GDPR Artikel 28 spreek die uitkontraktering van dataverwerkingsaktiwiteite aan diensverskaffers aan en skets 'n wetlike raamwerk vir sulke samewerking, wat die datasubjekte se regte beskerm en voldoening verseker.
verwerker
- Waar verwerking namens 'n beheerder uitgevoer moet word, sal die kontroleerder slegs verwerkers gebruik wat voldoende waarborge verskaf om toepaslike tegniese en organisatoriese maatreëls te implementeer op so 'n wyse dat verwerking aan die vereistes van hierdie Regulasie sal voldoen en die beskerming van die regte van die datasubjek.
- Die verwerker sal nie 'n ander verwerker betrek sonder vooraf spesifieke of algemene skriftelike magtiging van die beheerder nie. In die geval van algemene skriftelike magtiging, sal die verwerker die beheerder in kennis stel van enige voorgenome veranderinge rakende die byvoeging of vervanging van ander verwerkers, en sodoende die beheerder die geleentheid gee om beswaar teen sodanige veranderinge te maak.
- Verwerking deur 'n verwerker word beheer deur 'n kontrak of ander regshandeling kragtens Unie- of Lidstaatreg, wat bindend is op die verwerker met betrekking tot die kontroleerder en wat die onderwerp en duur van die verwerking, die aard en doel uiteensit van die verwerking, die tipe persoonlike data en kategorieë van datasubjekte en die verpligtinge en regte van die kontroleerder. Daardie kontrak of ander regshandeling moet in die besonder bepaal dat die verwerker:
- (a) Verwerk die persoonlike data slegs op gedokumenteerde instruksies van die kontroleerder, insluitend met betrekking tot oordragte van persoonlike data na 'n derde land of 'n internasionale organisasie, tensy dit vereis word deur Unie- of Lidstaatwetgewing waaraan die verwerker onderworpe is; in so 'n geval, sal die verwerker die beheerder van daardie wetlike vereiste inlig voor verwerking, tensy daardie wet sodanige inligting op belangrike gronde van openbare belang verbied.
- (b) Verseker dat persone wat gemagtig is om die persoonlike data te verwerk hulself tot vertroulikheid verbind het of onder 'n toepaslike statutêre verpligting van vertroulikheid is.
- (c) Neem alle maatreëls wat ingevolge artikel 32 vereis word.
- (d) Respekteer die voorwaardes waarna in paragrawe 2 en 4 verwys word vir die aanstelling van 'n ander verwerker.
- (e) Met inagneming van die aard van die verwerking, help die kontroleerder deur toepaslike tegniese en organisatoriese maatreëls, sover dit moontlik is, vir die nakoming van die kontroleerder se verpligting om te reageer op versoeke vir die uitoefening van die datasubjek se regte neergelê in Hoofstuk III .
- (f) Help die beheerder om nakoming van die verpligtinge ingevolge artikels 32 tot 36 te verseker, met inagneming van die aard van verwerking en die inligting wat tot die verwerker beskikbaar is.
- (g) Na die keuse van die kontroleerder, skrap of stuur al die persoonlike data aan die kontroleerder terug na die einde van die verskaffing van dienste wat verband hou met verwerking, en vee bestaande kopieë uit tensy Unie- of Lidstaatwetgewing die berging van die persoonlike data vereis.
- (h) Stel alle inligting beskikbaar aan die kontroleerder wat nodig is om voldoening aan die verpligtinge neergelê in hierdie artikel te demonstreer en voorsiening te maak vir en by te dra tot oudits, insluitend inspeksies, uitgevoer deur die kontroleerder of 'n ander ouditeur wat deur die kontroleerder gemagtig is.
