Hoe om voldoening aan GDPR Artikel 12 te demonstreer

Britse GDPR-weergawe

1. Die beheerder moet toepaslike maatreëls tref om enige inligting waarna in artikels 13 en 14 verwys word en enige kommunikasie kragtens artikels 15 tot 22 en 34 met betrekking tot verwerking aan die datasubjek te verskaf in 'n bondige, deursigtige, verstaanbare en maklik toeganklike vorm, deur gebruik te maak van duidelike en duidelike taal, veral vir enige inligting wat spesifiek aan 'n kind gerig is. Die inligting moet skriftelik of op ander maniere verskaf word, insluitend, waar toepaslik, op elektroniese wyse. Wanneer die datasubjek dit versoek, kan die inligting mondelings verskaf word, mits die identiteit van die datasubjek op ander maniere bewys word.
2. Die kontroleerder sal die uitoefening van datasubjekregte ingevolge artikels 15 tot 22 fasiliteer. In die gevalle waarna in artikel 11(2) verwys word, sal die kontroleerder nie weier om op te tree op die versoek van die datasubjek vir die uitoefening van sy of haar regte kragtens artikels nie. 15 tot 22, tensy die beheerder aantoon dat hy nie in 'n posisie is om die datasubjek te identifiseer nie.
3. Die kontroleerder sal inligting oor stappe wat geneem is op 'n versoek kragtens artikels 15 tot 22 aan die datasubjek verskaf sonder onnodige vertraging en in elk geval binne een maand na ontvangs van die versoek. Daardie tydperk kan, waar nodig, met twee verdere maande verleng word, met inagneming van die kompleksiteit en aantal versoeke. Die kontroleerder sal die datasubjek binne een maand na ontvangs van die versoek in kennis stel van enige sodanige verlenging, tesame met die redes vir die vertraging. . Waar die datasubjek die versoek per elektroniese vorm rig, sal die inligting waar moontlik op elektroniese wyse verskaf word, tensy anders deur die datasubjek versoek word.
4. Indien die kontroleerder nie op die versoek van die datasubjek optree nie, moet die kontroleerder die datasubjek onverwyld en op die laatste binne een maand na ontvangs van die versoek in kennis stel van die redes waarom daar nie opgetree word nie en oor die moontlikheid om 'n klagte by 'n toesighoudende owerheid die Kommissaris en 'n geregtelike remedie soek.
5. Inligting verskaf kragtens artikels 13 en 14 en enige kommunikasie en enige aksies wat ingevolge artikels 15 tot 22 en 34 geneem word, sal gratis verskaf word. Waar versoeke van 'n datasubjek duidelik ongegrond of buitensporig is, veral as gevolg van hul herhalende karakter, kan die beheerder óf:
• 'n redelike fooi te hef met inagneming van die administratiewe koste van die verskaffing van die inligting of kommunikasie of die neem van die aksie wat versoek word; of
• Weier om op die versoek op te tree.

Die beheerder sal die las dra om die duidelik ongegronde of buitensporige karakter van die versoek aan te toon.

6. Sonder afbreuk aan Artikel 11, waar die kontroleerder redelike twyfel het oor die identiteit van die natuurlike persoon wat die versoek in Artikels 15 tot 21 rig, kan die kontroleerder die verskaffing van bykomende inligting versoek wat nodig is om die identiteit van die datasubjek te bevestig.
• [6A. Die Kommissaris kan publiseer (en wysig of terugtrek)
• (a) Gestandaardiseerde ikone vir gebruik in kombinasie met inligting verskaf aan datasubjekte kragtens artikels 13 en 14;
• (b) 'n Kennisgewing wat verklaar dat ander persone sulke ikone mag publiseer (en wysig of onttrek), mits die ikone voldoen aan vereistes gespesifiseer in die kennisgewing ten opsigte van die inligting wat deur die ikone aangebied moet word en die prosedures vir die verskaffing van die ikone.
• 6B. Die Kommissaris mag nie ikone of 'n kennisgewing ingevolge paragraaf 6A publiseer nie, tensy hy oortuig is (soos toepaslik) dat die ikone 'n sinvolle oorsig gee van die beoogde verwerking op 'n maklik sigbare, verstaanbare en duidelik leesbare wyse of dat die kennisgewing sal lei tot ikone wat dit doen .]
7. Indien gestandaardiseerde ikone gepubliseer word soos beskryf in paragraaf 6A (en nie teruggetrek word nie), kan die inligting wat aan datasubjekte verskaf word ingevolge Artikels 13 en 14 in kombinasie met die ikone verskaf word. Waar die ikone elektronies aangebied word, moet hulle masjienleesbaar wees.

Tegniese Kommentaar

Kwaliteit van inligting verskaf

Inligting wat deur die kontroleerder aan die skoolhoof verskaf word, moet wees:

1. Bondig.
2. Deursigtig.
3. Verstaanbaar.
4. Maklik toeganklik.
5. Maklik verstaanbaar.
6. In die toepaslike formaat.

Die fasilitering van die regte van die datasubjek

Alhoewel GDPR nie 'n spesifieke stel instruksies bevat wat verband hou met hoe organisasies 'meganismes moet voorsien om te versoek en, indien van toepassing, gratis, veral toegang tot en regstelling of uitvee van persoonlike data en die uitoefening van die reg te verkry. Om beswaar te maak'.

Tyd Limits

Die wetgewing laat enige presiese definisie van wat as 'n aanvaarbare tyd beskou word om op versoeke te reageer, weg. Dit word eerder aan organisasies oorgelaat om so vinnig as moontlik (of 'sonder onnodige vertraging') binne 'n tydperk van een maand op te tree – verleng tot twee maande vir komplekse versoeke.

As 'n organisasie nie van plan is om op 'n versoek op te tree nie, moet die datasubjek binne een maand van die redes ingelig word, saam met inligting oor hoe om 'n klag in te dien.

EU GDPR Artikel 12 (2) en ISO 27701 Klousule 7.3.1

Bepaling en nakoming van verpligtinge teenoor Pii-prinsipale

Organisasies moet hul verpligtinge teenoor PII-prinsipale oor drie sleutelareas dokumenteer:

1. Legal.
2. Regulerende.
3. Besigheid.

Organisasies moet deursigtige dokumentasie en 'n aangewese kontakpunt aan PII-prinsipale verskaf, ten einde die vrye vloei van inligting te fasiliteer en nie op enige manier die PII-prinsipaal te verhinder om die kontroleerder se verpligtinge vas te stel nie.

Dit is belangrik om daarop te let dat, om eenvormigheid te verseker, enige manier van kontak wat verskaf word, die manier moet weerspieël waardeur die organisasie PII insamel – bv. die verskaffing van 'n e-posadres of 'n PoC, indien data per e-pos ingesamel is, eerder as om bloot 'n skoolhoof te vra om te skryf 'n brief.

EU GDPR Artikels 12 (1) en (7) en ISO 27701 Klousule 7.3.3

Verskaffing van inligting aan PII-prinsipale

Organisasies moet inligting aan PII-prinsipale kan verskaf wat die PII-beheerder identifiseer, en hoe data verwerk word.

Organisasies moet hul bes doen om te verseker dat hulle toeganklike taal gebruik wat bedryfsjargon vermy, en inligting in eenvoudige terme oordra wat maklik verstaanbaar is (sien ISO 27702 Klousule 7.3.2).

Ondersteun ISO 27701-klousules

• ISO 27701 7.3.2

EU GDPR Artikels 12 (3), (4), (5), (6) en ISO 27701 Klousule 7.3.9

Versoeke van PII-prinsipale moet beheer word deur prosesse en kontroles wat wyd deur die organisasie verstaan ​​word, en voldoen aan die besonderhede van enige wetgewende of regulatoriese vereistes, insluitend voldoende reaksietye.

Versoeke kan die volgende insluit:

1. Afskrifte van data.
2. Klagtes.
3. Prosedurele verduidelikings.

Organisasies word wetlik toegelaat om 'n hanteringsfooi te hef, maar dit word gewoonlik slegs toegepas op herhalende of buitensporige versoeke vir data.

Ondersteunende kontroles vanaf ISO 27701

Hoe ISMS.online help

ROPA maklik gemaak

Ons maak datakartering 'n eenvoudige taak. Dit is maklik om dit alles op te teken en te hersien, en voeg jou organisasie se besonderhede by ons vooraf-gekonfigureerde dinamiese rekords van verwerkingsaktiwiteit-nutsding.

Assessering sjablone

Ons bied maklik om te gebruik sjablone vir die opname van privaatheid en wettige belange-assesserings.

'n Veilige ruimte vir DRR

Jy sal moet wys hoe goed jy Data Subject Rights-versoeke (DRR) bestuur. Ons veilige DRR-spasie hou dit alles op een plek en ondersteun dit met outomatiese verslagdoening en insig.

Oortredingsbestuur

As die ergste gebeur, sal jy gereed wees. Ons maak dit maklik om jou oortredingswerkvloei te beplan en te kommunikeer, en dokumenteer en leer uit elke voorval.

Vind meer uit deur bespreek 'n demo.