GDPR Artikel 22 handlar om ett begrepp som kallas "dataprofilering" – i huvudsak en metod som används för att profilera en individs personlighet enbart genom automatiserad dataanalys, som har chansen att påverka dem juridiskt eller ekonomiskt (t.ex. kreditvärdering och bolåneansökningar).
Enligt artikel 22 har individer rätt att inte bli profilerade på ett sådant sätt, såvida det inte uttryckligen överenskommits genom ett avtal mellan försökspersonen och den organisation som utför profileringen.
Automatiserat individuellt beslutsfattande, inklusive profilering
Automatiserat individuellt beslutsfattande, inklusive profilering
Generellt sett är artikel 22 inte relevant om beslut påverkar flera registrerade personer, eller grupper av individer kopplade till vissa variabler – t.ex. ålder, kön, plats.
Istället fokuserar lagen på individens – alltså en persons – rätt att inte bli föremål för profilering utan dennes samtycke.
Trots att det är det primära ämnet är beslut något av en gråzon. Lagen är oklart vad som är ett beslut. Dessa kan sträcka sig från ett beslut från en statlig myndighet, eller något som är lättare att känna igen, såsom en kreditvärdering eller åtgärder som vidtagits på en bolåneansökan.
För att göra saker ännu mer vaga kan beslut också utgöra en attityd eller åsikt gentemot en registrerad, baserat på dennes uppgifter, men bara om det är sannolikt att det agerar.
En "rättslig verkan" är en bindande åtgärd som vidtas gentemot en person. Beslut är scenarier som ett bidragsanspråk, en skattedeklaration eller en vårdbedömning.
Även om vissa eller alla av dessa kanske inte specifikt ändrar den grundläggande juridiska statusen för en person, kan de fortfarande ha en djupgående effekt på den personens liv, inklusive:
I det här avsnittet talar vi om GDPR-artiklarna 22 (2)(a), 22 (2)(b), 22 (2)(c), 22 (4)
För att bilda en rättslig grund för att behandla PII bör organisationer dokumentera sina handlingar och:
Organisationer måste också ta hänsyn till alla "särskilda kategorier" av PII som hänför sig till deras organisation i deras dataklassificeringssystem (se ISO 27701 klausul 7.2.8) (klassificeringar kan variera från region till region).
Om organisationer upplever några förändringar av deras underliggande orsaker till att behandla PII, bör detta omedelbart återspeglas i deras dokumenterade rättsliga grund.
I det här avsnittet talar vi om GDPR-artiklarna 22 (1) och 22 (3)
Organisationer bör ta hänsyn till jurisdiktionsavvikelser i automatiserat beslutsfattande angående PII.
Organisationer bör respektera en individs rätt att invända och begära mänskligt ingripande i stället för automatiserade procedurer.
GDPR-artikel | ISO 27701 klausul | ISO 27701 stödklausuler |
---|---|---|
EU GDPR artiklarna 22 (2) (a), 22 (2) (b), 22 (2) (c), 22 (4) | ISO 27701 7.2.2 | ISO 27701 7.2.8 |
EU GDPR artiklarna 22 (1) och 22 (3) | ISO 27701 7.3.10 | Ingen |
Genom att lägga till en PIMS till din ISMS på ISMS.online-plattformen förblir din säkerhetsställning allt-i-ett-plats och du undviker dubbelarbete där standarderna överlappar varandra.
Med din PIMS omedelbart tillgänglig för intresserade parter har det aldrig varit enklare att övervaka, rapportera och granska mot både ISO 27701 och ISO 27001 med ett enda knapptryck.
Ta reda på hur mycket tid och pengar du kommer att spara på din resa till en kombinerad ISO 27701- och ISO 27001-certifiering med ISMS.online av boka en demo.
Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo