Säkerställa GDPR-efterlevnad: Förstå ditt ansvar enligt artikel 24
GDPR Artikel 24 är det första avsnittet i GDPR som tar upp den personuppgiftsansvariges allmänna skyldigheter, vilka beskrivs mer detaljerat i efterföljande artiklar.
Förändringen i tonfall från passiv efterlevnad till användning av obligatoriskt språk är ett kännetecken för GDPR-lagstiftningen och sätter tonen för hur registeransvariga förväntas bete sig längre fram i lagstiftningen.
GDPR Artikel 24 Lagtext
EU GDPR-version
Kontrollantens ansvar
- Med hänsyn till behandlingens art, omfattning, sammanhang och syften samt riskerna för varierande sannolikhet och svårighetsgrad för fysiska personers rättigheter och friheter, ska den registeransvarige vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandling utförs i enlighet med denna förordning. Dessa åtgärder ska ses över och uppdateras vid behov.
- Om de är proportionerliga i förhållande till behandlingsverksamhet ska de åtgärder som avses i punkt 1 inbegripa genomförandet av lämpliga dataskyddspolicyer av den registeransvarige.
- Efterlevnad av godkända uppförandekoder enligt artikel 40 eller godkända certifieringsmekanismer enligt artikel 42 kan användas som ett element för att visa att den registeransvarige uppfyller sina skyldigheter.
Storbritanniens GDPR-version
Kontrollantens ansvar
- Med hänsyn till behandlingens art, omfattning, sammanhang och syften samt riskerna för varierande sannolikhet och svårighetsgrad för fysiska personers rättigheter och friheter, ska den registeransvarige vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandling utförs i enlighet med denna förordning. Dessa åtgärder ska ses över och uppdateras vid behov.
- Om de är proportionerliga i förhållande till behandlingsverksamhet ska de åtgärder som avses i punkt 1 inbegripa genomförandet av lämpliga dataskyddspolicyer av den registeransvarige.
- Efterlevnad av godkända uppförandekoder enligt artikel 40 eller godkända certifieringsmekanismer enligt artikel 42 kan användas som ett element för att visa att den registeransvarige uppfyller sina skyldigheter.
Teknisk kommentar
"Åtgärder"
GDPR definierar faktiskt inte vad en teknisk åtgärd är, vilket har lett till viss förvirring bland organisationer som kämpar för att förstå vad deras skyldigheter är. Som sådan definierade de flesta juridiska myndigheter "åtgärd" som alla åtgärder som en organisation kan vidta, vilket gör dem kompatibla.
Att anta ett riskbaserat tillvägagångssätt
Med tanke på den breda räckvidden av termen "åtgärd", för att fastställa hur man uppnår efterlevnad, bör organisationer genomgå en grundlig riskbedömning som tar hänsyn till naturen, omfattning och Syftet av dess bearbetningsverksamhet.
Dessutom måste organisationer ständigt vara medvetna om rätten till individuell frihet, vid sidan av eventuella operativa risker.
Visa efterlevnad
Som en allmän regel gäller att ju mer riskfylld bearbetningen är, desto större mängd bevis krävs. Organisationer bör vara upptagna av att samla in fysiska och digitala bevis som bevisar att de är en laglydig organisation.
Hantera all din efterlevnad, allt på ett ställe
ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.
ISO 27701 klausul 5.2.1 (Förstå organisationen och dess sammanhang) och EU GDPR artikel 24 (3)
Innan organisationer försöker ta itu med integritetsskydd och implementera en PII måste de först få en förståelse för sina skyldigheter som en enskild eller gemensam PII-kontrollant och/eller processor.
Detta inkluderar:
- granska alla rådande integritetslagar, förordningar eller "rättsliga beslut";
- ta hänsyn till organisationens unika uppsättning krav avseende den typ av produkter och tjänster de säljer, och företagsspecifika styrdokument, policyer och procedurer;
- administrativa faktorer;
- tredje parts avtal eller serviceavtal.
ISO 27701 klausul 6.15.1.3 (Skydd av register) och EU GDPR artikel 24 (2)
Rekordhantering omfattar fyra nyckelområden:
- Äkthet;
- Pålitlighet;
- Integritet;
- Användbarhet.
Organisationer bör:
- publicera riktlinjer som handlar om:
- lagring;
- hantering (vårdnadskedjan);
- förfogande;
- förhindra manipulation.
