'n Inleiding tot GDPR-nakoming

Voldoen u organisasie aan die GDPR?

Bespreek 'n demo

wolkekrabber, glas, fasades, op, 'n, helder, sonnige, dag, met, sonstrale

Wat is die Algemene Databeskermingsregulasie (GDPR)?

GDPR stel die standaard vir databeskerming, privaatheid en individuele regte. Gestig deur die Europese Unie, dwing hierdie regulasie streng af die beskerming van data wette om die privaatheid van EU-burgers te beskerm, ongeag waar die data verwerk word.

Organisasies wat persoonlike data van EU-burgers hanteer, is verplig om hierdie data te beveilig en te beskerm of om regsgevolge te ly. Spesifieke verpligtinge sluit in die handhawing van deursigtigheid in die gebruik van versamelde data, die implementering van streng sekuriteitsmaatreëls en die nakoming van versoeke van individue oor hul persoonlike data.

Is daar boetes vir nie-nakoming van GDPR?

Finansiële boetes

Ja, die ignorering of oortreding van GDPR-riglyne kan ernstige strawwe tot gevolg hê.

Organisasies wat nie aan die vereistes voldoen nie, loop die risiko om boetes te verlammen, wat tot 4% van hul wêreldwye jaarlikse omset of €20 miljoen bereik – wat ook al die grootste is. Dit beklemtoon die erns van die beskerming van persoonlike data en die noodsaaklikheid om aan GDPR-reëls te voldoen.

Reputasieskade

In 'n wêreld waar kliënte hul privaatheid waardeer, data oortredings beteken dikwels dat hulle hul vertroue verloor. Sulke voorvalle, eens publiek, kan lei tot 'n ernstige verlies aan vertroue onder kliënte en die breër publiek, wat moontlik lei tot 'n vermindering in kliëntebasis en omset.

Regstappe

Laastens kan nie-nakoming regstappe aanleiding gee. GDPR verleen aan individue 'n meer omvattende stel regte oor hul data. Dit sluit die reg in om vergoeding te soek vir nie-materiële skade soos nood, wat 'n afwyking van die vorige wetgewing is.

As 'n organisasie versuim om daaraan te voldoen, kan dit deur 'n individu gedagvaar word. Hierdie regsgedinge kan lei tot skadevergoeding wat aan die individu toegeken word en verhoogde regskoste vir die organisasie.

Wat is die voordele daarvan om aan die GDPR te voldoen?

Terwyl voldoening aansienlike inspanning verg, dra die voordele van GDPR-konformiteit aansienlik by tot die versterking van 'n organisasie se algehele databestuur.

Dit sluit versterking in verbruikersvertroue, wat beter datasekuriteit verseker, data-instandhoudingskoste verminder en 'n mededingende voordeel bied. Die gebruik van GDPR Voldoeningsagteware soos ISMS.online kan help met hierdie proses, alhoewel die omvang van die gebruik daarvan gelei moet word deur die spesifieke behoeftes en doelwitte van die organisasie.

In hierdie era van datagedrewe besluitneming is die bereiking van GDPR-nakoming nie bloot 'n wetlike verpligting nie, dit bied ook 'n strategiese voorsprong en dien as 'n bewys van die organisasie se verbintenis tot databeskerming.

Met omvattende begrip en ywerige toepassing kan jou organisasie GDPR-nakoming van 'n veeleisende verantwoordelikheid in 'n strategiese bate verander.

Hoe kan u organisasie voldoening aan GDPR toon?

Voer 'n GDPR-voldoeningsoudit uit

Om 'n GDPR-voldoeningsoudit uit te voer kan intimiderend lyk, maar deur die betrokke sleutelstappe te verstaan ​​en die proses in lyn te bring met jou organisasie se databeskermingslandskap, kan dit 'n hanteerbare taak word.

Verstaan ​​jou organisasies se datalandskap

Voer 'n volledige hersiening van alle aktiewe uit dataverwerking aktiwiteite binne jou organisasie.

Verstaan ​​jou organisasies se databeskermingsmaatreëls

Nadat u die datalandskap gekarteer het, moet u aandag daarop vestig om u databeskermingsmaatreëls wat binne u organisasie gevind word, krities te assesseer.

In die konteks van GDPR verdien vier sleutelfasette aandag – sekuriteitskontroles wat ontwerp is om data te beskerm, enkripsiemetodes wat toegepas word om data te beveilig, toegangskontroles wat geïmplementeer is om datatoegang te beperk, en databehoudbeleide, wat die lewensduur van gestoorde data dikteer.

Hersien jou organisasies se dataverwerkingsooreenkomste

Voer 'n in-diepte hersiening van dataverwerkingsooreenkomste uit, evalueer die kontraksjablone, ondersoek klousules wat verband hou met data-oordragte, veral in 'n internasionale konteks, en assesseer die kontrak se voldoening aan gestelde wetlike parameters.

Maak seker dat u organisasie sy databeskermingsmaatreëls gereeld opdateer

Alhoewel dit belangrik is om te verseker dat sekuriteitsmaatreëls belangrik is, sal gereelde hersiening en opdaterings van hierdie maatreëls hul voortgesette doeltreffendheid met verloop van tyd waarborg.

Die rol van maatskappye in die nakoming van GDPR-beginsels

Die nakoming van uitgebreide en verskeie GDPR-beginsels is nie net verpligtend vir organisasies wat met Europese Unie-burgers se data handel nie, maar dit is ook 'n manier vir hulle om integriteit te toon en beste praktyke in databeskerming te omhels.

Die nakoming van hierdie GDPR-beginsels illustreer hul verbintenis om verbruikers se data te beskerm, hoofsaaklik dié wat in GDPR Artikel 5, Artikel 6 en Artikel 7 genoem word.

Die beginsels, soos uitgelig deur GDPR, sluit in:

  • Regmatigheid, regverdigheid en deursigtigheid
  • Doelbeperking
  • Data Minimalisering
  • Akkuraatheid
  • Berging beperking
  • Integriteit en vertroulikheid

Elke beginsel is 'n pilaar wat die struktuur van handhaaf data privaatheid wette. Ignoreer of oortreding van enige van hierdie beginsels kan ernstige finansiële en reputasie-reperkussies hê.

Die beginsel, “Integriteit en vertroulikheid,” vereis eksplisiete aandag aangesien dit die organisasie se toewyding beliggaam om data teen onwettige verwerking en toevallige verlies te beskerm.

Hoe ISMS.online organisasies kan help om GDPR-voldoening te toon

ISMS.online bied oplossings om organisasies te lei in die bereiking en instandhouding van GDPR-nakoming.

Ons verskeidenheid dienste en digitale gereedskap is ontwerp om die voldoeningsproses te stroomlyn.

Deur 'n SaaS-platform te wees, kan jy die krag van voldoening enige plek en enige tyd ontsluit.

Sien ISMS.online
in aksie

Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo

Vertrou deur maatskappye oral
  • Eenvoudig en maklik om te gebruik
  • Ontwerp vir ISO 27001 sukses
  • Bespaar u tyd en geld
Bespreek jou demo
img

Sleutel GDPR-artikels

GDPR Artikel 5

GDPR Artikel 5 moedig organisasies aan om aan databeskermingsbeginsels te voldoen, soos:

  • Billike, wettige en deursigtige datahantering: Verseker dat die inligting nie sleg gebruik of verkeerd geïnterpreteer word nie.
  • Doelbeperkings: Hierdie beginsel vereis regverdiging vir elke data-insameling.
  • Data Minimalisering: Besighede moet data-insameling beperk tot slegs die vereiste.
  • Akkuraatheid en geldeenheid: Data moet bygewerk word en regstellingsmeganismes moet in plek wees.

GDPR Artikel 6

GDPR Artikel 6 stel die grondreëls vir regsverwerking. Dit bring verskeie regsgronde aan die lig, soos:

  • Individu se toestemming: 'n Duidelike ooreenkoms van die individu is verpligtend.

  • Nodig as gevolg van Kontrak: Wetlike verpligtinge uit 'n kontrak kan lei tot dataverwerking.

  • Wetlike verpligting: Gevalle kan voorkom wanneer dataverwerking deur die wet gemagtig word.

  • Vitale belange: Soms word dataverwerking krities vir die beskerming van lewensbelangrike belange.

GDPR Artikel 7

Deur voorwaardes vir geldige toestemming in te stel, beklemtoon GDPR-artikel 7 die belangrikheid daarvan vir besighede. Om aan hierdie voorwaardes te voldoen, moet toestemming van 'n individu duidelik, spesifiek, bevestigend, goed ingelig en ondubbelsinnig wees.

GDPR Artikel 12

GDPR Artikel 12 maak die behoefte aan deursigtige kommunikasie duidelik. Dit vereis dat inligting in 'n verstaanbare en toeganklike formaat aangebied word, wat individue se regte met betrekking tot hul data 'n hupstoot gee.

Lys van GDPR-artikels en hoe om nakoming te toon

Hieronder sal jy 'n volledige tabel van relevante en bykomende GDPR-artikels vind – klik asseblief op elke individuele een om in meer besonderhede te lees en hoe om voldoening aan GDPR te wys.

GDPR artikelNaam van artikel
GDPR Artikel 1Onderwerp en doelstellings
GDPR Artikel 5Beginsels met betrekking tot die verwerking van persoonlike data
GDPR Artikel 6Wettigheid van verwerking
GDPR Artikel 7Voorwaardes vir Toestemming
GDPR Artikel 8Voorwaardes van toepassing op kind se toestemming in verband met inligtingsgemeenskapdienste
GDPR Artikel 11Verwerking wat nie identifikasie vereis nie
GDPR Artikel 12Deursigtige inligting, kommunikasie en modaliteite vir die uitoefening van die regte van die datasubjek
GDPR Artikel 13Inligting wat verskaf moet word waar persoonlike data van die datasubjek ingesamel word
GDPR Artikel 14Inligting wat verskaf moet word waar persoonlike data nie van die datasubjek verkry is nie
GDPR Artikel 15Reg van toegang deur die datasubjek
GDPR Artikel 16Reg tot regstelling
GDPR Artikel 17Reg op uitvee ('Reg om vergeet te word')
GDPR Artikel 18Reg op beperking van verwerking
GDPR Artikel 19Kennisgewingverpligting met betrekking tot regstelling of uitvee van persoonlike data of beperking van verwerking
GDPR Artikel 20Reg op data -oordrag
GDPR Artikel 21Reg om te beswaar
GDPR Artikel 22Outomatiese individuele besluitneming, insluitend profilering
GDPR Artikel 23Beperkings
GDPR Artikel 24Verantwoordelikheid van die Kontroleur
GDPR Artikel 25Databeskerming deur ontwerp en by verstek
GDPR Artikel 26Gesamentlike beheerders
GDPR Artikel 27Verteenwoordigers van beheerders of verwerkers wat nie in die Unie gevestig is nie
GDPR Artikel 28verwerker
GDPR Artikel 29Verwerking onder die gesag van die kontroleerder of verwerker
GDPR Artikel 30Rekords van verwerkingsaktiwiteite
GDPR Artikel 31Samewerking met die Toesighoudende Owerheid
GDPR Artikel 32Sekuriteit van verwerking
GDPR Artikel 33Kennisgewing van 'n Persoonlike Data-oortreding aan die Toesighoudende Owerheid
GDPR Artikel 34Kommunikasie van 'n Persoonlike Data-oortreding aan die Datasubjek
GDPR Artikel 35Databeskermingsimpakevaluering
GDPR Artikel 36Vooraf konsultasie
GDPR Artikel 37Aanwysing van die Databeskermingsbeampte
GDPR Artikel 38Pos van die Databeskermingsbeampte
GDPR Artikel 39Take van die Databeskermingsbeampte
GDPR Artikel 40Gedragskodes
GDPR Artikel 41Monitering van Goedgekeurde Gedragskodes
GDPR Artikel 42sertifisering
GDPR Artikel 44Algemene beginsel vir oordragte
GDPR Artikel 45Oordragte op grond van 'n toereikendheidsbesluit
GDPR Artikel 46Oordragte Onderhewig aan toepaslike voorsorgmaatreëls
GDPR Artikel 47Bindende Korporatiewe Reëls
GDPR Artikel 49Afwykings vir spesifieke situasies

Ontdek ons ​​platform

Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo

Eenvoudig. Veilig. Volhoubaar.

Sien ons platform in aksie met 'n pasgemaakte praktiese sessie gebaseer op jou behoeftes en doelwitte.

Bespreek jou demo
img

Die rolle van databeheerders en dataverwerkers in GDPR-nakoming

Verpligtinge van databeheerders

Databeheerders, die entiteite wat die kursus en metodologieë van verwerking van persoonlike data, is onderhewig aan die volgende vereistes:

  • Doelbeperking: Beheerders moet wettige, deursigtige en wettige doelwitte vir dataverwerking duidelik definieer, kommunikeer en daarby hou.
  • Data Minimalisering: Verwerking moet slegs die minimum data behels wat benodig word vir die genoemde doel.
  • Akkuraatheid: Dit is die verpligting van databeheerders om die akkuraatheid van persoonlike data te bekragtig en onakkurate inskrywings onmiddellik reg te stel of uit te wis.
  • Berging beperking: Beheerders moet die tydsraamwerk vir die bewaring van persoonlike data tot die absoluut nodige tydsduur hou.

Verpligtinge van dataverwerkers

Dataverwerkers wat getaak is om verwerkingsaktiwiteite op beheerders se opdragte uit te voer, moet aan die volgende verwagtinge voldoen:

  • Nakomingverifikasie: Verwerkers is verplig om 'n bygewerkte, omvattende rekord van verwerkingsaktiwiteite te hou, wat voldoening aan GDPR-beginsels en aanspreeklikheid toon.
  • Sekuriteit: Verwerkers behoort toepaslike tegniese en organisatoriese voorsorgmaatreëls af te dwing om veilige verwerking te verseker.
  • Kennisgewing oor databreuk: By die identifisering van 'n datasekuriteitskending, is die verwerker verplig om die beheerder onmiddellik in kennis te stel.

Deur aan hierdie verpligtinge te voldoen, kan databeheerders en verwerkers help om 'n kultuur van databeskerming te vestig, deur die grondbeginsels van die GDPR na te kom en die respek van die regte van die datasubjek te verseker.

Vestiging van 'n Volhoubare GDPR-nakomingstrategie met ISMS.online

Organisasies wat met die persoonlike data van EU-burgers omgaan, dra 'n verpligte verantwoordelikheid om te voldoen aan die Algemene Databeskermingsregulasie (GDPR). Hierdie verantwoordelikheid noodsaak die ontwikkeling van uitgebreide databeskermingsbeleide, konsekwente uitvoering van databeskermingsimpakbepalings (DPIA) en noukeurige instandhouding van dataverwerkingsaktiwiteite-rekords.

Alhoewel hierdie take aanvanklik uitdagend kan lyk, kan hul doeltreffende bestuur bereik word met die strategiese gebruik van 'n robuuste Inligtingsekuriteitbestuurstelsel (ISMS), soos ISMS.online.

U kan pasgemaakte dashboard-oorsigte vir deeglike monitering en ouditering deur ons SaaS-sagteware skep. Hierdie kontroleskerms lewer intydse insigte, bied datanasporingsfunksies en genereer omvattende statusverslae vir gesaghebbende bestuursbeheer binne jou organisasie.

Leer hoe ons jou besigheid kan help deur bespreek 'n demo.

ISMS.online is 'n
eenstopoplossing wat ons implementering radikaal bespoedig het.

Evan Harris
stigter en bedryfshoof, vurig

Bespreek jou demo

Algemene vrae

Wat is die reg om beswaar te maak onder die GDPR?