Met betrekking tot punt (h) van die eerste subparagraaf, moet die verwerker die kontroleerder onmiddellik in kennis stel indien, na sy mening, 'n opdrag hierdie Regulasie of ander Unie- of Lidstaat-databeskermingsbepalings oortree.- Waar 'n verwerker 'n ander verwerker aanstel om spesifieke verwerkingsaktiwiteite namens die kontroleerder uit te voer, word dieselfde databeskermingsverpligtinge soos uiteengesit in die kontrak of ander regshandeling tussen die kontroleerder en die verwerker soos bedoel in paragraaf 3 opgelê ander verwerker by wyse van 'n kontrak of ander regshandeling kragtens Unie- of Lidstaatreg, veral die verskaffing van voldoende waarborge om toepaslike tegniese en organisatoriese maatreëls te implementeer op so 'n wyse dat die verwerking aan die vereistes van hierdie regulasie sal voldoen. Waar daardie ander verwerker versuim om sy databeskermingsverpligtinge na te kom, bly die aanvanklike verwerker ten volle aanspreeklik teenoor die beheerder vir die uitvoering van daardie ander verwerker se verpligtinge.
- Nakoming van 'n verwerker aan 'n goedgekeurde gedragskode soos bedoel in artikel 40 of 'n goedgekeurde sertifiseringsmeganisme soos bedoel in artikel 42 kan gebruik word as 'n element waardeur voldoende waarborge soos bedoel in paragrawe 1 en 4 van hierdie artikel getoon word .
- Sonder benadeling van 'n individuele kontrak tussen die kontroleerder en die verwerker, kan die kontrak of die ander regshandeling waarna in paragrawe 3 en 4 van hierdie artikel verwys word, in die geheel of gedeeltelik gebaseer wees op standaard kontraktuele klousules waarna verwys word in paragrawe 7 en 8 van hierdie Artikel, insluitend wanneer hulle deel is van 'n sertifisering wat ingevolge Artikels 42 en 43 aan die kontroleerder of verwerker toegestaan is.
- Die Kommissie kan standaard kontraktuele klousules neerlê vir die aangeleenthede waarna in paragraaf 3 en 4 van hierdie Artikel verwys word en in ooreenstemming met die ondersoekprosedure waarna in Artikel 93(2) verwys word.
- 'n Toesighoudende owerheid kan standaard kontraktuele klousules aanneem vir die aangeleenthede waarna in paragraaf 3 en 4 van hierdie Artikel verwys word en in ooreenstemming met die konsekwentheidsmeganisme waarna in Artikel 63 verwys word.
- Die kontrak of die ander regshandeling waarna in paragrawe 3 en 4 verwys word, moet skriftelik wees, insluitend in elektroniese vorm.
- Sonder afbreuk aan artikels 82, 83 en 84, indien 'n verwerker hierdie Regulasie oortree deur die doeleindes en metodes van verwerking te bepaal, word die verwerker as 'n beheerder ten opsigte van daardie verwerking beskou.
Bespreek 'n 30 minute klets met ons en ons sal jou wys hoe
verwerker
- Waar verwerking namens 'n beheerder uitgevoer moet word, sal die kontroleerder slegs verwerkers gebruik wat voldoende waarborge verskaf om toepaslike tegniese en organisatoriese maatreëls te implementeer op so 'n wyse dat verwerking aan die vereistes van hierdie Regulasie sal voldoen en die beskerming van die regte van die datasubjek.
- Die verwerker sal nie 'n ander verwerker betrek sonder vooraf spesifieke of algemene skriftelike magtiging van die beheerder nie. In die geval van algemene skriftelike magtiging, sal die verwerker die beheerder in kennis stel van enige voorgenome veranderinge rakende die byvoeging of vervanging van ander verwerkers, en sodoende die beheerder die geleentheid gee om beswaar teen sodanige veranderinge te maak.
- Verwerking deur 'n verwerker sal beheer word deur 'n kontrak of ander regshandeling kragtens nasionale wetgewing, wat bindend is op die verwerker met betrekking tot die kontroleerder en wat die onderwerp en duur van die verwerking, die aard en doel van die verwerking uiteensit , die tipe persoonlike data en kategorieë van datasubjekte en die verpligtinge en regte van die kontroleerder. Daardie kontrak of ander regshandeling moet in die besonder bepaal dat die verwerker:
- (a) Verwerk die persoonlike data slegs op gedokumenteerde instruksies van die kontroleerder, insluitend met betrekking tot oordragte van persoonlike data na 'n derde land of 'n internasionale organisasie, tensy dit vereis word deur die nasionale wetgewing waaraan die verwerker onderworpe is; in so 'n geval, sal die verwerker die beheerder van daardie wetlike vereiste inlig voor verwerking, tensy daardie wet sodanige inligting op belangrike gronde van openbare belang verbied.
