GDPR Artikel 26 Efterlevnad: Vad du behöver veta
GDPR Artikel 26 säkerställer att i händelse av gemensamma registeransvariga som arbetar med samma datauppsättning tydligt förstås ansvaret mellan alla parter, och registrerade hålls väl informerade om hur deras uppgifter hanteras mellan två distinkta men samarbetande registeransvariga.
GDPR Artikel 26 Lagtext
EU GDPR-version
Gemensamma kontroller
- Om två eller flera registeransvariga gemensamt bestämmer ändamålen och medlen för behandlingen ska de vara gemensamma registeransvariga. De ska på ett öppet sätt fastställa sina respektive ansvarsområden för att uppfylla skyldigheterna enligt denna förordning, särskilt när det gäller utövandet av den registrerades rättigheter och deras respektive skyldigheter att tillhandahålla den information som avses i artiklarna 13 och 14, med hjälp av av en överenskommelse mellan dem såvida inte och i den mån de registeransvarigas respektive ansvarsområden bestäms av unions- eller medlemsstatslagstiftningen som de registeransvariga omfattas av. Arrangemanget kan utse en kontaktpunkt för registrerade.
- Det arrangemang som avses i punkt 1 ska vederbörligen återspegla de gemensamma registeransvarigas respektive roller och relationer gentemot de registrerade. Kärnan i arrangemanget ska göras tillgänglig för den registrerade.
- Oavsett villkoren för det arrangemang som avses i punkt 1 får den registrerade utöva sina rättigheter enligt denna förordning gentemot och mot var och en av de registeransvariga.
Storbritanniens GDPR-version
Gemensamma kontroller
- Om två eller flera registeransvariga gemensamt bestämmer ändamålen och medlen för behandlingen ska de vara gemensamma registeransvariga. De ska på ett öppet sätt fastställa sina respektive ansvarsområden för att uppfylla skyldigheterna enligt denna förordning, särskilt när det gäller utövandet av den registrerades rättigheter och deras respektive skyldigheter att tillhandahålla den information som avses i artiklarna 13 och 14, med hjälp av av en överenskommelse mellan dem såvida inte och i den mån de registeransvarigas respektive ansvarsområden bestäms av unions- eller medlemsstatslagstiftningen som de registeransvariga omfattas av. Arrangemanget kan utse en kontaktpunkt för registrerade.
- Det arrangemang som avses i punkt 1 ska vederbörligen återspegla de gemensamma registeransvarigas respektive roller och relationer gentemot de registrerade. Kärnan i arrangemanget ska göras tillgänglig för den registrerade.
- Oavsett villkoren för det arrangemang som avses i punkt 1 får den registrerade utöva sina rättigheter enligt denna förordning gentemot och mot var och en av de registeransvariga.
Teknisk kommentar
Konceptet "Joint Controllership"
GDPR Artikel 26 definierar gemensamt registeransvarig som varje scenario där två registeransvariga "gemensamt bestämmer ändamålen och medlen för behandlingen". På en grundläggande nivå innebär detta att två gemensamma registeransvariga måste utföra praktiska, snarare än formella, roller i behandlingen av en individs uppgifter.
När man analyserar i vilken grad en part är en gemensam registeransvarig bör man uppmärksamma om en organisation utövar "avgörande kontroll" över en individs uppgifter eller inte.
Detta betyder inte att två kontrollanter ska ha ett jämnt, enhetligt inflytande under hela bearbetningsoperationen. Olika grader av kontroll kan utövas av varje kontrollant i olika skeden.
Hantera all din efterlevnad, allt på ett ställe
ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.
ISO 27701 klausul 7.2.7 (Joint PII Controllers) och EU GDPR artikel 26
I det här avsnittet talar vi om GDPR artiklarna 26 (1), 26 (2) och 26 (3)
Organisationer måste beskriva detaljerna för alla gemensamma PII-bearbetningsarrangemang, med en medföljande PII-kontrollant – detta inkluderar allmänna skyddsåtgärder och alla tillhörande säkerhetskrav.
Detta inkluderar:
- varför PII delas;
- datakategorier;
- en allmän översikt över PII-bearbetningsoperationen;
- alla relevanta roller och ansvarsområden;
- hur integritetsinformationssäkerheten ska styras;
- vilka åtgärder som ska vidtas i händelse av dataintrång;
- hur PII ska behållas och förstöras när det inte längre behövs;
- vad som händer när endera parten bryter mot avtalet;
- vad endera partens skyldigheter är gentemot PII-huvudmän;
- vilka mekanismer finns på plats för att ge PII-huvudmän tillämpliga detaljer i det gemensamma avtalet;
- hur PII-rektorer kan göra officiella förfrågningar och hur man formulerar och levererar ett svar;
- kontaktpunkter – både internt och för PII-huvudmän att använda.
Index över länkade EU GDPR-artiklar och ISO 27701-klausuler
| GDPR-artikel | ISO 27701 klausul | ISO 27701 stödklausuler |
|---|---|---|
| EU GDPR artiklarna 26 (1) till 26 (3) | ISO 27701 7.2.7 | Ingen |
Hur ISMS.online hjälper
Med vår förbyggda miljö kan du beskriva och demonstrera ditt sätt att skydda dina kunders data i hela EU och Storbritannien på ett sätt som sömlöst passar in i ditt ledningssystem.
Du kan uppnå GDPR-efterlevnad med ISMS.online på ett ögonblick och enkelt visa att du skyddar data utöver vad som anses vara rimligt, allt på en säker, alltid-på plats.
Genom vår implementeringsmetod 'Adoptera, anpassa, lägg till' ger ISMS.online-plattformen vägledning vid varje steg, vilket minimerar ansträngningen som krävs för att visa att du följer GDPR.
Ta reda på mer av boka en 30 minuters demo.
