Hur man visar efterlevnad av GDPR artikel 15

Programvara för efterlevnad av GDPR

Boka en demo

grupp,av,glada,kollegor,diskutera,i,konferens,rum

Artikel 15 handlar om en organisations skyldighet att tillhandahålla konsekvent, tillförlitlig och korrekt information om deras verksamhet som personuppgiftsansvarig.

Den information som organisationen tillhandahåller till registrerade gör det möjligt för individer att öka sin medvetenhet om hur deras uppgifter används, kontrollera hur deras uppgifter behandlas och delas och se till att deras uppgifter hanteras lagligt.

GDPR Artikel 15 Lagtext

Storbritanniens GDPR-version

Rätt till tillgång för den registrerade

  1. Den registrerade ska ha rätt att från den personuppgiftsansvarige få en bekräftelse på huruvida personuppgifter som rör honom eller henne behandlas eller inte, och, i så fall, tillgång till personuppgifterna och följande information:

    • syftet med behandlingen

    • kategorier av berörda personuppgifter

    • de mottagare eller kategorier av mottagare till vilka personuppgifterna har lämnats eller kommer att lämnas ut, särskilt mottagare i tredjeländer eller internationella organisationer;

    • Om möjligt, den planerade perioden för vilken personuppgifterna ska lagras, eller om det inte är möjligt, de kriterier som används för att bestämma denna period.

    • förekomsten av rätten att begära av den registeransvarige rättelse eller radering av personuppgifter eller begränsning av behandlingen av personuppgifter som rör den registrerade eller att invända mot sådan behandling;

    • rätten att lämna in ett klagomål till kommissionären;

    • där personuppgifterna inte samlas in från den registrerade

    • förekomsten av automatiserat beslutsfattande, inklusive profilering, som avses i artikel 22 och 1 och, åtminstone i dessa fall, meningsfull information om logiken i fråga, såväl som betydelsen och de förväntade konsekvenserna av sådan behandling för den registrerade.
  2. Om personuppgifter överförs till ett tredjeland eller till en internationell organisation ska den registrerade ha rätt att få information om lämpliga skyddsåtgärder enligt artikel 46 som avser överföringen.

  3. Den personuppgiftsansvarige ska tillhandahålla en kopia av de personuppgifter som behandlas. För ytterligare kopior som den registrerade begär kan den registeransvarige ta ut en rimlig avgift baserat på administrativa kostnader. Om den registrerade gör en begäran på elektronisk väg, och om inte annat begärs av den registrerade, ska informationen tillhandahållas i en vanlig elektronisk form.

  4. Rätten att få en kopia som avses i punkt 3 ska inte inverka negativt på andras rättigheter och friheter.

EU GDPR-version

Rätt till tillgång för den registrerade

  1. Den registrerade ska ha rätt att från den personuppgiftsansvarige få en bekräftelse på huruvida personuppgifter som rör honom eller henne behandlas eller inte, och, i så fall, tillgång till personuppgifterna och följande information:

    • syftet med behandlingen

    • kategorier av berörda personuppgifter

    • de mottagare eller kategorier av mottagare till vilka personuppgifterna har lämnats eller kommer att lämnas ut, särskilt mottagare i tredjeländer eller internationella organisationer;

    • Om möjligt, den planerade perioden för vilken personuppgifterna ska lagras, eller om det inte är möjligt, de kriterier som används för att bestämma denna period.

    • förekomsten av rätten att begära av den registeransvarige rättelse eller radering av personuppgifter eller begränsning av behandlingen av personuppgifter som rör den registrerade eller att invända mot sådan behandling;

    • rätten att lämna in ett klagomål till en tillsynsmyndighet;

    • där personuppgifterna inte samlas in från den registrerade

    • förekomsten av automatiserat beslutsfattande, inklusive profilering, som avses i artikel 22 och 1 och, åtminstone i dessa fall, meningsfull information om logiken i fråga, såväl som betydelsen och de förväntade konsekvenserna av sådan behandling för den registrerade.
  2. Om personuppgifter överförs till ett tredjeland eller till en internationell organisation ska den registrerade ha rätt att få information om lämpliga skyddsåtgärder enligt artikel 46 som avser överföringen.

  3. Den personuppgiftsansvarige ska tillhandahålla en kopia av de personuppgifter som behandlas. För ytterligare kopior som den registrerade begär kan den registeransvarige ta ut en rimlig avgift baserat på administrativa kostnader. Om den registrerade gör en begäran på elektronisk väg, och om inte annat begärs av den registrerade, ska informationen tillhandahållas i en vanlig elektronisk form.

  4. Rätten att få en kopia som avses i punkt 3 ska inte inverka negativt på andras rättigheter och friheter.
Hoppa till ämne

Vi är kostnadseffektiva och snabba

Upptäck hur det kommer att öka din ROI
Få din offert

Teknisk kommentar

Artikel 15 innehåller tre grundläggande rättigheter som innehas av den registrerade:

  1. rätten till tillgång (inklusive rätten att få bekräftelse på behandlingen och ytterligare information om behandlingen);

  2. rätten att få information om skyddsåtgärder;

  3. rätten att få en kopia av personuppgifterna;

Artikel 15 beskriver också vissa begränsningar för rätten till tillgång (se ovan). Om sådan åtkomst kränker andras rättigheter och friheter kan organisationer avslå förfrågningar om kopior av data.

Om sådana förfrågningar anses överdrivna eller uppenbart ogrundade, kan organisationer ta ut en "skälig avgift" för att bekämpa upprepningen av informationsförfrågningar.

ISO 27701 klausul 7.3.2 och EU GDPR artikel 15

I det här avsnittet talar vi om GDPR-artiklarna 15 (1)(a), 15 (1)(b), 15 (1)(c), 15 (1)(d), 15 (1)(e), 15 ( 1)(f), 15 (1)(g), 15 (1)(h) och 15 (2)

Organisationer bör beskriva en detaljerad uppsättning krav som styr hur och när information ska lämnas till PII-huvudmän.

Som exempel kan nämnas:

  • det underliggande syftet med de uppgifter som samlas in och bearbetas;

  • kontaktuppgifter;

  • hur och var PII erhölls;

  • kontraktuella och/eller lagstadgade krav;

  • hur samtycke kan tas bort;

  • PII-överföringar;

  • hur man loggar ett klagomål;

  • hur organisationen fattar beslut om behandlingen av PII;

  • lagringsperioder för information.

ISO 27701 klausul 7.3.8 och EU GDPR artikel 15 (3) och (4)

Organisationer måste tillhandahålla kopior av PII-data i ett användarvänligt, lättillgängligt format.

Organisationer bör se till att all information som tillhandahålls avser enbart till PII-huvudmannen som begärde det i första hand.

Om PII har avidentifierats, bör försök inte göras att återidentifiera, såvida inte organisationen är juridiskt skyldig att göra det.

Organisationer bör också undersöka metoder för att överföra PII direkt till en annan organisation, om så begärs.

Se ISMS.online
i aktion

Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo

Enkel. Säkra. Hållbar.

Se vår plattform i aktion med en skräddarsydd praktisk session baserad på dina behov och mål.

Boka din demo
img

ISO 27701 klausul 7.3.9 och EU GDPR artikel 15

I det här avsnittet talar vi om GDPR-artiklarna 15 (1)(a), 15 (1)(b), 15 (1)(c), 15 (1)(d), 15 (1)(e), 15 ( 1)(f), 15 (1)(g), 15 (1)(h)

Förfrågningar kan inkludera en kopia av PII eller registrering av ett klagomål och bör fyllas i inom rimlig svarstid.

Organisationer kan också ta ut en hanteringsavgift, men denna är vanligtvis begränsad till överdrivna eller upprepade förfrågningar och är beroende av den jurisdiktion som organisationen är verksam inom.

ISO 27701 klausul 7.4.5 och EU GDPR artikel 15 (2)

Organisationer måste antingen förstöra någon PII som inte längre uppfyller ett syfte eller ändra den på ett sätt som förhindrar någon form av principiell identifiering.

ISO 27701 klausul 7.5.1 och EU GDPR artikel 15 (2)

Behov kan uppstå att överföra PII mellan två distinkta jurisdiktioner. När detta inträffar bör organisationer motivera och dokumentera behovet av att göra det.

Organisationer bör ta hänsyn till alla relevanta lagar, ramverk och förordningar närhelst de behöver överföra data mellan jurisdiktioner. Organisationer bör också dokumentera användningen av en utsedd tillsynsmyndighet, där så är relevant.

ISO 27701 klausul 8.3.1 och EU GDPR artikel 15 (3)

Organisationer måste säkerställa lämpliga medel för att uppfylla sina skyldigheter inom tre nyckelområden:

  • lagstiftning;

  • reglering;

  • kontrakt.

Index över länkade EU GDPR-artiklar och ISO 27701-klausuler

GDPR-artikelISO 27701 klausulISO 27701 stödklausuler
EU GDPR artikel 15 (a) till 1 (15)ISO 27701 7.3.2Ingen
EU GDPR artikel 15 (3) och 15 (4)ISO 27701 7.3.8Ingen
EU GDPR artikel 15(a) till 1(h)ISO 27701 7.3.9Ingen
EU GDPR artikel 15 (2)ISO 27701 7.4.5Ingen
EU GDPR artikel 15 (2)ISO 27701 7.5.1Ingen
EU GDPR artikel 15 (3)ISO 27701 8.3.1Ingen

Hur ISMS.online hjälper

ISMS.online tillhandahåller en miljö som är förbyggd för dig för att beskriva och demonstrera din metod för att skydda dina europeiska och brittiska kunddata som sömlöst passar in i ditt ledningssystem.

GDPR anses allmänt vara den tuffaste integritets- och säkerhetsförordningen i världen, med överträdelser som leder till betydande böter. Det kan vara tvetydigt och öppet för tolkning, vilket tyder på att organisationer måste tillhandahålla en "rimlig" skyddsnivå för personuppgifter.

ISMS.online gör det enkelt för dig att hoppa direkt in på din resa till GDPR-efterlevnad och att enkelt demonstrera en skyddsnivå som går utöver "rimligt", allt på en säker plats.

Ta reda på hur ISMS.online kan hjälpa dig att visa efterlevnad av GDPR genom att boka en praktisk demo.

Upptäck vår plattform

Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo

ISMS.online stöder nu ISO 42001 - världens första AI Management System. Klicka för att ta reda på mer