- ange hur länge varje posttyp ska behållas;
- följa alla lagar som handlar om journalföring;
- följa kundernas förväntningar på hur organisationer ska hantera sina register;
- förstöra poster när de inte längre behövs;
- klassificera poster baserat på deras säkerhetsrisk, t.ex.
- bokföring;
- affärstransaktion;
- personalregister;
- lagligt.
- se till att de kan hämta uppgifter inom en acceptabel tidsperiod, om en tredje part eller en brottsbekämpande myndighet uppmanar dem att göra det;
- följ alltid tillverkarens riktlinjer när du lagrar eller hanterar register på elektroniska mediakällor.
ISO 27701 klausul 6.2.1.1 (Policyer för informationssäkerhet) och EU GDPR artikel 24 (2)
ISO förespråkar en dubbelfrontsstrategi för organisatoriskt integritetsskydd som inkluderar:
- en allmän integritetsskyddspolicy;
- ämnesspecifika integritetsskyddspolicyer.
Båda typerna av policy kan antingen kombineras till ett dokument eller separeras ut som organisationen finner lämpligt.
Policyer bör spridas till alla relevanta anställda (och extern personal, om det behövs), för att säkerställa kontinuerlig efterlevnad av interna och externa integritetsskyddskrav.
Alla som får en policy bör uppmanas att bekräfta, helst skriftligt, att de både förstår vad som efterfrågas av dem och är villiga att följa.
Policyer bör ses över när ändringar görs i:
- affärsstrategi;
- operativ praxis/tekniska miljöer;
- eventuella lagar (inklusive GDPR), regulatoriska bestämmelser eller allmänna PII-relaterade riktlinjer som organisationen har ett ansvar att följa;
- integritetsskyddsrisknivåer och det rådande/prognostiserade hotbilden.
Allmänna policyer
Ledningen bör upprätta en integritetsskyddspolicy på toppnivå (tillsammans med andra ämnesspecifika policyer) som tydligt beskriver de processer och praktiska steg som kommer att vidtas för att skydda PII.
Organisatoriska integritetsskyddspolicyer bör innehålla information från och förbli relevanta för:
- den övergripande affärsstrategin;
- alla rådande regulatoriska, juridiska eller kontraktuella krav;
- alla tydliga och aktuella integritetsskyddsrisker.
Integritetsskyddspolicyer bör definiera organisationens:
- operativ definition av integritetsskydd;
- uttalade integritetsskyddsmål;
- bredare uppsättning styrande principer för skydd av PII;
- engagemang för att uppfylla sina PII-relaterade mål och att kontinuerligt förbättra dem;
- strategi för att delegera ansvaret för hela eller delar av integritetsskyddspolicyn till relevanta rolltyper;
- strategi för att hantera undantag från policyn;
- planerar för högre ledning att granska och godkänna ändringar.
Befria dig från ett berg av kalkylblad
Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.
ISO 27701 klausul 7.2.8 (Records Relating the Processing of PII) och EU GDPR Artikel 24 (1)
Poster (även kallade "lagerlistor") bör ha en delegerad ägare och kan innehålla:
- operationell – den specifika typen av PII-bearbetning som genomförs;
- motiveringar – varför PII behandlas;
- kategorisk – listor över PII-mottagare, inklusive internationella organisationer;
- säkerhet – en översikt över hur PII skyddas;
- integritet – det vill säga en integritetskonsekvensbedömningsrapport.
Index över länkade EU GDPR-artiklar och ISO 27701-klausuler
| GDPR-artikel | ISO 27701 klausul | ISO 27701 stödklausuler |
|---|---|---|
| EU GDPR artikel 24 (3) | ISO 27701 5.2.1 | Ingen |
| EU GDPR artikel 24 (2) | ISO 27701 6.15.1.3 | Ingen |
| EU GDPR artikel 24 (2) | ISO 27701 6.2.1.1 | Ingen |
| EU GDPR artikel 24 (1) | ISO 27701 7.2.8 | Ingen |
Hur ISMS.online hjälper
ISMS.online erbjuder dig en komplett GDPR-lösning.
Vi tillhandahåller en miljö som är förbyggd för dig för att beskriva och demonstrera din metod för att skydda dina europeiska och brittiska kunddata som sömlöst passar in i ditt ledningssystem.
ISMS.online-plattformen har inbyggd vägledning vid varje steg i kombination med vår implementeringsmetod 'Adoptera, anpassa, lägg till' så att ansträngningen som krävs för att visa din inställning till GDPR minskar avsevärt.
Har du 30 minuter? Ta reda på mer av boka en demo.
