Hoe om voldoening aan GDPR Artikel 24 te demonstreer

Verantwoordelikheid van die Kontroleur

Bespreek 'n demo

kollegas, werk, moderne, ateljee. produksie, bestuurders, span, werk, nuwe, projek. jonk, besigheid

BBP Artikel 24 is die eerste afdeling van GDPR wat die algemene verpligtinge van die databeheerder aanspreek, wat in meer besonderhede in opvolgende artikels beskryf word.

Die verandering in toon van passiewe nakoming na die gebruik van verpligte taal is 'n kenmerk van GDPR-wetgewing, en gee die toon aan vir hoe daar van beheerders verwag word om later in die wetgewing op te tree.

GDPR Artikel 24 Regstekst

EU GDPR weergawe

Verantwoordelikheid van die beheerder

  1. Met inagneming van die aard, omvang, konteks en doeleindes van verwerking sowel as die risiko's van wisselende waarskynlikheid en erns vir die regte en vryhede van natuurlike persone, moet die kontroleerder toepaslike tegniese en organisatoriese maatreëls implementeer om te verseker en te kan demonstreer dat verwerking in ooreenstemming met hierdie Regulasie uitgevoer word. Daardie maatreëls sal hersien en bygewerk word waar nodig.

  2. Waar proporsioneel met betrekking tot verwerkingsaktiwiteite, sal die maatreëls waarna in paragraaf 1 verwys word, die implementering van toepaslike databeskermingsbeleide deur die beheerder insluit.

  3. Nakoming van goedgekeurde gedragskodes soos bedoel in Artikel 40 of goedgekeurde sertifiseringsmeganismes soos bedoel in Artikel 42 kan gebruik word as 'n element waardeur voldoening aan die verpligtinge van die beheerder bewys kan word.

Britse GDPR-weergawe

Verantwoordelikheid van die beheerder

  1. Met inagneming van die aard, omvang, konteks en doeleindes van verwerking sowel as die risiko's van wisselende waarskynlikheid en erns vir die regte en vryhede van natuurlike persone, moet die kontroleerder toepaslike tegniese en organisatoriese maatreëls implementeer om te verseker en te kan demonstreer dat verwerking in ooreenstemming met hierdie Regulasie uitgevoer word. Daardie maatreëls sal hersien en bygewerk word waar nodig.

  2. Waar proporsioneel met betrekking tot verwerkingsaktiwiteite, sal die maatreëls waarna in paragraaf 1 verwys word, die implementering van toepaslike databeskermingsbeleide deur die beheerder insluit.

  3. Nakoming van goedgekeurde gedragskodes soos bedoel in Artikel 40 of goedgekeurde sertifiseringsmeganismes soos bedoel in Artikel 42 kan gebruik word as 'n element waardeur voldoening aan die verpligtinge van die beheerder bewys kan word.

Tegniese Kommentaar

'maatreels'

GDPR definieer nie eintlik wat 'n tegniese maatreël is nie, wat gelei het tot 'n mate van verwarring onder organisasies wat sukkel om te verstaan ​​wat hul verpligtinge is. As sodanig het die meeste regsowerhede 'maatreël' gedefinieer as enige aksie wat 'n organisasie kan neem, wat hulle aan voldoen.

Die aanvaarding van 'n risiko-gebaseerde benadering

Gegewe die breë omvang van die term 'maatstaf', om vas te stel hoe om nakoming te bereik, moet organisasies 'n deeglike risiko-evaluering ondergaan wat die aard, omvang en doel van sy verwerkingsaktiwiteite.

Daarbenewens moet organisasies voortdurend bewus wees van die reg op individuele vryheid, tesame met enige operasionele risiko's.

Demonstreer nakoming

As 'n algemene reël, hoe meer riskant die verwerkingsoperasie is, hoe groter word die hoeveelheid bewyse benodig. Organisasies moet behep wees met die insameling van fisiese en digitale bewyse wat bewys dat hulle 'n voldoenende, wetsgehoorsame organisasie is.

Spring na Onderwerp

ISO 27701 Klousule 5.2.1 (Verstaan ​​die organisasie en die konteks daarvan) en EU GDPR Artikel 24 (3)

Voordat hulle probeer om privaatheidbeskerming aan te spreek en 'n PII te implementeer, moet organisasies eers 'n begrip kry van hul verpligtinge as 'n enkelvoudige of gesamentlike PII-beheerder en/of verwerker.

Dit sluit in:

  • hersiening van enige heersende privaatheidswette, regulasies of 'geregtelike besluite';

  • met inagneming van die organisasie se unieke stel vereistes met betrekking tot die soort produkte en diens wat hulle verkoop, en maatskappyspesifieke bestuursdokumente, -beleide en -prosedures;

  • administratiewe faktore;

  • derdeparty-ooreenkomste of dienskontrakte.

ISO 27701 Klousule 6.15.1.3 (Beskerming van Rekords) en EU GDPR Artikel 24 (2)

Rekordbestuur sluit vier sleutelareas in:

  1. Egtheid;
  2. Betroubaarheid;
  3. Integriteit;
  4. Bruikbaarheid.

Organisasies moet:

  • publiseer riglyne wat handel oor:

    • stoor;

    • hantering (ketting van bewaring);

    • wegdoening;

    • voorkoming van manipulasie.

  • skets hoe lank elke rekordtipe behou moet word;

  • enige wette wat met rekordhouding handel, nakom;

  • voldoen aan klante se verwagtinge in hoe organisasies hul rekords moet hanteer;

  • vernietig rekords sodra dit nie meer benodig word nie;

  • klassifiseer rekords op grond van hul sekuriteitsrisiko, bv.

    • Rekeningkunde;

    • besigheidstransaksies;

    • personeelrekords;

    • wettig is.

  • verseker dat hulle in staat is om rekords binne 'n aanvaarbare tydperk te herwin, indien gevra om dit te doen deur 'n derde party of wetstoepassingsagentskap;

  • voldoen altyd aan die vervaardiger se riglyne wanneer rekords op elektroniese mediabronne gestoor of hanteer word.

ISO 27701 Klousule 6.2.1.1 (Beleide vir Inligtingsekuriteit) en EU GDPR Artikel 24 (2)

ISO bepleit 'n dubbelfrontbenadering tot organisatoriese privaatheidbeskerming wat die volgende insluit:

  • 'n algemene privaatheidsbeskermingsbeleid;

  • onderwerpspesifieke privaatheidsbeskermingsbeleide.

Beide tipes beleid kan óf in een dokument gekombineer word, óf uitgeskei word soos die organisasie goeddink.

Beleide moet aan alle relevante personeellede (en eksterne personeel, indien nodig) versprei word om deurlopende nakoming van interne en eksterne privaatheidsbeskermingsvereistes te verseker.

Enigeen wat 'n polis ontvang, moet gevra word om, verkieslik skriftelik, te bevestig dat hulle albei verstaan ​​wat van hulle gevra word, en bereid is om daaraan te voldoen.

Beleide moet hersien word wanneer veranderinge aangebring word aan:

  • besigheidstrategie;

  • operasionele praktyke/tegniese omgewings;

  • enige wette (insluitend GDPR), regulatoriese bepalings of algemene PII-verwante riglyne waaraan die organisasie 'n verantwoordelikheid het om na te kom;

  • privaatheidsbeskermingsrisikovlakke en die heersende/geprojekteerde bedreigingslandskap.

Algemene beleid

Senior bestuur moet 'n topvlak-privaatheidsbeskermingsbeleid (saam met ander onderwerpspesifieke beleide) daarstel wat die prosesse en praktiese stappe wat geneem sal word om PII te beskerm, duidelik uiteensit.

Organisatoriese privaatheidsbeskermingsbeleide moet inligting bevat van, en relevant bly vir:

  1. die algehele besigheidstrategie;

  2. enige heersende regulatoriese, wetlike of kontraktuele vereistes;

  3. enige duidelike en huidige privaatheidsbeskermingsrisiko's.

Privaatheidsbeskermingsbeleide moet die organisasie se:

  • operasionele definisie van privaatheidbeskerming;

  • gestelde privaatheidsbeskermingsdoelwitte;

  • breër stel bestuursbeginsels met betrekking tot die beskerming van PII;

  • verbintenis tot die bereiking van hul PII-verwante doelwitte, en die verbetering daarvan op 'n deurlopende basis;

  • benadering tot die delegeer van verantwoordelikheid vir die hele of 'n deel van die privaatheidsbeskermingsbeleid na die relevante roltipes;

  • benadering tot die hantering van uitsonderings op die beleid;

  • planne vir Senior Bestuur om veranderinge te hersien en goed te keur.

Ontdek ons ​​platform

Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo

Ons is koste-effektief en vinnig

Ontdek hoe dit jou ROI sal verhoog
Kry jou kwotasie

ISO 27701 Klousule 7.2.8 (Rekords met betrekking tot die verwerking van PII) en EU GDPR Artikel 24 (1)

Rekords (andersins bekend as 'voorraadlyste') moet 'n gedelegeerde eienaar hê, en kan die volgende insluit:

  1. operasioneel – die spesifieke tipe PII-verwerking wat onderneem word;

  2. regverdigings – waarom die PII verwerk word;

  3. kategories – lyste van PII-ontvangers, insluitend internasionale organisasies;

  4. sekuriteit – 'n oorsig van hoe PII beskerm word;

  5. privaatheid – dit wil sê 'n privaatheidsimpakbeoordelingsverslag.

Indeks van gekoppelde EU GDPR-artikels en ISO 27701-klousules

GDPR artikelISO 27701-klousuleISO 27701 Ondersteunende klousules
EU GDPR Artikel 24 (3)ISO 27701 5.2.1Geen
EU GDPR Artikel 24 (2)ISO 27701 6.15.1.3Geen
EU GDPR Artikel 24 (2)ISO 27701 6.2.1.1Geen
EU GDPR Artikel 24 (1)ISO 27701 7.2.8Geen

Hoe ISMS.online help

ISMS.online bied jou 'n volledige GDPR-oplossing.

Ons bied 'n omgewing wat vooraf vir jou gebou is om jou benadering tot die beskerming van jou Europese en Britse kliëntedata te beskryf en te demonstreer wat naatloos by jou bestuurstelsel inpas.

Die ISMS.online platform het ingeboude leiding by elke stap gekombineer met ons 'Aanneem, pas aan, voeg by' implementeringsbenadering sodat die moeite wat nodig is om jou benadering tot GDPR te demonstreer, aansienlik verminder word.

Het jy 30 minute? Vind meer uit deur bespreek 'n demo.

Sien ISMS.online
in aksie

Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo

Eenvoudig. Veilig. Volhoubaar.

Sien ons platform in aksie met 'n pasgemaakte praktiese sessie gebaseer op jou behoeftes en doelwitte.

Bespreek jou demo
img

ISMS.online ondersteun nou ISO 42001 - die wêreld se eerste KI-bestuurstelsel. Klik om meer uit te vind