Hur man visar efterlevnad av GDPR artikel 30

Storbritanniens GDPR-version

Register över bearbetningsaktiviteter

1. Varje personuppgiftsansvarig och, i förekommande fall, den registeransvariges företrädare, ska föra ett register över behandlingsaktiviteter under dess ansvar. Denna post ska innehålla all följande information:
• Namn och kontaktuppgifter för den personuppgiftsansvarige och, i förekommande fall, den gemensamma personuppgiftsansvarige, den registeransvariges företrädare och dataskyddsombudet.
• Syften med behandlingen.
• En beskrivning av kategorierna av registrerade och av kategorierna av personuppgifter.
• De kategorier av mottagare till vilka personuppgifterna har lämnats eller kommer att lämnas ut inklusive mottagare i tredjeländer eller internationella organisationer.
• I tillämpliga fall, överföringar av personuppgifter till ett tredjeland eller en internationell organisation, inklusive identifiering av det tredjelandet eller den internationella organisationen och, när det gäller överföringar som avses i artikel 49 andra stycket, dokumentation av lämpliga skyddsåtgärder.
• Om möjligt, de planerade tidsfristerna för radering av de olika kategorierna av uppgifter.
• Om möjligt, en allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som avses i artikel 32, eller, i förekommande fall, de säkerhetsåtgärder som avses i 1 § tredje stycket i 28 års lag.
2. Varje registerförare och, i förekommande fall, registerförarens företrädare ska föra ett register över alla kategorier av behandlingsaktiviteter som utförs på uppdrag av en registeransvarig, innehållande:
• Namn och kontaktuppgifter för personuppgiftsbiträdet eller personuppgiftsbiträdena och för varje personuppgiftsansvarig för vilken registerföraren agerar, och, i förekommande fall, för den personuppgiftsansvariges eller registerförarens företrädare och dataskyddsombudet.
• De kategorier av behandling som utförs på uppdrag av varje registeransvarig.
• I tillämpliga fall, överföringar av personuppgifter till ett tredjeland eller en internationell organisation, inklusive identifiering av det tredjelandet eller den internationella organisationen och, när det gäller överföringar som avses i artikel 49 andra stycket, dokumentation av lämpliga skyddsåtgärder.
• Om möjligt, en allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som avses i artikel 32. Eller, i förekommande fall, de säkerhetsåtgärder som avses i 1 § tredje stycket i 28 års lag.
3. De register som avses i punkterna 1 och 2 ska vara skriftliga, även i elektronisk form.
4. Den registeransvarige eller registerföraren och i förekommande fall den registeransvariges eller registerförarens företrädare ska på begäran göra journalen tillgänglig för kommissionären.
5. De skyldigheter som avses i punkterna 1 och 2 ska inte gälla för ett företag eller en organisation som sysselsätter färre än 250 personer, såvida inte behandlingen som den utför sannolikt kommer att leda till en risk för de registrerades rättigheter och friheter, behandlingen är inte tillfällig. , eller så omfattar behandlingen särskilda kategorier av uppgifter som avses i artikel 9 eller personuppgifter som avser brottsdomar och brott som avses i artikel 1.

Teknisk kommentar

GDPR-artikel 30 tar upp fyra nyckelområden för registerhållning:

1. Register över behandlingsaktiviteter av den registeransvarige.
2. Register över bearbetningsaktiviteter av processorn.
3. Skriftliga skivformat.
4. Tillsynsmyndigheternas befogenheter.

Artikel 30 beskriver också undantag som tillämpas på något av ovanstående områden – framför allt det någon organisation som sysselsätter mindre än 250 personer är inte skyldig att upprätthålla bearbetningsregister, utom där de registrerades rättigheter och friheter "inte är tillfälliga", eller där organisationen behandlar "särskilda kategorier" av uppgifter eller brottsuppgifter.

ISO 27701 klausul 6.12.1.2 (Adressering av säkerhet inom leverantörsavtal) och EU GDPR artikel 30 (2)(d)

När man tar itu med säkerhet inom leverantörsrelationer bör organisationer se till att båda parter är medvetna om sina skyldigheter gentemot integritetsinformationssäkerhet och varandra.

