BBP Artikel 24 is die eerste afdeling van GDPR wat die algemene verpligtinge van die databeheerder aanspreek, wat in meer besonderhede in opvolgende artikels beskryf word.
Die verandering in toon van passiewe nakoming na die gebruik van verpligte taal is 'n kenmerk van GDPR-wetgewing, en gee die toon aan vir hoe daar van beheerders verwag word om later in die wetgewing op te tree.
Verantwoordelikheid van die beheerder
- Met inagneming van die aard, omvang, konteks en doeleindes van verwerking sowel as die risiko's van wisselende waarskynlikheid en erns vir die regte en vryhede van natuurlike persone, moet die kontroleerder toepaslike tegniese en organisatoriese maatreëls implementeer om te verseker en te kan demonstreer dat verwerking in ooreenstemming met hierdie Regulasie uitgevoer word. Daardie maatreëls sal hersien en bygewerk word waar nodig.
- Waar proporsioneel met betrekking tot verwerkingsaktiwiteite, sal die maatreëls waarna in paragraaf 1 verwys word, die implementering van toepaslike databeskermingsbeleide deur die beheerder insluit.
- Nakoming van goedgekeurde gedragskodes soos bedoel in Artikel 40 of goedgekeurde sertifiseringsmeganismes soos bedoel in Artikel 42 kan gebruik word as 'n element waardeur voldoening aan die verpligtinge van die beheerder bewys kan word.
Verantwoordelikheid van die beheerder
- Met inagneming van die aard, omvang, konteks en doeleindes van verwerking sowel as die risiko's van wisselende waarskynlikheid en erns vir die regte en vryhede van natuurlike persone, moet die kontroleerder toepaslike tegniese en organisatoriese maatreëls implementeer om te verseker en te kan demonstreer dat verwerking in ooreenstemming met hierdie Regulasie uitgevoer word. Daardie maatreëls sal hersien en bygewerk word waar nodig.
- Waar proporsioneel met betrekking tot verwerkingsaktiwiteite, sal die maatreëls waarna in paragraaf 1 verwys word, die implementering van toepaslike databeskermingsbeleide deur die beheerder insluit.
- Nakoming van goedgekeurde gedragskodes soos bedoel in Artikel 40 of goedgekeurde sertifiseringsmeganismes soos bedoel in Artikel 42 kan gebruik word as 'n element waardeur voldoening aan die verpligtinge van die beheerder bewys kan word.
GDPR definieer nie eintlik wat 'n tegniese maatreël is nie, wat gelei het tot 'n mate van verwarring onder organisasies wat sukkel om te verstaan wat hul verpligtinge is. As sodanig het die meeste regsowerhede 'maatreël' gedefinieer as enige aksie wat 'n organisasie kan neem, wat hulle aan voldoen.
Gegewe die breë omvang van die term 'maatstaf', om vas te stel hoe om nakoming te bereik, moet organisasies 'n deeglike risiko-evaluering ondergaan wat die aard, omvang en doel van sy verwerkingsaktiwiteite.
Daarbenewens moet organisasies voortdurend bewus wees van die reg op individuele vryheid, tesame met enige operasionele risiko's.
As 'n algemene reël, hoe meer riskant die verwerkingsoperasie is, hoe groter word die hoeveelheid bewyse benodig. Organisasies moet behep wees met die insameling van fisiese en digitale bewyse wat bewys dat hulle 'n voldoenende, wetsgehoorsame organisasie is.
Bespreek 'n 30 minute klets met ons en ons sal jou wys hoe
Voordat hulle probeer om privaatheidbeskerming aan te spreek en 'n PII te implementeer, moet organisasies eers 'n begrip kry van hul verpligtinge as 'n enkelvoudige of gesamentlike PII-beheerder en/of verwerker.
Dit sluit in:
Rekordbestuur sluit vier sleutelareas in:
Organisasies moet:
ISO bepleit 'n dubbelfrontbenadering tot organisatoriese privaatheidbeskerming wat die volgende insluit:
Beide tipes beleid kan óf in een dokument gekombineer word, óf uitgeskei word soos die organisasie goeddink.
Beleide moet aan alle relevante personeellede (en eksterne personeel, indien nodig) versprei word om deurlopende nakoming van interne en eksterne privaatheidsbeskermingsvereistes te verseker.
Enigeen wat 'n polis ontvang, moet gevra word om, verkieslik skriftelik, te bevestig dat hulle albei verstaan wat van hulle gevra word, en bereid is om daaraan te voldoen.
Beleide moet hersien word wanneer veranderinge aangebring word aan:
Senior bestuur moet 'n topvlak-privaatheidsbeskermingsbeleid (saam met ander onderwerpspesifieke beleide) daarstel wat die prosesse en praktiese stappe wat geneem sal word om PII te beskerm, duidelik uiteensit.
Organisatoriese privaatheidsbeskermingsbeleide moet inligting bevat van, en relevant bly vir:
Privaatheidsbeskermingsbeleide moet die organisasie se:
Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo
Rekords (andersins bekend as 'voorraadlyste') moet 'n gedelegeerde eienaar hê, en kan die volgende insluit:
GDPR artikel | ISO 27701-klousule | ISO 27701 Ondersteunende klousules |
---|---|---|
EU GDPR Artikel 24 (3) | ISO 27701 5.2.1 | Geen |
EU GDPR Artikel 24 (2) | ISO 27701 6.15.1.3 | Geen |
EU GDPR Artikel 24 (2) | ISO 27701 6.2.1.1 | Geen |
EU GDPR Artikel 24 (1) | ISO 27701 7.2.8 | Geen |
ISMS.online bied jou 'n volledige GDPR-oplossing.
Ons bied 'n omgewing wat vooraf vir jou gebou is om jou benadering tot die beskerming van jou Europese en Britse kliëntedata te beskryf en te demonstreer wat naatloos by jou bestuurstelsel inpas.
Die ISMS.online platform het ingeboude leiding by elke stap gekombineer met ons 'Aanneem, pas aan, voeg by' implementeringsbenadering sodat die moeite wat nodig is om jou benadering tot GDPR te demonstreer, aansienlik verminder word.
Het jy 30 minute? Vind meer uit deur bespreek 'n demo.
Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo