Förstå GDPR Artikel 20: Rätten till dataportabilitet
GDPR Artikel 20 handlar om en registrerads rätt att få en kopia av sina uppgifter, så snart de har samlats in, och under hela behandlingen.
När organisationer tillhandahåller uppgifterna till ämnet måste de se till att de är lättillgängliga, i ett gemensamt format och fria från eventuella fel.
GDPR Artikel 20 Lagtext
EU GDPR-version
Rätt till dataportabilitet
- Den registrerade ska ha rätt att få de personuppgifter som rör honom eller henne, som han eller hon har lämnat till en personuppgiftsansvarig, i ett strukturerat, allmänt använt och maskinläsbart format och ha rätt att överföra dessa uppgifter till en annan personuppgiftsansvarig utan att hinder från den personuppgiftsansvarige till vilken personuppgifterna har lämnats, där:
- behandlingen grundar sig på samtycke enligt artikel 6 a eller artikel 1 a eller på ett avtal enligt artikel 9 b; och
- behandlingen utförs med automatiserade medel.
- När den registrerade utövar sin rätt till dataportabilitet enligt punkt 1 ska den registrerade ha rätt att få personuppgifterna överförda direkt från en personuppgiftsansvarig till en annan, om det är tekniskt möjligt.
- Utövandet av den rättighet som avses i punkt 1 i denna artikel ska inte påverka tillämpningen av artikel 17. Denna rätt ska inte gälla för behandling som är nödvändig för att utföra en uppgift som utförs av allmänt intresse eller för utövande av myndighet som tillkommer kontrollenheten.
- Den rättighet som avses i punkt 1 ska inte inverka negativt på andras rättigheter och friheter.
Storbritanniens GDPR-version
Rätt till dataportabilitet
- Den registrerade ska ha rätt att få de personuppgifter som rör honom eller henne, som han eller hon har lämnat till en personuppgiftsansvarig, i ett strukturerat, allmänt använt och maskinläsbart format och ha rätt att överföra dessa uppgifter till en annan personuppgiftsansvarig utan att hinder från den personuppgiftsansvarige till vilken personuppgifterna har lämnats, där:
- behandlingen grundar sig på samtycke enligt artikel 6 a eller artikel 1 a eller på ett avtal enligt artikel 9 b; och
- behandlingen utförs med automatiserade medel.
- När den registrerade utövar sin rätt till dataportabilitet enligt punkt 1 ska den registrerade ha rätt att få personuppgifterna överförda direkt från en personuppgiftsansvarig till en annan, om det är tekniskt möjligt.
- Utövandet av den rättighet som avses i punkt 1 i denna artikel ska inte påverka tillämpningen av artikel 17. Denna rätt ska inte gälla för behandling som är nödvändig för att utföra en uppgift som utförs av allmänt intresse eller för utövande av myndighet som tillkommer kontrollenheten.
- Den rättighet som avses i punkt 1 ska inte inverka negativt på andras rättigheter och friheter.
Hantera all din efterlevnad, allt på ett ställe
ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.
Teknisk kommentar
Det finns fyra nyckelrättigheter att ta hänsyn till när man diskuterar konceptet dataportabilitet:
- en registrerads underliggande rätt till "dataportabilitet";
- en registrerads rätt att få personuppgifter direkt överförda till en annan personuppgiftsansvarig;
- rätten att radera;
- tredje parts (dvs. andra registrerade) rättigheter och friheter när de överväger överföring av uppgifter.
ISO 27701 klausul 7.3.8 och EU GDPR artikel 20
I det här avsnittet talar vi om GDPR-artiklarna 20 (1), 20 (2), 20 (3) och 20 (4)
Tillhandahålla en kopia av PII
ISO kräver att organisationer tillhandahåller en kopia av en individs data i ett lättillgängligt format som är tydligt, felfritt och endast avser den person som gjorde begäran.
Om data har avidentifierats bör organisationer inte försök att återidentifiera PII, såvida det inte krävs enligt lag.
Organisationer bör också följa sitt ansvar när det gäller direkt överföring av PII till en annan organisation.
Index över länkade EU GDPR-artiklar och ISO 27701-klausuler
| GDPR-artikel | ISO 27701 klausul | ISO 27701 stödklausuler |
|---|---|---|
| EU GDPR artiklarna 20 (1) till 20 (4) | ISO 27701 7.3.8 | Ingen |
Hur ISMS.online hjälper
Vi har täckt dig
Även om GDPR är en fristående förordning som du kan bli certifierad för självständigt, finns det stor fördel med att ta ett komplement till andra viktiga ISO-standarder.
Som riskhanteringsstandard tillhandahåller exempelvis ISO 27001 omfattande kontroller kring skyddet av informationstillgångar, medan ISO 27701 ger samma, men med ett specifikt fokus på datasekretess. Att närma sig GDPR tillsammans med en eller båda av dessa standarder kommer att ge dig och dina kunder maximal säkerhet.
Vår intuitiva plattform gör det enkelt att arbeta mot flera mål för informationssäkerhet och datasekretess, kartlägga ditt arbete över flera standarder och ramverk, eliminera dubblering och upprepning där de skär varandra.
Efter att du framgångsrikt har uppnått ISO 27001, ISO 27701 eller GDPR-certifiering har du en utmärkt position att utöka din ställning för datasekretess till att inkludera ett av våra andra regionala integritetsramverk:
- POPIA
- BS 10012
- Australiensiska integritetsprinciper
- NIST Privacy Framework
- OECD:s riktlinjer för sekretess
- APEC Privacy Framework
- Och mer
Ta reda på mer av Boka en praktisk demo.