Die reg om beswaar te maak ingevolge die Algemene Databeskermingsregulasie (GDPR) is 'n fundamentele reg wat aan individue verleen word om in sekere omstandighede beswaar te maak teen die verwerking van hul persoonlike data. Hierdie reg word in Artikel 21 van die GDPR uiteengesit en is van toepassing op verskeie verwerkingsaktiwiteite wat gebaseer is op die wettige belange van die kontroleerder of 'n derde party.

Die reg om beswaar te maak stel individue in staat om die verwerking van hul persoonlike data uit te daag wanneer dit gebruik word vir doeleindes soos direkte bemarking, wetenskaplike of historiese navorsing, of profilering. As 'n individu beswaar maak teen die verwerking van hul persoonlike data vir hierdie doeleindes, moet die kontroleerder die verwerking van die data staak, tensy hulle dwingende wettige gronde vir die verwerking kan demonstreer wat die belange, regte en vryhede van die individu oorskry.

Benewens hierdie spesifieke omstandighede, het individue ook die reg om om enige rede beswaar te maak teen die verwerking van hul persoonlike data. Dit sluit situasies in waar die verwerking gebaseer is op die wettige belange van die kontroleerder of 'n derde party, of wanneer dit in die openbare belang uitgevoer word of in die uitoefening van amptelike gesag wat by die kontroleerder berus.

Wanneer 'n individu sy reg op beswaar uitoefen, moet die beheerder hulle inlig oor hul reg en die gevolge daarvan om dit nie uit te oefen nie. Die kontroleerder moet ook meganismes verskaf vir individue om maklik beswaar te maak teen die verwerking van hul persoonlike data, soos deur aanlynvorms of ander toeganklike maniere.

Wat is die reg om uit te vee onder die GDPR?

Die reg op uitvee kragtens die Algemene Databeskermingsregulasie (GDPR) is 'n fundamentele reg wat aan individue verleen word. Dit staan ​​ook bekend as die "reg om vergeet te word." Hierdie reg stel individue in staat om te versoek dat hul persoonlike data uit die rekords van 'n organisasie uitgevee word. Persoonlike data verwys na enige inligting wat 'n individu direk of indirek kan identifiseer, soos hul naam, adres, e-pos of IP-adres.

Die reg op uitvee geld in sekere omstandighede. Eerstens is dit van toepassing wanneer die persoonlike data nie meer nodig is vir die doel waarvoor dit ingesamel is nie. Byvoorbeeld, as 'n individu hul rekening by 'n aanlyn kleinhandelaar sluit, kan hulle versoek dat hul persoonlike data uitgevee word aangesien dit nie meer nodig is vir die doel om dienste te lewer nie.

Tweedens is die reg op uitvee van toepassing wanneer 'n individu hul toestemming vir die verwerking van hul data terugtrek. As 'n individu aanvanklik toestemming gegee het vir 'n organisasie om hul persoonlike data te verwerk, maar later van plan verander, het hulle die reg om te versoek dat hul data uitgevee word.

Derdens is die reg op uitvee van toepassing indien die persoonlike data onregmatig verwerk is. As 'n organisasie persoonlike data ingesamel of gebruik het in stryd met die GDPR of ander toepaslike wette, het die individu die reg om die verwydering daarvan te versoek.

Wanneer 'n individu hul reg op uitvee uitoefen, moet die organisasie aan die versoek voldoen, tensy daar wetlike of ander dwingende redes is om die data te hou. Die organisasie moet redelike stappe neem om enige derde partye wat die data ontvang het van die individu se versoek om uitvee in te lig. Dit verseker dat die persoonlike data nie verder deur ander organisasies verwerk of bekend gemaak word nie.

Organisasies moet ook redelike stappe doen om te verseker dat die persoonlike data uit hul eie stelsels en rekords uitgevee word. Dit sluit in die veilige uitvee van die data en die verwydering van enige kopieë of rugsteun. Bykomend moet organisasies die individu voorsien van 'n bevestiging dat die data uitgevee is, tensy dit nie moontlik is om dit te doen nie. As die organisasie nie in staat is om aan die uitveeversoek te voldoen nie, moet hulle die individu van 'n verduideliking verskaf oor hoekom.

Wat is die definisie van toestemming onder die GDPR?

