GDPR Artikel 30 kräver att organisationer föra adekvata register (i huvudsak skriftliga räkenskaper) över all behandlingsrelaterade aktiviteter.
Denna skyldighet representerar uttrycket för flera databehandlingsprinciper:
Register över bearbetningsaktiviteter
- Varje personuppgiftsansvarig och, i förekommande fall, den registeransvariges företrädare, ska föra ett register över behandlingsaktiviteter under dess ansvar. Denna post ska innehålla all följande information:
- Namn och kontaktuppgifter för den personuppgiftsansvarige och, i förekommande fall, den gemensamma personuppgiftsansvarige, den registeransvariges företrädare och dataskyddsombudet.
- Syften med behandlingen.
- En beskrivning av kategorierna av registrerade och av kategorierna av personuppgifter.
- De kategorier av mottagare till vilka personuppgifterna har lämnats eller kommer att lämnas ut inklusive mottagare i tredjeländer eller internationella organisationer.
- I tillämpliga fall, överföringar av personuppgifter till ett tredjeland eller en internationell organisation, inklusive identifiering av det tredjelandet eller den internationella organisationen och, när det gäller överföringar som avses i artikel 49 andra stycket, dokumentation av lämpliga skyddsåtgärder.
- Om möjligt, de planerade tidsfristerna för radering av de olika kategorierna av uppgifter.
- Om möjligt, en allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som avses i artikel 32.
- Varje registerförare och, i förekommande fall, registerförarens företrädare ska föra ett register över alla kategorier av behandlingsaktiviteter som utförs på uppdrag av en registeransvarig, innehållande:
- Namn och kontaktuppgifter för personuppgiftsbiträdet eller personuppgiftsbiträdena och för varje personuppgiftsansvarig för vilken registerföraren agerar, och, i förekommande fall, för den personuppgiftsansvariges eller registerförarens företrädare och dataskyddsombudet.
- De kategorier av behandling som utförs på uppdrag av varje registeransvarig.
- I tillämpliga fall, överföringar av personuppgifter till ett tredjeland eller en internationell organisation, inklusive identifiering av det tredjelandet eller den internationella organisationen och, när det gäller överföringar som avses i artikel 49 andra stycket, dokumentation av lämpliga skyddsåtgärder.
- Om möjligt, en allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som avses i artikel 32.
- De register som avses i punkterna 1 och 2 ska vara skriftliga, även i elektronisk form.
- Den registeransvarige eller registerföraren och i förekommande fall den registeransvariges eller registerförarens företrädare ska på begäran göra journalen tillgänglig för tillsynsmyndigheten.
- De skyldigheter som avses i punkterna 1 och 2 ska inte gälla för ett företag eller en organisation som sysselsätter färre än 250 personer, såvida inte behandlingen som den utför sannolikt kommer att leda till en risk för de registrerades rättigheter och friheter, behandlingen är inte tillfällig. , eller så omfattar behandlingen särskilda kategorier av uppgifter som avses i artikel 9 eller personuppgifter som avser brottsdomar och brott som avses i artikel 1.
Boka en 30 minuters chatt med oss så visar vi dig hur
Register över bearbetningsaktiviteter
- Varje personuppgiftsansvarig och, i förekommande fall, den registeransvariges företrädare, ska föra ett register över behandlingsaktiviteter under dess ansvar. Denna post ska innehålla all följande information:
- Namn och kontaktuppgifter för den personuppgiftsansvarige och, i förekommande fall, den gemensamma personuppgiftsansvarige, den registeransvariges företrädare och dataskyddsombudet.
- Syften med behandlingen.
- En beskrivning av kategorierna av registrerade och av kategorierna av personuppgifter.
- De kategorier av mottagare till vilka personuppgifterna har lämnats eller kommer att lämnas ut inklusive mottagare i tredjeländer eller internationella organisationer.
- I tillämpliga fall, överföringar av personuppgifter till ett tredjeland eller en internationell organisation, inklusive identifiering av det tredjelandet eller den internationella organisationen och, när det gäller överföringar som avses i artikel 49 andra stycket, dokumentation av lämpliga skyddsåtgärder.
- Om möjligt, de planerade tidsfristerna för radering av de olika kategorierna av uppgifter.
- Om möjligt, en allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som avses i artikel 32, eller, i förekommande fall, de säkerhetsåtgärder som avses i 1 § tredje stycket i 28 års lag.
- Varje registerförare och, i förekommande fall, registerförarens företrädare ska föra ett register över alla kategorier av behandlingsaktiviteter som utförs på uppdrag av en registeransvarig, innehållande:
- Namn och kontaktuppgifter för personuppgiftsbiträdet eller personuppgiftsbiträdena och för varje personuppgiftsansvarig för vilken registerföraren agerar, och, i förekommande fall, för den personuppgiftsansvariges eller registerförarens företrädare och dataskyddsombudet.
