GDPR Artikel 24 är det första avsnittet i GDPR som tar upp den personuppgiftsansvariges allmänna skyldigheter, vilka beskrivs mer detaljerat i efterföljande artiklar.
Förändringen i tonfall från passiv efterlevnad till användning av obligatoriskt språk är ett kännetecken för GDPR-lagstiftningen och sätter tonen för hur registeransvariga förväntas bete sig längre fram i lagstiftningen.
Kontrollantens ansvar
- Med hänsyn till behandlingens art, omfattning, sammanhang och syften samt riskerna för varierande sannolikhet och svårighetsgrad för fysiska personers rättigheter och friheter, ska den registeransvarige vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandling utförs i enlighet med denna förordning. Dessa åtgärder ska ses över och uppdateras vid behov.
- Om de är proportionerliga i förhållande till behandlingsverksamhet ska de åtgärder som avses i punkt 1 inbegripa genomförandet av lämpliga dataskyddspolicyer av den registeransvarige.
- Efterlevnad av godkända uppförandekoder enligt artikel 40 eller godkända certifieringsmekanismer enligt artikel 42 kan användas som ett element för att visa att den registeransvarige uppfyller sina skyldigheter.
Kontrollantens ansvar
- Med hänsyn till behandlingens art, omfattning, sammanhang och syften samt riskerna för varierande sannolikhet och svårighetsgrad för fysiska personers rättigheter och friheter, ska den registeransvarige vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandling utförs i enlighet med denna förordning. Dessa åtgärder ska ses över och uppdateras vid behov.
- Om de är proportionerliga i förhållande till behandlingsverksamhet ska de åtgärder som avses i punkt 1 inbegripa genomförandet av lämpliga dataskyddspolicyer av den registeransvarige.
- Efterlevnad av godkända uppförandekoder enligt artikel 40 eller godkända certifieringsmekanismer enligt artikel 42 kan användas som ett element för att visa att den registeransvarige uppfyller sina skyldigheter.
GDPR definierar faktiskt inte vad en teknisk åtgärd är, vilket har lett till viss förvirring bland organisationer som kämpar för att förstå vad deras skyldigheter är. Som sådan definierade de flesta juridiska myndigheter "åtgärd" som alla åtgärder som en organisation kan vidta, vilket gör dem kompatibla.
Med tanke på den breda räckvidden av termen "åtgärd", för att fastställa hur man uppnår efterlevnad, bör organisationer genomgå en grundlig riskbedömning som tar hänsyn till naturen, omfattning och Syftet av dess bearbetningsverksamhet.
Dessutom måste organisationer ständigt vara medvetna om rätten till individuell frihet, vid sidan av eventuella operativa risker.
Som en allmän regel gäller att ju mer riskfylld bearbetningen är, desto större mängd bevis krävs. Organisationer bör vara upptagna av att samla in fysiska och digitala bevis som bevisar att de är en laglydig organisation.
Boka en 30 minuters chatt med oss så visar vi dig hur
Innan organisationer försöker ta itu med integritetsskydd och implementera en PII måste de först få en förståelse för sina skyldigheter som en enskild eller gemensam PII-kontrollant och/eller processor.
Detta inkluderar:
Rekordhantering omfattar fyra nyckelområden:
Organisationer bör:
ISO förespråkar en dubbelfrontsstrategi för organisatoriskt integritetsskydd som inkluderar:
Båda typerna av policy kan antingen kombineras till ett dokument eller separeras ut som organisationen finner lämpligt.
Policyer bör spridas till alla relevanta anställda (och extern personal, om det behövs), för att säkerställa kontinuerlig efterlevnad av interna och externa integritetsskyddskrav.
Alla som får en policy bör uppmanas att bekräfta, helst skriftligt, att de både förstår vad som efterfrågas av dem och är villiga att följa.
Policyer bör ses över när ändringar görs i:
Ledningen bör upprätta en integritetsskyddspolicy på toppnivå (tillsammans med andra ämnesspecifika policyer) som tydligt beskriver de processer och praktiska steg som kommer att vidtas för att skydda PII.
Organisatoriska integritetsskyddspolicyer bör innehålla information från och förbli relevanta för:
Integritetsskyddspolicyer bör definiera organisationens:
Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo
Poster (även kallade "lagerlistor") bör ha en delegerad ägare och kan innehålla:
GDPR-artikel | ISO 27701 klausul | ISO 27701 stödklausuler |
---|---|---|
EU GDPR artikel 24 (3) | ISO 27701 5.2.1 | Ingen |
EU GDPR artikel 24 (2) | ISO 27701 6.15.1.3 | Ingen |
EU GDPR artikel 24 (2) | ISO 27701 6.2.1.1 | Ingen |
EU GDPR artikel 24 (1) | ISO 27701 7.2.8 | Ingen |
ISMS.online erbjuder dig en komplett GDPR-lösning.
Vi tillhandahåller en miljö som är förbyggd för dig för att beskriva och demonstrera din metod för att skydda dina europeiska och brittiska kunddata som sömlöst passar in i ditt ledningssystem.
ISMS.online-plattformen har inbyggd vägledning vid varje steg i kombination med vår implementeringsmetod 'Adoptera, anpassa, lägg till' så att ansträngningen som krävs för att visa din inställning till GDPR minskar avsevärt.
Har du 30 minuter? Ta reda på mer av boka en demo.
Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo