Hoe om voldoening aan GDPR Artikel 14 te demonstreer

Britse GDPR-weergawe

Inligting wat verskaf moet word waar persoonlike data nie van die datasubjek verkry is nie

1. Waar persoonlike data nie van die datasubjek verkry is nie, moet die kontroleerder die datasubjek van die volgende inligting voorsien:
• Die identiteit en die kontakbesonderhede van die kontroleerder en, waar van toepassing, van die kontroleerder se verteenwoordiger;
• Die kontakbesonderhede van die databeskermingsbeampte, waar van toepassing;
• Die doeleindes van die verwerking waarvoor die persoonlike data bedoel is sowel as die wetlike basis vir die verwerking;
• Die betrokke kategorieë persoonlike data;
• Die ontvangers of kategorieë van ontvangers van die persoonlike data, indien enige;
• Waar van toepassing, dat die kontroleerder van voorneme is om persoonlike data aan 'n ontvanger in 'n derde land of internasionale organisasie oor te dra en die bestaan ​​of afwesigheid van toepaslike toereikendheidsregulasies kragtens artikel 17A van die 2018 Wet, of in die geval van oordragte waarna verwys word in Artikel 46 of 47, of die tweede subparagraaf van artikel 49(1), verwysing na die toepaslike of geskikte voorsorgmaatreëls en die manier om 'n afskrif daarvan te bekom of waar dit beskikbaar gestel is.
2. Benewens die inligting waarna in paragraaf 1 verwys word, moet die kontroleerder die datasubjek voorsien van die volgende inligting wat nodig is om billike en deursigtige verwerking ten opsigte van die datasubjek te verseker:
• Die tydperk waarvoor die persoonlike data gestoor sal word, of indien dit nie moontlik is nie, die kriteria wat gebruik word om daardie tydperk te bepaal;
• Waar die verwerking gebaseer is op punt (f) van Artikel 6(1), die wettige belange wat deur die kontroleerder of deur 'n derde party nagestreef word;
• Die bestaan ​​van die reg om van die beheerder toegang tot en regstelling of uitvee van persoonlike data of beperking van verwerking aangaande die datasubjek te versoek en om beswaar te maak teen verwerking asook die reg op dataoordraagbaarheid;
• Waar verwerking gebaseer is op punt (a) van artikel 6(1) of punt (a) van artikel 9(2), bestaan ​​die reg om toestemming te eniger tyd terug te trek, sonder om die wettigheid van verwerking gebaseer op toestemming voor die ontrekking;
• Die reg om 'n klag by die Kommissaris in te dien;
• Van watter bron die persoonlike data afkomstig is, en indien van toepassing, of dit van publiek toeganklike bronne afkomstig is;
• Die bestaan ​​van geoutomatiseerde besluitneming, insluitend profilering, waarna in artikel 22(1) en (4) verwys word en, ten minste in daardie gevalle, betekenisvolle inligting oor die betrokke logika, sowel as die belangrikheid en die beoogde gevolge van sodanige verwerking vir die datasubjek.
3. Die kontroleerder moet die inligting verskaf waarna in paragrawe 1 en 2 verwys word:
• Binne 'n redelike tydperk na verkryging van die persoonlike data, maar op die laatste binne een maand, met inagneming van die spesifieke omstandighede waarin die persoonlike data verwerk word;
• Indien die persoonlike data gebruik gaan word vir kommunikasie met die datasubjek, op die laatste ten tyde van die eerste kommunikasie aan daardie datasubjek; of
• Indien 'n openbaarmaking aan 'n ander ontvanger in die vooruitsig gestel word, op die laatste wanneer die persoonlike data die eerste keer bekend gemaak word.
4. Waar die kontroleerder van voorneme is om die persoonlike data verder te verwerk vir 'n ander doel as waarvoor die persoonlike data verkry is, moet die kontroleerder die datasubjek voor daardie verdere verwerking van inligting oor daardie ander doel voorsien en van enige relevante verdere inligting soos na verwys. in paragraaf 2.
5. Paragrawe 1 tot 4 is nie van toepassing waar en in soverre:
• Die datasubjek het reeds die inligting;
• Die verskaffing van sodanige inligting blyk onmoontlik of sal 'n buitensporige poging behels, veral vir verwerking vir argiveringsdoeleindes in die openbare belang, wetenskaplike of historiese navorsingsdoeleindes of statistiese doeleindes, onderworpe aan die voorwaardes en voorsorgmaatreëls waarna verwys word in artikel 89 (1) of in soverre die verpligting bedoel in paragraaf 1 van hierdie Artikel waarskynlik die bereiking van die doelwitte van daardie verwerking onmoontlik sal maak of ernstig sal benadeel. In sulke gevalle sal die kontroleerder toepaslike maatreëls tref om die datasubjek se regte en vryhede en wettige belange te beskerm, insluitend om die inligting publiek beskikbaar te stel;
• Die verkryging of openbaarmaking word uitdruklik deur die nasionale wetgewing bepaal, wat toepaslike maatreëls voorsien om die datasubjek se wettige belange te beskerm; of
• Waar die persoonlike data vertroulik moet bly onderhewig aan 'n verpligting tot professionele geheimhouding wat deur die nasionale wetgewing gereguleer word, insluitend 'n statutêre verpligting tot geheimhouding.

Tegniese Kommentaar

Organisasies moet die volgende inligting beskikbaar stel na die versameling van die proefpersoon se data:

1. Die identiteit van hul Databeskermingsbeampte.
2. Kontakbesonderhede van hul Databeskermingsbeampte.
3. Die doel en wetlike basis vir die insameling van die data.
4. Die kategorieë persoonlike data wat indirek verkry is.
5. Enige wettige belange.
6. Die identiteit van die ontvangers.
7. Internasionale oordragte van data, insluitend landbesonderhede en voorsorgmaatreëls.

Verpligtinge om inligting te verskaf wanneer persoonlike data verkry word

Benewens bogenoemde inligting, moet die organisasie ook voorsien:

1. Besonderhede van die databehoudtydperk;
2. Die besonderhede van die datasubjek se regte, kragtens databeskermingswetgewing;
3. Inligting oor hoe om toestemming terug te trek;
4. Hoe om 'n klag in te dien;
5. Enige kontraktuele of statutêre vereistes;
6. Besonderhede van outomatiese besluitnemingsprosesse.

Tydsbeperkings oor watter inligting oor verwerking verskaf moet word

• Scenario 1 – Persoonlike data ingesamel met geen voorneme nie om die datasubjek te kontak of die data aan 'n derde party bekend te maak
• Tydsbeperking vir kontak – Een maand
• Scenario 2 – Persoonlike data ingesamel met 'n voorneme om die datasubjek te kontak
• Tydsbeperking vir kontak – Twee maande
• Persoonlike data ingesamel met 'n voorneme om dit aan 'n Derde Party bekend te maak
• Tydsbeperking vir kontak – Twee maande

EU GDPR Artikel 14 en ISO 27701 Klousule 7.3.2

Hierdie afdeling verwys GDPR-artikels 14 (1)(a), 14 (1)(b), 14 (1)(c), 14 (1)(d), 14 (1)(e), 14 (1)( f), 14 (2)(b), 14 (2)(e), 14 (2)(f), 14 (3)(a), 14 (3)(b), 14 (3)(c) , 14 (4), 14 (5)(a), 14 (5)(b), 14 (5)(c), 14 (5)(d)

Sien ISO 27701 Klousule 7.3.2 leiding binne Artikel 13.

EU GDPR Artikel 14 (2)(d) en ISO 27701 Klousule 7.3.4

Sien ISO 27701 Klousule 7.3.4 leiding binne Artikel 13.

EU GDPR Artikel 14 (2)(c) en ISO 27701 Klousule 7.3.5

Sien ISO 27701 Klousule 7.3.5 leiding binne Artikel 13.

EU GDPR Artikel 14 (2)(c) en ISO 27701 Klousule 7.3.6

Sien ISO 27701 Klousule 7.3.6 leiding binne Artikel 13.

EU GDPR Artikel 14 (2)(g) en ISO 27701 Klousule 7.3.10

Sien ISO 27701 Klousule 7.3.10 leiding binne Artikel 13.

EU GDPR Artikel 14 (2)(a) en ISO 27701 Klousule 7.4.7

Sien ISO 27701 Klousule 7.4.7 leiding binne Artikel 13.

Ondersteunende kontroles vanaf ISO 27701

Hoe ISMS.online help

Ons bied 'n omgewing wat vooraf vir jou gebou is om jou benadering tot die beskerming van jou Europese en Britse kliëntedata te beskryf en te demonstreer wat naatloos by jou bestuurstelsel inpas.

Daarom het ons 'n ingeboude risikobank en 'n reeks ander praktiese hulpmiddels geskep wat sal help met elke deel van die risikobepaling en bestuursproses. Aan watter privaatheidstandaarde of regulasie jy ook al werk, jy sal moet wys hoe goed jy Data Subject Rights-versoeke (DRR) bestuur. Ons veilige DRR-spasie hou dit alles op een plek en ondersteun dit met outomatiese verslagdoening en insig.

Vind meer uit deur bespreek 'n 30 minute demo.