- De kategorier av behandling som utförs på uppdrag av varje registeransvarig.
- I tillämpliga fall, överföringar av personuppgifter till ett tredjeland eller en internationell organisation, inklusive identifiering av det tredjelandet eller den internationella organisationen och, när det gäller överföringar som avses i artikel 49 andra stycket, dokumentation av lämpliga skyddsåtgärder.
- Om möjligt, en allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som avses i artikel 32. Eller, i förekommande fall, de säkerhetsåtgärder som avses i 1 § tredje stycket i 28 års lag.
- De register som avses i punkterna 1 och 2 ska vara skriftliga, även i elektronisk form.
- Den registeransvarige eller registerföraren och i förekommande fall den registeransvariges eller registerförarens företrädare ska på begäran göra journalen tillgänglig för kommissionären.
- De skyldigheter som avses i punkterna 1 och 2 ska inte gälla för ett företag eller en organisation som sysselsätter färre än 250 personer, såvida inte behandlingen som den utför sannolikt kommer att leda till en risk för de registrerades rättigheter och friheter, behandlingen är inte tillfällig. , eller så omfattar behandlingen särskilda kategorier av uppgifter som avses i artikel 9 eller personuppgifter som avser brottsdomar och brott som avses i artikel 1.
GDPR-artikel 30 tar upp fyra nyckelområden för registerhållning:
Artikel 30 beskriver också undantag som tillämpas på något av ovanstående områden – framför allt det någon organisation som sysselsätter mindre än 250 personer är inte skyldig att upprätthålla bearbetningsregister, utom där de registrerades rättigheter och friheter "inte är tillfälliga", eller där organisationen behandlar "särskilda kategorier" av uppgifter eller brottsuppgifter.
Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo
Om du inte använder ISMS.online gör du ditt liv svårare än det behöver vara!
När man tar itu med säkerhet inom leverantörsrelationer bör organisationer se till att båda parter är medvetna om sina skyldigheter gentemot integritetsinformationssäkerhet och varandra.
När de gör det bör organisationerna:
Organisationer bör också upprätthålla en register över avtal, som listar alla avtal som hålls med andra organisationer.
Organisationer bör följa juridiska, lagstadgade, regulatoriska och kontraktuella krav när:
Organisationer bör följa procedurer som tillåter dem identifiera, analysera och förstå lagstiftande och reglerande skyldigheter – särskilt de som handlar om integritetsskydd och PII – var de än är verksamma.
Organisationer bör ständigt vara uppmärksamma på sina skyldigheter om integritetsskydd när de ingår nya avtal med tredje part, leverantörer och entreprenörer.
När organisationer implementerar krypteringsmetoder för att stärka integritetsskyddet och skydda PII bör organisationer:
Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo
I det här avsnittet talar vi om GDPR-artiklarna 30 (1)(a), 30 (1)(b), 30 (1)(c), 30 (1)(d), 30 (1)(f), 30 ( 1)(g), 30 (3), 30 (4) och 30 (5)
Organisationer måste upprätthålla en noggrann uppsättning register som stödjer deras handlingar och skyldigheter som PII-behandlare.
Poster (även kallade "lagerlistor") bör ha en delegerad ägare och kan innehålla:
Då och då kan det uppstå behov av att överföra PII mellan två distinkta jurisdiktioner. När detta inträffar bör organisationer motivera och dokumentera behovet av att göra det.
Regionala lagar och regler varierar beroende på var informationen kommer ifrån och var den ska överföras.
Organisationer bör ta hänsyn till alla relevanta lagar, ramar och förordningar närhelst de behöver överföra data mellan jurisdiktioner, inklusive användning av en utsedd tillsynsmyndighet.
Organisationer bör föra en dokumenterad lista över de länder och organisationer som de potentiellt skulle kunna överföra sina PII till, under rimliga omständigheter.
När de väl har formulerat en lista bör organisationer göra informationen tillgänglig för sina kunder, inklusive eventuella underleverantörer av PII-operationer (se ISO 27701 klausul 7.5.1).
Under vissa omständigheter – särskilt när det gäller brottsutredningar – kan sekretesslagar hindra organisationen från att avslöja identiteten på destinationsländer och organisationer i förväg (se ISO 27701 paragraf 8.5.4 och 8.5.5).
Det är oerhört viktigt att organisationer håller ett korrekt register över PII-överföringar till tredjepartsorganisationer.
Organisationer bör kunna registrera PII som har ändrats på något sätt (i linje med de registeransvariges skyldigheter och mål), eller överföringar som krävs innan de utfärdar en begäran från PII-huvudmannen om att ändra eller radera PII.
Register bör vara föremål för en proportionell lagringsperiod och bör omfattas av regler för dataminimering som endast returnerar det som behövs för att uppfylla ett specifikt mål.
Organisationer bör logga alla avslöjande av PII till tredje part, inklusive följande tre delar av information:
Det är standardpraxis att avslöja PII av olika anledningar, under hela organisationens informationsbehandlingsverksamhet.
Loggar bör göras över avslöjande som sker under normal affärspraxis och eventuella speciella omständigheter som uppstår (t.ex. regulatoriska eller juridiska utredningar.
Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo
I det här avsnittet talar vi om GDPR-artiklarna 30 (2)(a), 30 (2)(b), 30 (3), 30 (4) och 30 (5)
Organisationer bör föra korrekta och uppdaterade register som gör det möjligt för dem vid varje given tidpunkt att bevisa efterlevnad av eventuella avtalsförpliktelser relaterade till behandlingen av PII.
Beroende på jurisdiktion kan uppgifterna behöva innehålla:
Organisationer måste ha konkreta planer på plats som styr hur PII kan vara returnerad, överförd or anordnad av och göra alla sådana policyer tillgängliga för kunden.
Det finns olika scenarier som kräver bortskaffande av PII, inklusive (men inte begränsat till):
Organisationer måste tillhandahålla kategoriska försäkringar om att alla PII som inte längre behövs kommer att förstöras i enlighet med gällande lagstiftning eller regionala riktlinjer.
Alla avfallshanteringspolicyer bör vara tillgängliga för kunden på begäran och bör omfatta den tidsperiod som organisationer måste förstöra PII, när ett kontrakt har sagts upp.
Organisationer bör föra en korrekt, uppdaterad lista över alla länder eller organisationer där PII har potential att överföras till.
Kunder bör kunna se en lista över potentiella mottagarländer och organisationer vid varje given tidpunkt, inklusive en logg över alla länder som är involverade i PII-underleverantörer (se ISO 27701 klausul 8.5.1).
Under vissa omständigheter kommer organisationer inte alltid att kunna avslöja i förväg var förfrågningar om överföring har kommit från – särskilt när det gäller fall av brottmål. Detta är oundvikligt, och det bör vara organisationens prioritet att upprätthålla integriteten hos en brottsbekämpande operation (se ISO 27701 klausulerna 7.5.1, 8.5.4 och 8.5.5).
Organisationer bör noggrant registrera alla instanser där de behöver avslöja PII till en tredje part.
Närhelst PII avslöjas – antingen som en del av vanliga affärsrutiner eller under speciella omständigheter, såsom en pågående juridisk eller regulatorisk process – bör organisationer registrera vad som har avslöjats, mottagaren och den bakomliggande orsaken till att göra det.
GDPR-artikel | ISO 27701 klausul | ISO 27002 kontroller |
---|---|---|
EU GDPR artikel 30 (2)(d) | 6.12.1.2 | 5.10 5.12 5.13 5.20 |
EU GDPR artikel 30 (2)(d) | 6.15.1.1 | 5.20 |
EU GDPR artiklarna 30 (1) (a) till 30 (5) | 7.2.8 | Ingen |
EU GDPR artikel 30 (1)(e) | 7.5.1 | Ingen |
EU GDPR artikel 30 (1)(e) | 7.5.2 7.5.1 8.5.4 8.5.5 | Ingen |
EU GDPR artikel 30 (1)(e) | 7.5.3 | Ingen |
EU GDPR artikel 30 (1)(d) | 7.5.4 | Ingen |
EU GDPR artiklarna 30 (2) (a) till 30 (5) | 8.2.6 | Ingen |
EU GDPR artikel 30 (1)(f) | 8.4.2 | Ingen |
EU GDPR artikel 30 (2)(c) | 8.5.2 7.5.1 8.5.1 8.5.4 8.5.5 | Ingen |
EU GDPR artikel 30 (1)(d) | 8.5.3 | Ingen |
ISMS.online hjälper dig att visa en skyddsnivå som överstiger "rimligt" på en säker, alltid på plats.
Vi gör datakartläggning till en enkel uppgift. Genom att lägga till din organisations information i vårt förkonfigurerade dynamiska verktyg för registrering av bearbetningsaktivitet kan du enkelt spela in och granska allt.
Om det värsta händer är du redo.
Med våra verktyg kan du planera, kommunicera, dokumentera och lära dig av varje intrång.
Ta reda på mer av boka en 30 minuters demo.
Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo
Begär offert