Hur man visar efterlevnad av GDPR artikel 22

Programvara för efterlevnad av GDPR

Boka en demo

företag,team,möte.,foto,professionell,investerare,arbetar,ny,start,up

GDPR Artikel 22 handlar om ett begrepp som kallas "dataprofilering" – i huvudsak en metod som används för att profilera en individs personlighet enbart genom automatiserad dataanalys, som har chansen att påverka dem juridiskt eller ekonomiskt (t.ex. kreditvärdering och bolåneansökningar).

Enligt artikel 22 har individer rätt att inte bli profilerade på ett sådant sätt, såvida det inte uttryckligen överenskommits genom ett avtal mellan försökspersonen och den organisation som utför profileringen.

GDPR Artikel 22 Lagtext

EU GDPR-version

Automatiserat individuellt beslutsfattande, inklusive profilering

  1. Den registrerade ska ha rätt att inte bli föremål för ett beslut som enbart baseras på automatiserad behandling, inklusive profilering, som ger rättsverkningar för honom eller henne eller på liknande sätt väsentligt påverkar honom eller henne.

  2. Punkt 1 ska inte tillämpas om beslutet:

    • är nödvändigt för att ingå eller fullgöra ett avtal mellan den registrerade och en personuppgiftsansvarig;

    • är tillåten enligt unions- eller medlemsstatslagar som den registeransvarige lyder under och som även fastställer lämpliga åtgärder för att skydda den registrerades rättigheter och friheter och legitima intressen; eller

    • bygger på den registrerades uttryckliga samtycke.

  3. I de fall som avses i punkt 2 a och c ska den personuppgiftsansvarige vidta lämpliga åtgärder för att skydda den registrerades rättigheter och friheter och legitima intressen, åtminstone rätten att få mänskligt ingripande från den registrerades sida. kontrollant, för att uttrycka sin åsikt och att bestrida beslutet.

  4. Beslut som avses i punkt 2 ska inte grundas på särskilda kategorier av personuppgifter som avses i artikel 9, såvida inte artikel 1 led a eller g tillämpas och lämpliga åtgärder för att skydda den registrerades rättigheter och friheter och legitima intressen finns.

Storbritanniens GDPR-version

Automatiserat individuellt beslutsfattande, inklusive profilering

  1. Den registrerade ska ha rätt att inte bli föremål för ett beslut som enbart baseras på automatiserad behandling, inklusive profilering, som ger rättsverkningar för honom eller henne eller på liknande sätt väsentligt påverkar honom eller henne.

  2. Punkt 1 ska inte tillämpas om beslutet:

    • är nödvändigt för att ingå eller fullgöra ett avtal mellan den registrerade och en personuppgiftsansvarig;

    • krävs eller godkänts av nationell lagstiftning som också fastställer lämpliga åtgärder för att skydda den registrerades rättigheter och friheter och legitima intressen; eller

    • bygger på den registrerades uttryckliga samtycke.

  3. I de fall som avses i punkt 2 a och c ska den personuppgiftsansvarige vidta lämpliga åtgärder för att skydda den registrerades rättigheter och friheter och legitima intressen, åtminstone rätten att få mänskligt ingripande från den registrerades sida. kontrollant, för att uttrycka sin åsikt och att bestrida beslutet.

    • 3A. 14 § i 2018 års lag, och föreskrifter enligt den paragrafen, innehåller bestämmelser för att skydda registrerades rättigheter, friheter och legitima intressen i fall som faller inom punkt 2 b (men inte inom punkt a) eller c). i det stycket).

  4. 4. Beslut som avses i punkt 2 ska inte grundas på särskilda kategorier av personuppgifter som avses i artikel 9, såvida inte artikel 1 a eller g tillämpas och lämpliga åtgärder för att skydda uppgifterna subjektets rättigheter och friheter och legitima intressen är på plats.
Hoppa till ämne
Enkel. Säkra. Hållbar.

Se vår plattform i aktion med en skräddarsydd praktisk session baserad på dina behov och mål.

Boka din demo
img

Teknisk kommentar

Omfattning

Generellt sett är artikel 22 inte relevant om beslut påverkar flera registrerade personer, eller grupper av individer kopplade till vissa variabler – t.ex. ålder, kön, plats.