När de gör det bör organisationerna:

• Erbjud en tydlig beskrivning som beskriver sekretessinformationen som behöver nås och hur den informationen kommer att nås.
• Klassificera integritetsinformationen som ska nås i enlighet med ett accepterat klassificeringssystem (se ISO 27002 Kontrollerna 5.10, 5.12 och 5.13).
• Ta tillräcklig hänsyn till leverantörens eget klassificeringssystem.
• Kategorisera rättigheter i fyra huvudområden – juridiska, lagstadgade, regulatoriska och avtalsenliga – med en detaljerad beskrivning av skyldigheter per område.
• Se till att varje part är skyldig att införa en serie kontroller som övervakar, bedömer och hanterar risknivåer för integritetsinformationssäkerhet.
• Beskriv behovet av leverantörspersonal att följa en organisations informationssäkerhetsstandarder (se ISO 27002 Kontroll 5.20).
• Underlätta en tydlig förståelse av vad som utgör både acceptabel och oacceptabel användning av sekretessinformation och fysiska och virtuella tillgångar från endera parten.
• Anta auktoriseringskontroller som krävs för att personal på leverantörssidan ska få tillgång till eller se en organisations sekretessinformation.
• Tänk på vad som händer vid avtalsbrott eller eventuellt underlåtenhet att följa individuella bestämmelser.
• Beskriv en incidenthanteringsprocedur, inklusive hur större händelser kommuniceras.
• Se till att personalen får utbildning i säkerhetsmedvetenhet.
• (Om leverantören har tillåtelse att använda underleverantörer) lägg till krav för att säkerställa att underleverantörer är anpassade till samma uppsättning säkerhetsstandarder för sekretessinformation som leverantören.
• Tänk på hur leverantörspersonal kontrolleras innan de interagerar med sekretessinformation.
• Ange behovet av tredjepartsintyg som adresserar leverantörens förmåga att uppfylla organisatoriska säkerhetskrav för integritetsinformation.
• Har avtalsenlig rätt att granska en leverantörs rutiner.
• Kräv att leverantörer levererar rapporter som beskriver effektiviteten i deras egna processer och procedurer.
• Fokusera på att vidta åtgärder för att påverka en snabb och noggrann lösning av eventuella defekter eller konflikter.
• Se till att leverantörer arbetar med en adekvat BUDR-policy för att skydda integriteten och tillgängligheten för PII och integritetsrelaterade tillgångar.
• Kräv en policy för förändringshantering på leverantörssidan som informerar organisationen om alla förändringar som har potential att påverka integritetsskyddet.
• Implementera fysiska säkerhetskontroller som är proportionella mot känsligheten hos de data som lagras och bearbetas.
• (Där data ska överföras) be leverantörer att se till att data och tillgångar är skyddade från förlust, skada eller korruption.
• Ange en lista över åtgärder som ska vidtas av endera parten i händelse av uppsägning.
• Be leverantören att beskriva hur de avser att förstöra integritetsinformation efter uppsägning, eller att uppgifterna inte längre behövs.
• Vidta åtgärder för att säkerställa minimala affärsavbrott under en överlämningsperiod.

Organisationer bör också upprätthålla en register över avtal, som listar alla avtal som hålls med andra organisationer.

Stöder ISO 27002 kontroller

• ISO 27002 5.10
• ISO 27002 5.12
• ISO 27002 5.13
• ISO 27002 5.20

ISO 27701 klausul 6.15.1.1 (Identifiering av tillämplig lagstiftning och kontraktskrav) och EU GDPR artikel 30 (2)(d)

Organisationer bör följa juridiska, lagstadgade, regulatoriska och kontraktuella krav när:

• Utarbeta och/eller ändra säkerhetsrutiner för integritetsinformation.
• Kategorisering av information.
• Inleda riskbedömningar relaterade till aktiviteter för integritetsinformationssäkerhet.
• Skapa leverantörsrelationer, inklusive eventuella avtalsförpliktelser genom hela leveranskedjan.

Organisationer bör följa procedurer som tillåter dem identifiera, analysera och förstå lagstiftande och reglerande skyldigheter – särskilt de som handlar om integritetsskydd och PII – var de än är verksamma.

Organisationer bör ständigt vara uppmärksamma på sina skyldigheter om integritetsskydd när de ingår nya avtal med tredje part, leverantörer och entreprenörer.

När organisationer implementerar krypteringsmetoder för att stärka integritetsskyddet och skydda PII bör organisationer:

• Följ alla lagar som reglerar import och export av hårdvara eller mjukvara som har potential att fylla en kryptografisk funktion
• Ge tillgång till krypterad information enligt lagarna i den jurisdiktion de är verksamma inom.
• Använd tre nyckelelement för kryptering:
1. Digitala signaturer.
2. Tätningar.
3. Digitala certifikat.

Stöder ISO 27002 kontroller

• ISO 27002 5.20

ISO 27701 klausul 7.2.8 (Records Related to Processing PII) och EU GDPR Artikel 30

I det här avsnittet talar vi om GDPR-artiklarna 30 (1)(a), 30 (1)(b), 30 (1)(c), 30 (1)(d), 30 (1)(f), 30 ( 1)(g), 30 (3), 30 (4) och 30 (5)

Organisationer måste upprätthålla en noggrann uppsättning register som stödjer deras handlingar och skyldigheter som PII-behandlare.

Poster (även kallade "lagerlistor") bör ha en delegerad ägare och kan innehålla:

• Operational – den specifika typen av PII-bearbetning som genomförs.
• Motivering – varför PII behandlas.
• Kategoriskt – listor över PII-mottagare, inklusive internationella organisationer.
• Säkerhet – en översikt över hur PII skyddas.
• Integritet – det vill säga en integritetskonsekvensbedömningsrapport.

ISO 27701 klausul 7.5.1 (Identifiera grund för PII-överföring mellan jurisdiktioner) och EU GDPR artikel 30 (1)(e)

Då och då kan det uppstå behov av att överföra PII mellan två distinkta jurisdiktioner. När detta inträffar bör organisationer motivera och dokumentera behovet av att göra det.

Regionala lagar och regler varierar beroende på var informationen kommer ifrån och var den ska överföras.

Organisationer bör ta hänsyn till alla relevanta lagar, ramar och förordningar närhelst de behöver överföra data mellan jurisdiktioner, inklusive användning av en utsedd tillsynsmyndighet.

ISO 27701 klausul 7.5.2 (Länder och internationella organisationer till vilka PII kan överföras) och EU GDPR artikel 30 (1)(e)

Organisationer bör föra en dokumenterad lista över de länder och organisationer som de potentiellt skulle kunna överföra sina PII till, under rimliga omständigheter.

När de väl har formulerat en lista bör organisationer göra informationen tillgänglig för sina kunder, inklusive eventuella underleverantörer av PII-operationer (se ISO 27701 klausul 7.5.1).

Under vissa omständigheter – särskilt när det gäller brottsutredningar – kan sekretesslagar hindra organisationen från att avslöja identiteten på destinationsländer och organisationer i förväg (se ISO 27701 paragraf 8.5.4 och 8.5.5).

Stöder ISO 27701 kontroller

• ISO 27701 7.5.1
• ISO 27701 8.5.4
• ISO 27701 8.5.5

ISO 27701 klausul 7.5.3 (Records of Transfer of PII) och EU GDPR artikel 30 (1)(e)

Det är oerhört viktigt att organisationer håller ett korrekt register över PII-överföringar till tredjepartsorganisationer.

Organisationer bör kunna registrera PII som har ändrats på något sätt (i linje med de registeransvariges skyldigheter och mål), eller överföringar som krävs innan de utfärdar en begäran från PII-huvudmannen om att ändra eller radera PII.

Register bör vara föremål för en proportionell lagringsperiod och bör omfattas av regler för dataminimering som endast returnerar det som behövs för att uppfylla ett specifikt mål.

ISO 27701 klausul 7.5.4 (Records of PII Disclosure to Third Party) och EU GDPR Artikel 30 (1)(d)

Organisationer bör logga alla avslöjande av PII till tredje part, inklusive följande tre delar av information:

• Vad har avslöjats.
• Vem har informationen lämnats ut till.
• När avslöjandet gjordes (datum och tid).