Die definisie van toestemming ingevolge die Algemene Databeskermingsregulasie (GDPR) is dat dit enige vrygegewe, spesifieke, ingeligte en ondubbelsinnige aanduiding is van die datasubjek se wense waardeur hulle, deur 'n verklaring of deur 'n duidelike regstellende aksie, ooreenkoms aandui met die verwerking van persoonlike data wat met hulle verband hou.

Dit beteken dat toestemming vrywillig gegee moet word, sonder enige vorm van dwang of druk. Dit moet ook spesifiek wees, wat beteken dat dit vir 'n bepaalde doel of doeleindes gegee moet word. Die datasubjek moet ten volle ingelig wees oor die verwerking van hul persoonlike data, insluitend die doeleindes van die verwerking en enige moontlike gevolge.

Daarbenewens moet die toestemming ondubbelsinnig wees, wat beteken dat dit duidelik en maklik verstaanbaar moet wees. Dit kan nie afgelei word uit stilte, voorafgemerkte blokkies of onaktiwiteit nie. Toestemming moet gegee word deur 'n duidelike regstellende aksie, soos om 'n blokkie te merk of 'n knoppie te klik.

Die datasubjek het ook die reg om hul toestemming te eniger tyd terug te trek, en hierdie onttrekking behoort so maklik te wees soos om toestemming te gee. Die beheerder van die persoonlike data moet kan aantoon dat die datasubjek hul toestemming gegee het tot die verwerking van hul persoonlike data.

Wat is die definisie van 'n data-oortreding onder die GDPR?

Ingevolge die Algemene Databeskermingsregulasie (GDPR) word 'n data-oortreding gedefinieer as 'n "breuk van sekuriteit wat lei tot die toevallige of onwettige vernietiging, verlies, verandering, ongemagtigde openbaarmaking van of toegang tot persoonlike data wat versend, gestoor of andersins verwerk word. ”

Dit beteken dat 'n data-oortreding plaasvind wanneer daar 'n skending van sekuriteit is wat lei tot die ongemagtigde toegang, vernietiging, verandering of openbaarmaking van persoonlike data.

Voorbeelde van data-oortredings sluit in inbraak, wanware, uitvissing en losprysware-aanvalle, sowel as toevallige of opsetlike bekendmaking van persoonlike data. Dit kan ook ongemagtigde toegang tot 'n stelsel, die verlies van 'n skootrekenaar of ander toestel wat persoonlike data bevat, of die toevallige openbaarmaking van persoonlike data insluit.

Wat is die definisie van pseudonimisering onder die GDPR?

Skuilonimisering, soos omskryf deur die Algemene Databeskermingsregulasie (GDPR), is die proses om persoonlik identifiseerbare inligting (PII) met kunsmatige identifiseerders, of skuilname, te vervang. Hierdie proses word gebruik om die privaatheid van individue te beskerm deur die direkte identifikasie van individue uit die data te voorkom.

Skuilonimisering behels die transformasie van persoonlike data op so 'n manier dat dit nie meer aan 'n spesifieke datasubjek toegeskryf kan word sonder die gebruik van bykomende inligting nie. Hierdie bykomende inligting moet apart gehou word en onderhewig aan tegniese en organisatoriese maatreëls om te verseker dat die persoonlike data nie aan 'n geïdentifiseerde of identifiseerbare natuurlike persoon gekoppel kan word nie.

Die doel van pseudonimisering is om die risiko's verbonde aan die verwerking van persoonlike data te verminder. Deur PII met skuilname te vervang, word die hoeveelheid persoonlike data wat vir enige persoon toeganklik is, verminder, waardeur die potensiële impak van 'n data-oortreding tot die minimum beperk word.

Skuilonimisering help ook om te verseker dat data slegs gebruik word vir die doel waarvoor dit ingesamel is, wat verhoed dat dit vir onbedoelde of onversoenbare doeleindes gebruik word.

ISMS.online sal jou tyd en geld bespaar

Kry jou kwotasie

Die stand van inligtingsekuriteitsverslag 2024 nou regstreeks - lees nou