Istället fokuserar lagen på individens – alltså en persons – rätt att inte bli föremål för profilering utan dennes samtycke.

Vad är ett "beslut"

Trots att det är det primära ämnet är beslut något av en gråzon. Lagen är oklart vad som är ett beslut. Dessa kan sträcka sig från ett beslut från en statlig myndighet, eller något som är lättare att känna igen, såsom en kreditvärdering eller åtgärder som vidtagits på en bolåneansökan.

För att göra saker ännu mer vaga kan beslut också utgöra en attityd eller åsikt gentemot en registrerad, baserat på dennes uppgifter, men bara om det är sannolikt att det agerar.

Rättsliga effekter

En "rättslig verkan" är en bindande åtgärd som vidtas gentemot en person. Beslut är scenarier som ett bidragsanspråk, en skattedeklaration eller en vårdbedömning.

Även om vissa eller alla av dessa kanske inte specifikt ändrar den grundläggande juridiska statusen för en person, kan de fortfarande ha en djupgående effekt på den personens liv, inklusive:

  • ändra en persons omständigheter eller val som är tillgängliga för dem;

  • har en långvarig effekt på en person under livets gång;

  • (under vissa omständigheter) som leder till diskriminering eller orättfärdiga handlingar mot någon.

ISO 27701 klausul 7.2.2 och EU GDPR artikel 22

I det här avsnittet talar vi om GDPR-artiklarna 22 (2)(a), 22 (2)(b), 22 (2)(c), 22 (4)

Identifiera en laglig grund

För att bilda en rättslig grund för att behandla PII bör organisationer dokumentera sina handlingar och:

  1. söka samtycke;

  2. utarbeta ett kontrakt eller kontakter;

  3. följa alla andra juridiska skyldigheter;

  4. skydda de "vitala intressen" för de individer och grupper de har uppgifter om;

  5. se till att de verkar i allmänhetens intresse och är ett legitimt intresse.

Organisationer måste också ta hänsyn till alla "särskilda kategorier" av PII som hänför sig till deras organisation i deras dataklassificeringssystem (se ISO 27701 klausul 7.2.8) (klassificeringar kan variera från region till region).

Om organisationer upplever några förändringar av deras underliggande orsaker till att behandla PII, bör detta omedelbart återspeglas i deras dokumenterade rättsliga grund.

Stöder ISO 27701 klausuler

  • ISO 27701 7.2.8

ISO 27701 klausul 7.3.10 och EU GDPR artikel 22

I det här avsnittet talar vi om GDPR-artiklarna 22 (1) och 22 (3)

Automatiserat beslutsfattande

Organisationer bör ta hänsyn till jurisdiktionsavvikelser i automatiserat beslutsfattande angående PII.

Organisationer bör respektera en individs rätt att invända och begära mänskligt ingripande i stället för automatiserade procedurer.

Index över länkade EU GDPR-artiklar och ISO 27701-klausuler

GDPR-artikelISO 27701 klausulISO 27701 stödklausuler
EU GDPR artiklarna 22 (2) (a), 22 (2) (b), 22 (2) (c), 22 (4)ISO 27701 7.2.2ISO 27701 7.2.8
EU GDPR artiklarna 22 (1) och 22 (3)ISO 27701 7.3.10Ingen

Hur ISMS.online hjälper

Genom att lägga till en PIMS till din ISMS på ISMS.online-plattformen förblir din säkerhetsställning allt-i-ett-plats och du undviker dubbelarbete där standarderna överlappar varandra.

Med din PIMS omedelbart tillgänglig för intresserade parter har det aldrig varit enklare att övervaka, rapportera och granska mot både ISO 27701 och ISO 27001 med ett enda knapptryck.

Ta reda på hur mycket tid och pengar du kommer att spara på din resa till en kombinerad ISO 27701- och ISO 27001-certifiering med ISMS.online av boka en demo.

Upptäck vår plattform

Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo

Vi är kostnadseffektiva och snabba

Upptäck hur det kommer att öka din ROI
Få din offert

ISMS.online stöder nu ISO 42001 - världens första AI Management System. Klicka för att ta reda på mer