- (b) Verseker dat persone wat gemagtig is om die persoonlike data te verwerk hulself tot vertroulikheid verbind het of onder 'n toepaslike statutêre verpligting van vertroulikheid is.
- (c) Neem alle maatreëls wat ingevolge artikel 32 vereis word.
- (d) Respekteer die voorwaardes waarna in paragrawe 2 en 4 verwys word vir die aanstelling van 'n ander verwerker.
- (e) Met inagneming van die aard van die verwerking, help die kontroleerder deur toepaslike tegniese en organisatoriese maatreëls, sover dit moontlik is, vir die nakoming van die kontroleerder se verpligting om te reageer op versoeke vir die uitoefening van die datasubjek se regte neergelê in Hoofstuk III .
- (f) Help die beheerder om nakoming van die verpligtinge ingevolge artikels 32 tot 36 te verseker, met inagneming van die aard van verwerking en die inligting wat tot die verwerker beskikbaar is.
- (g) Na die keuse van die kontroleerder, skrap of stuur al die persoonlike data aan die kontroleerder terug na die einde van die verskaffing van dienste met betrekking tot verwerking, en vee bestaande kopieë uit tensy die nasionale wetgewing die berging van die persoonlike data vereis.
- (h) Stel alle inligting beskikbaar aan die kontroleerder wat nodig is om voldoening aan die verpligtinge neergelê in hierdie artikel te demonstreer en voorsiening te maak vir en by te dra tot oudits, insluitend inspeksies, uitgevoer deur die kontroleerder of 'n ander ouditeur wat deur die kontroleerder gemagtig is.
Met betrekking tot punt (h) van die eerste subparagraaf, moet die verwerker die beheerder onmiddellik in kennis stel indien, na sy mening, 'n opdrag hierdie Regulasie of ander nasionale wetgewing met betrekking tot databeskermingsverpligtinge oortree.- Waar 'n verwerker 'n ander verwerker aanstel om spesifieke verwerkingsaktiwiteite namens die kontroleerder uit te voer, word dieselfde databeskermingsverpligtinge soos uiteengesit in die kontrak of ander regshandeling tussen die kontroleerder en die verwerker soos bedoel in paragraaf 3 opgelê ander verwerker by wyse van 'n kontrak of ander regshandeling kragtens binnelandse wetgewing, veral die verskaffing van voldoende waarborge om toepaslike tegniese en organisatoriese maatreëls te implementeer op so 'n wyse dat die verwerking aan die vereistes van hierdie Regulasie sal voldoen. Waar daardie ander verwerker versuim om sy databeskermingsverpligtinge na te kom, bly die aanvanklike verwerker ten volle aanspreeklik teenoor die beheerder vir die uitvoering van daardie ander verwerker se verpligtinge.
- Nakoming van 'n verwerker aan 'n goedgekeurde gedragskode soos bedoel in artikel 40 of 'n goedgekeurde sertifiseringsmeganisme soos bedoel in artikel 42 kan gebruik word as 'n element waardeur voldoende waarborge soos bedoel in paragrawe 1 en 4 van hierdie artikel getoon word .
- Sonder benadeling van 'n individuele kontrak tussen die kontroleerder en die verwerker, kan die kontrak of die ander regshandeling waarna in paragrawe 3 en 4 van hierdie Artikel verwys word, in sy geheel of gedeeltelik gebaseer wees op standaard kontraktuele klousules waarna verwys word in paragraaf 8 van hierdie artikel, insluitend wanneer hulle deel is van 'n sertifisering wat ingevolge artikels 42 en 43 aan die kontroleerder of verwerker toegestaan is.
- Die Kommissaris kan standaard kontraktuele klousules aanvaar vir die aangeleenthede waarna in paragraaf 3 en 4 van hierdie Artikel verwys word.
