämnar in ett klagomål.
• Källan till data som har erhållits.
• Eventuella avtalsenliga eller lagstadgade krav.
• Detaljer om automatiserade beslutsprocesser.

EU GDPR artiklarna 13 (1)(a), (1)(b), (1)(c), (1)(d), (1)(e), (1)(f), (2)( c), (2)(d), (2)(e), (3), (4) och ISO 27701 klausul 7.3.2

Fastställande av information för PII-huvudmän

Organisationer bör beskriva en detaljerad uppsättning krav som styr hur och när information ska lämnas till PII-huvudmän.

Som exempel kan nämnas:

• Det underliggande syftet med de uppgifter som samlas in och bearbetas.
• Kontaktuppgifter.
• Hur och var PII erhölls.
• Kontraktsmässiga och/eller lagstadgade krav.
• Hur samtycke kan tas bort.
• PII-överföringar.
• Hur man loggar ett klagomål.
• Hur organisationen fattar beslut om behandlingen av PII.
• Bevarandeperioder för information.

EU GDPR artikel 13 (3) och ISO 27701 klausul 7.3.3

Tillhandahålla information till PII-huvudmän

All information bör tillhandahållas felfri och på ett språk som är lätt att förstå (t.ex. saknar jargong, inte överdrivet tekniskt) av de personer som har förmågan att läsa den (se ISO 27702 klausul 7.3.2).

Stöder ISO 27701 klausuler

• ISO 27701 7.3.2

EU GDPR artikel 13 (2)(c) och ISO 27701 klausul 7.3.4

Tillhandahållande av mekanism för att ändra eller återkalla samtycke

Mekanismer bör tillhandahållas som tillgodoser rättigheterna för alla PII-huvudmän som försöker återkalla samtycke.

Kommunikationskanalerna bör spegla de som användes av organisationen för att initialt samla in data, och PII-huvudmän bör kunna begränsa den personuppgiftsansvarige från att utföra vissa åtgärder.

Organisationer bör förbinda sig till en publicerad svarstid för alla ändringar eller återkallande av samtyckesförfrågningar, och alla sådana förfrågningar bör dokumenteras noggrant.

EU GDPR artikel 13 (2)(b) och ISO 27701 klausul 7.3.5

Tillhandahåller mekanism för att invända mot PII-bearbetning

Lokala och nationella lagar varierar mellan jurisdiktioner, men på det hela taget bör PII-huvudmän behålla möjligheten att göra invändningar mot hur deras data har lagrats, behandlats eller överförts.

Organisationer bör:

1. Dokumentera alla juridiska eller regulatoriska krav som är relaterade till eventuella invändningar från PII-huvudmän.
2. Ge de registrerade information om hur de kan invända.

EU GDPR artikel 13 (2)(b) och ISO 27701 klausul 7.3.6

Åtkomst, korrigering och/eller radering

Organisationer bör dokumentera procedurer som tillåter registrerade att utföra tre grundläggande funktioner:

1. Tillgång deras data.
2. Correct deras data.
3. Radera deras data.

Organisationer bör förbinda sig till en publicerad svarstid för alla begäranden om åtkomst, korrigering eller radering, och ange en anledning till varför korrigeringar inte kan vidtas, där så är relevant.

Om PII har överförts till en tredje part är organisationer skyldiga att vidarebefordra alla förfrågningar till dem och bekräfta bekräftelsen (se ISO 27701 klausul 7.3.7).

Beroende på jurisdiktion kan olika regionala och nationella regler gälla. Som sådan bör organisationer upprätthålla en grundlig förståelse för alla lagar eller förordningar som gäller för åtkomst till, korrigering av eller radering av PII.

Stöder ISO 27701 klausuler

• ISO 27701 7.3.7

EU GDPR artikel 13 (2)(f) och ISO 27701 klausul 7.3.10

Automatiserat beslutsfattande

Organisationer bör ta upp alla juridiska skyldigheter gentemot PII-huvudmän som hänför sig till automatiserad behandling av PII.

Organisationer bör ta hänsyn till jurisdiktionsavvikelser i automatiserat beslutsfattande angående PII – mer specifikt, tillåta PII-huvudmän att invända och begära mänskligt ingripande i stället för automatiserade procedurer.

EU GDPR artikel 13 (2)(a) och ISO 27701 klausul 7.4.7

Organisationer måste ta bort och/eller göra sig av med PII som de inte längre kräver eller inte längre uppfyller ett specifikt syfte.

Organisationer bör arbeta med lagringsscheman som beskriver den exakta tidsperioden som PII bevaras under, inklusive efterlevnad av eventuella juridiska, lagstadgade eller kontraktuella krav.

Stöd för kontroller från ISO 27701

Hur ISMS.online hjälper

ROPA enkelt

Vår PIMS-lösning gör datakartläggning till en enkel uppgift. Det är lätt att spela in och granska allt genom att lägga till din organisations information i vårt förkonfigurerade dynamiska verktyg för registrering av bearbetningsaktivitet.

Inbyggd riskbank

Att hantera risker är nyckeln till en framgångsrik PIMS. Det är därför vi har skapat en inbyggd riskbank och en rad andra praktiska verktyg som hjälper till med varje del av riskbedömningen och hanteringsprocessen.

Säkert utrymme för DRR

Vilka integritetsstandarder eller regler du än arbetar med, måste du visa hur väl du hanterar förfrågningar om datasubjekträttigheter (DRR). Vårt säkra DRR-utrymme håller allt på ett ställe och stödjer det med automatisk rapportering och insikt.

Ta reda på mer av boka en demo.