Hoe om voldoening aan GDPR Artikel 13 te demonstreer

Britse GDPR-weergawe

Artikel 13: Inligting wat verskaf moet word waar persoonlike data van die datasubjek ingesamel word

1. Waar persoonlike data met betrekking tot 'n datasubjek van die datasubjek ingesamel word, moet die kontroleerder, op die tydstip wanneer persoonlike data verkry word, die datasubjek van al die volgende inligting voorsien:
• Die identiteit en die kontakbesonderhede van die kontroleerder en, waar van toepassing, van die kontroleerder se verteenwoordiger;
• Die kontakbesonderhede van die databeskermingsbeampte, waar van toepassing;
• Die doeleindes van die verwerking waarvoor die persoonlike data bedoel is sowel as die wetlike basis vir die verwerking;
• Waar die verwerking gebaseer is op punt (f) van Artikel 6(1), die wettige belange wat deur die kontroleerder of deur 'n derde party nagestreef word;
• Die ontvangers of kategorieë van ontvangers van die persoonlike data, indien enige;
• Waar van toepassing, die feit dat die kontroleerder van voorneme is om persoonlike data na 'n derde land of internasionale organisasie oor te dra en die bestaan ​​of afwesigheid van toepaslike toereikendheidsregulasies kragtens artikel 17A van die 2018-wet, of in die geval van oordragte waarna in artikel 46 of 47 verwys word. , of die tweede subparagraaf van artikel 49(1), verwysing na die toepaslike of geskikte voorsorgmaatreëls en die wyse waarop 'n afskrif daarvan verkry kan word of waar dit beskikbaar gestel is.
2. Benewens die inligting waarna in paragraaf 1 verwys word, moet die kontroleerder, op die tydstip wanneer persoonlike data verkry word, die datasubjek voorsien van die volgende verdere inligting wat nodig is om billike en deursigtige verwerking te verseker:
• Die tydperk waarvoor die persoonlike data gestoor sal word, of indien dit nie moontlik is nie, die kriteria wat gebruik word om daardie tydperk te bepaal;
• Die bestaan ​​van die reg om van die kontroleerder toegang tot en regstelling of uitvee van persoonlike data of beperking van verwerking rakende die datasubjek te versoek of om beswaar te maak teen verwerking sowel as die reg op dataoordraagbaarheid;
• Waar die verwerking gebaseer is op punt (a) van artikel 6(1) of punt (a) van artikel 9(2), bestaan ​​die reg om toestemming te eniger tyd terug te trek, sonder om die wettigheid van verwerking gebaseer op toestemming te beïnvloed voor die onttrekking daarvan;
• Die reg om 'n klag by die Kommissaris in te dien;
• Of die verskaffing van persoonlike data 'n statutêre of kontraktuele vereiste is, of 'n vereiste wat nodig is om 'n kontrak aan te gaan, asook of die datasubjek verplig is om die persoonlike data te verskaf en van die moontlike gevolge van versuim om sodanige data te verskaf;
• Die bestaan ​​van geoutomatiseerde besluitneming, insluitend profilering, waarna in artikel 22(1) en (4) verwys word en, ten minste in daardie gevalle, betekenisvolle inligting oor die betrokke logika, sowel as die belangrikheid en die beoogde gevolge van sodanige verwerking vir die datasubjek.
3. Waar die kontroleerder van voorneme is om die persoonlike data verder te verwerk vir 'n ander doel as waarvoor die persoonlike data ingesamel is, moet die kontroleerder die datasubjek voor daardie verdere verwerking van inligting oor daardie ander doel voorsien en van enige relevante verdere inligting soos na verwys. in paragraaf 2.
4. Paragrawe 1, 2 en 3 is nie van toepassing waar en in soverre die datasubjek reeds die inligting het nie.

Tegniese Kommentaar

Organisasies moet die volgende inligting beskikbaar stel op die punt van versameling, waar dit van toepassing is (bv. internasionale oordragte):

1. Die identiteit van hul Databeskermingsbeampte.
2. Kontakbesonderhede van hul Databeskermingsbeampte.
3. Die doel en wetlike basis vir die insameling van die data.
4. Enige wettige belange.
5. Die identiteit van die ontvangers.
6. Internasionale oordragte van data, insluitend landbesonderhede en voorsorgmaatreëls.

Verpligtinge om inligting te verskaf wanneer persoonlike data verkry word

In ooreenstemming met die riglyne wat in Artikel 13 uiteengesit word, moet organisasies ook die volgende inligting verskaf:

• Besonderhede van die databehoudtydperk.
• Die besonderhede van die datasubjek se regte, onder databeskermingswetgewing.
• Inligting oor hoe om toestemming terug te trek.
• Hoe om 'n klag in te dien.
• Die bron van die data wat verkry is.
• Enige kontraktuele of statutêre vereistes.
• Besonderhede van outomatiese besluitnemingsprosesse.

EU GDPR Artikels 13 (1)(a), (1)(b), (1)(c), (1)(d), (1)(e), (1)(f), (2)( c), (2)(d), (2)(e), (3), (4) en ISO 27701 Klousule 7.3.2

Bepaling van inligting vir PII-prinsipale

Organisasies moet 'n gedetailleerde stel vereistes uiteensit wat bepaal hoe en wanneer inligting aan PII-prinsipale verskaf moet word.

Voorbeelde sluit in:

• Die onderliggende doel van die data wat ingesamel en verwerk word.
• Kontakbesonderhede.
• Hoe en waar die PII verkry is.
• Kontraktuele en/of statutêre vereistes.
• Hoe toestemming verwyder kan word.
• PII-oordragte.
• Hoe om 'n klagte aan te teken.
• Hoe die organisasie besluite neem oor die verwerking van PII.
• Inligtingsbehoudtydperke.

EU GDPR Artikel 13 (3) en ISO 27701 Klousule 7.3.3

Verskaffing van inligting aan PII-prinsipale

Alle inligting moet foutloos verskaf word, en in taal wat maklik verstaanbaar is (bv. gebrek aan jargon, nie te tegnies nie) deur die mense wat die vermoë het om dit te lees (sien ISO 27702 klousule 7.3.2).

Ondersteun ISO 27701-klousules

• ISO 27701 7.3.2

EU GDPR Artikel 13 (2)(c) en ISO 27701 Klousule 7.3.4

Die verskaffing van meganisme om toestemming te wysig of terug te trek

Meganismes moet voorsien word wat voorsiening maak vir die regte van enige PII-prinsipaal wat toestemming wil terugtrek.

Kommunikasiekanale moet dié weerspieël wat deur die organisasie gebruik is om aanvanklik die data in te samel, en PII-prinsipale moet die beheerder kan beperk om sekere handelinge uit te voer.

Organisasies moet hulle verbind tot 'n gepubliseerde reaksietyd vir alle wysiging of terugtrekking van toestemmingsversoeke, en al sulke versoeke moet deeglik gedokumenteer word.

EU GDPR Artikel 13 (2)(b) en ISO 27701 Klousule 7.3.5

Die verskaffing van meganisme om beswaar teen PII-verwerking

Plaaslike en nasionale wette verskil tussen jurisdiksies, maar oor die algemeen moet PII-prinsipale die vermoë behou om besware te opper oor hoe hul data gestoor, verwerk of oorgedra is.

Organisasies moet:

1. Dokumenteer enige wetlike of regulatoriese vereistes wat verband hou met enige besware wat deur PII-prinsipale geopper word.
2. Voorsien datasubjekte van inligting oor hoe hulle beswaar kan maak.

EU GDPR Artikel 13 (2)(b) en ISO 27701 Klousule 7.3.6

Toegang, regstelling en/of uitvee

Organisasies moet prosedures dokumenteer wat datasubjekte toelaat om drie basiese funksies te verrig:

1. Toegang hul data.
2. korrekte hul data.
3. verwyder hul data.

Organisasies moet hulle verbind tot 'n gepubliseerde reaksietyd vir alle versoeke om toegang, regstelling of uitvee, en 'n rede verskaf waarom regstellings nie opgetree kan word nie, waar relevant.

Indien PII na 'n derde party oorgedra is, is organisasies verplig om enige versoeke aan hulle oor te dra en erkenning te bevestig (sien ISO 27701 klousule 7.3.7).

Afhangende van die jurisdiksie, kan verskeie streeks- en nasionale reëls geld. As sodanig moet organisasies 'n deeglike begrip handhaaf van enige wette of regulasies wat van toepassing is op die toegang tot, regstelling van of uitvee van PII.

Ondersteun ISO 27701-klousules

• ISO 27701 7.3.7

EU GDPR Artikel 13 (2)(f) en ISO 27701 Klousule 7.3.10

Outomatiese besluitneming

Organisasies moet enige wetlike verpligtinge teenoor PII-prinsipale aanspreek wat verband hou met die outomatiese verwerking van PII.

Organisasies moet jurisdiksionele afwykings in geoutomatiseerde besluitneming rakende PII in ag neem - meer spesifiek, sodat PII-prinsipale beswaar kan maak en menslike ingryping in die plek van outomatiese prosedures versoek.

EU GDPR Artikel 13 (2)(a) en ISO 27701 Klousule 7.4.7

Organisasies moet PII uitvee en/of ontslae raak van PII wat dit nie meer vereis nie, of nie meer 'n spesifieke doel vervul nie.

Organisasies moet werk met retensieskedules wat die presiese tydperk uiteensit wat PII behou word, insluitende nakoming van enige wetlike, statutêre of kontraktuele vereistes.

Ondersteunende kontroles vanaf ISO 27701

Hoe ISMS.online help

ROPA maklik gemaak

Ons PIMS-oplossing maak datakartering 'n eenvoudige taak. Dit is maklik om dit alles op te teken en te hersien, en voeg jou organisasie se besonderhede by ons vooraf-gekonfigureerde dinamiese rekords van verwerkingsaktiwiteit-nutsding.

Ingeboude risikobank

Die bestuur van risiko is die sleutel tot 'n suksesvolle PIMS. Daarom het ons 'n ingeboude risikobank en 'n reeks ander praktiese hulpmiddels geskep wat sal help met elke deel van die risikobepaling en bestuursproses.

Veilige spasie vir DRR

Aan watter privaatheidstandaarde of regulasie jy ook al werk, jy sal moet wys hoe goed jy Data Subject Rights-versoeke (DRR) bestuur. Ons veilige DRR-spasie hou dit alles op een plek en ondersteun dit met outomatiese verslagdoening en insig.

Vind meer uit deur bespreek 'n demo.