Hur man visar efterlevnad av GDPR artikel 26

Joint Controllers

Boka en demo

företag,människor,på,arbete,i,en,upptagen,lyx,kontor,utrymme

GDPR Artikel 26 säkerställer att i händelse av gemensamma registeransvariga som arbetar med samma datauppsättning tydligt förstås ansvaret mellan alla parter, och registrerade hålls väl informerade om hur deras uppgifter hanteras mellan två distinkta men samarbetande registeransvariga.

GDPR Artikel 26 Lagtext

EU GDPR-version

Gemensamma kontroller

  1. Om två eller flera registeransvariga gemensamt bestämmer ändamålen och medlen för behandlingen ska de vara gemensamma registeransvariga. De ska på ett öppet sätt fastställa sina respektive ansvarsområden för att uppfylla skyldigheterna enligt denna förordning, särskilt när det gäller utövandet av den registrerades rättigheter och deras respektive skyldigheter att tillhandahålla den information som avses i artiklarna 13 och 14, med hjälp av av en överenskommelse mellan dem såvida inte och i den mån de registeransvarigas respektive ansvarsområden bestäms av unions- eller medlemsstatslagstiftningen som de registeransvariga omfattas av. Arrangemanget kan utse en kontaktpunkt för registrerade.

  2. Det arrangemang som avses i punkt 1 ska vederbörligen återspegla de gemensamma registeransvarigas respektive roller och relationer gentemot de registrerade. Kärnan i arrangemanget ska göras tillgänglig för den registrerade.

  3. Oavsett villkoren för det arrangemang som avses i punkt 1 får den registrerade utöva sina rättigheter enligt denna förordning gentemot och mot var och en av de registeransvariga.

Storbritanniens GDPR-version

Gemensamma kontroller

  1. Om två eller flera registeransvariga gemensamt bestämmer ändamålen och medlen för behandlingen ska de vara gemensamma registeransvariga. De ska på ett öppet sätt fastställa sina respektive ansvarsområden för att uppfylla skyldigheterna enligt denna förordning, särskilt när det gäller utövandet av den registrerades rättigheter och deras respektive skyldigheter att tillhandahålla den information som avses i artiklarna 13 och 14, med hjälp av av en överenskommelse mellan dem såvida inte och i den mån de registeransvarigas respektive ansvarsområden bestäms av unions- eller medlemsstatslagstiftningen som de registeransvariga omfattas av. Arrangemanget kan utse en kontaktpunkt för registrerade.

  2. Det arrangemang som avses i punkt 1 ska vederbörligen återspegla de gemensamma registeransvarigas respektive roller och relationer gentemot de registrerade. Kärnan i arrangemanget ska göras tillgänglig för den registrerade.

  3. Oavsett villkoren för det arrangemang som avses i punkt 1 får den registrerade utöva sina rättigheter enligt denna förordning gentemot och mot var och en av de registeransvariga.

Teknisk kommentar

Konceptet "Joint Controllership"

GDPR Artikel 26 definierar gemensamt registeransvarig som varje scenario där två registeransvariga "gemensamt bestämmer ändamålen och medlen för behandlingen". På en grundläggande nivå innebär detta att två gemensamma registeransvariga måste utföra praktiska, snarare än formella, roller i behandlingen av en individs uppgifter.

När man analyserar i vilken grad en part är en gemensam registeransvarig bör man uppmärksamma om en organisation utövar "avgörande kontroll" över en individs uppgifter eller inte.

Detta betyder inte att två kontrollanter ska ha ett jämnt, enhetligt inflytande under hela bearbetningsoperationen. Olika grader av kontroll kan utövas av varje kontrollant i olika skeden.

Hoppa till ämne

ISO 27701 klausul 7.2.7 (Joint PII Controllers) och EU GDPR artikel 26

I det här avsnittet talar vi om GDPR artiklarna 26 (1), 26 (2) och 26 (3)

Organisationer måste beskriva detaljerna för alla gemensamma PII-bearbetningsarrangemang, med en medföljande PII-kontrollant – detta inkluderar allmänna skyddsåtgärder och alla tillhörande säkerhetskrav.

Detta inkluderar:

  • varför PII delas;

  • datakategorier;

  • en allmän översikt över PII-bearbetningsoperationen;

  • alla relevanta roller och ansvarsområden;

  • hur integritetsinformationssäkerheten ska styras;

  • vilka åtgärder som ska vidtas i händelse av dataintrång;

  • hur PII ska behållas och förstöras när det inte längre behövs;

  • vad som händer när endera parten bryter mot avtalet;

  • vad endera partens skyldigheter är gentemot PII-huvudmän;

  • vilka mekanismer finns på plats för att ge PII-huvudmän tillämpliga detaljer i det gemensamma avtalet;

  • hur PII-rektorer kan göra officiella förfrågningar och hur man formulerar och levererar ett svar;

  • kontaktpunkter – både internt och för PII-huvudmän att använda.

Index över länkade EU GDPR-artiklar och ISO 27701-klausuler

GDPR-artikelISO 27701 klausulISO 27701 stödklausuler
EU GDPR artiklarna 26 (1) till 26 (3)ISO 27701 7.2.7Ingen

Hur ISMS.online hjälper

Med vår förbyggda miljö kan du beskriva och demonstrera ditt sätt att skydda dina kunders data i hela EU och Storbritannien på ett sätt som sömlöst passar in i ditt ledningssystem.

Du kan uppnå GDPR-efterlevnad med ISMS.online på ett ögonblick och enkelt visa att du skyddar data utöver vad som anses vara rimligt, allt på en säker, alltid-på plats.

Genom vår implementeringsmetod 'Adoptera, anpassa, lägg till' ger ISMS.online-plattformen vägledning vid varje steg, vilket minimerar ansträngningen som krävs för att visa att du följer GDPR.

Ta reda på mer av boka en 30 minuters demo.

Se ISMS.online
i aktion

Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo

Om du inte använder ISMS.online gör du ditt liv svårare än det behöver vara!
Mark Wightman
Teknisk chef Aluma
100 % av våra användare klarar certifieringen första gången
Boka din demo

ISMS.online stöder nu ISO 42001 - världens första AI Management System. Klicka för att ta reda på mer