Det är standardpraxis att avslöja PII av olika anledningar, under hela organisationens informationsbehandlingsverksamhet.

Loggar bör göras över avslöjande som sker under normal affärspraxis och eventuella speciella omständigheter som uppstår (t.ex. regulatoriska eller juridiska utredningar.

ISO 27701 klausul 8.2.6 (Records Related to Processing PII) och EU GDPR Artikel 30

I det här avsnittet talar vi om GDPR-artiklarna 30 (2)(a), 30 (2)(b), 30 (3), 30 (4) och 30 (5)

Organisationer bör föra korrekta och uppdaterade register som gör det möjligt för dem vid varje given tidpunkt att bevisa efterlevnad av eventuella avtalsförpliktelser relaterade till behandlingen av PII.

Beroende på jurisdiktion kan uppgifterna behöva innehålla:

• Kategoriska listor över bearbetning, på kund-för-kund-basis.
• Eventuella dataöverföringar till andra länder eller internationella organisationer.
• Tekniska säkerhetskontroller.

ISO 27701 klausul 8.4.2 (Återlämnande, överföring eller bortskaffande av PII) och EU GDPR artikel 30 (1)(f)

Organisationer måste ha konkreta planer på plats som styr hur PII kan vara returnerad, överförd or anordnad av och göra alla sådana policyer tillgängliga för kunden.

• Återlämna eventuell PII till kunden.
• Tillhandahållande av PII till en annan organisation.
• Förstör information.
• Avidentifiering.
• Arkivering.

Det finns olika scenarier som kräver bortskaffande av PII, inklusive (men inte begränsat till):

Organisationer måste tillhandahålla kategoriska försäkringar om att alla PII som inte längre behövs kommer att förstöras i enlighet med gällande lagstiftning eller regionala riktlinjer.

Alla avfallshanteringspolicyer bör vara tillgängliga för kunden på begäran och bör omfatta den tidsperiod som organisationer måste förstöra PII, när ett kontrakt har sagts upp.

ISO 27701 klausul 8.5.2 (Länder och internationella organisationer till vilka PII kan överföras) och EU GDPR artikel 30 (2)(c)

Organisationer bör föra en korrekt, uppdaterad lista över alla länder eller organisationer där PII har potential att överföras till.

Kunder bör kunna se en lista över potentiella mottagarländer och organisationer vid varje given tidpunkt, inklusive en logg över alla länder som är involverade i PII-underleverantörer (se ISO 27701 klausul 8.5.1).

Under vissa omständigheter kommer organisationer inte alltid att kunna avslöja i förväg var förfrågningar om överföring har kommit från – särskilt när det gäller fall av brottmål. Detta är oundvikligt, och det bör vara organisationens prioritet att upprätthålla integriteten hos en brottsbekämpande operation (se ISO 27701 klausulerna 7.5.1, 8.5.4 och 8.5.5).

Stöder ISO 27701 kontroller

• ISO 27701 7.5.1
• ISO 27701 8.5.1
• ISO 27701 8.5.4
• ISO 27701 8.5.5

ISO 27701 klausul 8.5.3 (Records of PII Disclosure to Third Party) och EU GDPR Artikel 30 (1)(d)

Organisationer bör noggrant registrera alla instanser där de behöver avslöja PII till en tredje part.

Närhelst PII avslöjas – antingen som en del av vanliga affärsrutiner eller under speciella omständigheter, såsom en pågående juridisk eller regulatorisk process – bör organisationer registrera vad som har avslöjats, mottagaren och den bakomliggande orsaken till att göra det.

Stöder ISO 27701-klausuler och ISO 27002-kontroller

Hur ISMS.online hjälper

ISMS.online hjälper dig att visa en skyddsnivå som överstiger "rimligt" på en säker, alltid på plats.

Vi gör datakartläggning till en enkel uppgift. Genom att lägga till din organisations information i vårt förkonfigurerade dynamiska verktyg för registrering av bearbetningsaktivitet kan du enkelt spela in och granska allt.

Om det värsta händer är du redo.

Med våra verktyg kan du planera, kommunicera, dokumentera och lära dig av varje intrång.

Ta reda på mer av boka en 30 minuters demo.