- Die kontrak of die ander regshandeling waarna in paragrawe 3 en 4 verwys word, moet skriftelik wees, insluitend in elektroniese vorm.
- Sonder afbreuk aan artikels 82, 83 en 84, indien 'n verwerker hierdie Regulasie oortree deur die doeleindes en metodes van verwerking te bepaal, word die verwerker as 'n beheerder ten opsigte van daardie verwerking beskou.
GDPR Artikel 28 handel oor 8 samestellende gebiede wat bepaal hoe dataverwerkingsaktiwiteite aan derdeparty-diensverskaffers uitgekontrakteer kan word:
Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo
Ons kan nie aan enige maatskappy dink wie se diens by ISMS.online kan kers vashou nie.
In hierdie afdeling praat ons oor GDPR Artikels 28 (10), 28 (5) en 28 (6)
Organisasies moet 'n karteringsoefening ondergaan wat beide interne en eksterne faktore wat verband hou met die implementering van 'n PIBS lys.
Die organisasie moet in staat wees om te verstaan hoe dit sy privaatheidsbeskermingsuitkomste gaan bereik, en enige kwessies wat in die pad staan van die beveiliging van PII moet geïdentifiseer en aangespreek word.
Voordat hulle probeer om privaatheidbeskerming aan te spreek en 'n PII te implementeer, moet organisasies eers 'n begrip kry van hul verpligtinge as 'n enkelvoudige of gesamentlike PII-beheerder en/of verwerker.
Dit sluit in:
In hierdie afdeling praat ons oor GDPR Artikels 28 (3)(b), (1), (3)(a), (3)(b), (3)(c), (3)(d), (3) )(e), (3)(f), (3)(g) en (3)(h)
Wanneer sekuriteit binne verskafferverhoudings aangespreek word, moet organisasies verseker dat beide partye bewus is van hul verpligtinge teenoor privaatheidsinligtingsekuriteit, en mekaar.
Sodoende moet organisasies:
Organisasies moet ook 'n register van ooreenkomste, wat alle ooreenkomste wat met ander organisasies gehou word, lys.
Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo
In hierdie afdeling praat ons oor GDPR Artikels 28 (1), (3)(a), (3)(b), (3)(c), (3)(d), (3)(e), (3) )(f), (3)(g) en (3)(h)
Organisasies moet aan wetlike, statutêre, regulatoriese en kontraktuele vereistes voldoen wanneer:
Organisasies moet prosedures volg wat hulle toelaat identifiseer, analise en verstaan wetgewende en regulatoriese verpligtinge – veral dié wat met privaatheidbeskerming en PII gemoeid is – waar hulle ook al werk.
Organisasies moet voortdurend bewus wees van hul privaatheidsbeskermingsverpligtinge wanneer hulle nuwe ooreenkomste met derdepartye, verskaffers en kontrakteurs aangaan.
Wanneer enkripsiemetodes ontplooi word om privaatheidbeskerming te versterk en PII te beskerm, moet organisasies:
Organisasies moet die besonderhede van enige gesamentlike PII-verwerkingsreëling uiteensit, met 'n gepaardgaande PII-beheerder – dit sluit algemene beskermingsmaatreëls en alle gepaardgaande sekuriteitsvereistes in.
Rolle en verantwoordelikhede moet duidelik en ondubbelsinnig wees, en uiteengesit in 'n wetlik-bindende dokument (soms 'n 'datadelingsooreenkoms' genoem).
Ooreenkomste kan (onder ander maatreëls) insluit:
In hierdie afdeling praat ons oor GDPR Artikels 28 (3)(e) en 28 (3)(f) en 28 (9)
Kliëntkontrakte moet die volgende insluit:
Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo
Kontrakte moet SLA's insluit wat verband hou met wedersydse doelwitte, en enige gepaardgaande tydskale waarbinne dit voltooi moet word.
Organisasies moet hul reg erken om die afsonderlike metodes te kies wat gebruik word om PII te verwerk, wat wettiglik bereik waarna die kliënt soek, maar sonder dat dit nodig is om gedetailleerde toestemmings te verkry oor hoe die organisasie te werk gaan op 'n tegniese vlak.
Organisasies moet 'n deeglike werkende begrip handhaaf van hoe instruksies die potensiaal het om te bots met toepaslike wetgewing of regulatoriese verpligtinge.
Oortredings vind gewoonlik plaas rondom drie faktore.
Organisasies moet in staat wees om hul kliënte van voldoende inligting te voorsien, sodat daardie kliënte in staat is om hul verpligtinge op enige gegewe tydstip na te kom.
Die vereiste inligting kan 'n wye reeks funksies insluit, maar hou gewoonlik verband met interne oudits, en die organisasie se rol in die fasilitering daarvan deur die verskaffing van inligting.
Beheerders se verpligtinge word deur drie faktore beheer:
Kontrakte moet enige inligting or tegniese bedrywighede wat die organisasie in staat stel om sy verpligtinge as beheerder na te kom.
Daar is verskeie scenario's wat die wegdoening van PII vereis, insluitend (maar nie beperk nie tot):
Organisasies moet kategoriese versekerings gee dat enige PII wat nie meer nodig is nie vernietig gaan word in ooreenstemming met enige heersende wetgewing of streeksriglyne.
Alle wegdoeningsbeleide moet op aanvraag vir die kliënt beskikbaar wees en moet die tydperk dek wat organisasies het om PII te vernietig, sodra 'n kontrak beëindig is.
Organisasies moet 'n prosedure opstel wat bepaal hoe PII-prinsipale in kennis gestel word van wetlik bindende derdeparty-versoeke vir hul inligting, insluitend 'n redelike tydraamwerk en 'n kontraktuele bepaling wat die hele proses uiteensit.
Bowenal moet organisasies voldoen aan die versoeke van wetstoepassingsagentskappe, wat die reg het om te versoek dat die kliënt nie van enige versoek in kennis gestel word nie, en verseker dat hulle nie enige wette oortree deur die kliënt per ongeluk of opsetlik van die situasie in te lig nie.
Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo
Alle bepalings vir die gebruik van subkontrakteurs moet as sodanig in die SLA/kliëntkontrak gelys word.
Inligting oor subkontrakteurs moet die volgende insluit:
NDA's moet opgestel word om enige inligting bekend te maak wat 'n verhoogde sekuriteitsrisiko sou verteenwoordig as dit in die openbaar blootgestel word.
Organisasies moet skriftelike goedkeuring van hul kliënte verkry voordat enige PII deur 'n derdeparty-organisasie verwerk word.
Subkontrakteurs moet onderhewig wees aan 'n bindende ooreenkoms (gewoonlik in die vorm van 'n skriftelike kontrak), wat verseker dat subkontrakteurs hul verpligtinge verstaan ten opsigte van die implementering van die kontroles wat in ISO 27701 Bylae B gelys word.
Kontrakte moet verskeie risikobeoordelingsprosesse in ag neem (sien ISO 27701 Klousule 5.4.1.2), en die hele omvang van die organisasie se PII-verwerkingsoperasie (sien ISO 27701 Klousule 6.12). Soos hierbo, moet alle kontroles gelys in Bylae B nagekom word, met enige weglatings gelys, saam met die regverdigings daarvoor.
Wanneer die behoefte ontstaan om die manier waarop die organisasie enige element van sy PII-verwerkingsoperasie uitkontrakteer te verander, moet kliënte vroegtydig van die veranderinge ingelig word om hulle tyd te gee om genoemde veranderinge te bevraagteken of daarteen beswaar te maak.
Kontrakte moet klousules insluit wat voorsiening maak vir skriftelike magtiging van die kliënt om voort te gaan met die verandering, voordat enige PII verwerk word.
Organisasies kan ook goedkeuring soek vir veranderinge binne ad-hoc geskrewe ooreenkomste, buite enige kontraktuele bepalings.
GDPR artikel | ISO 27701-klousule | ISO 27002-kontroles |
---|---|---|
EU GDPR artikels 28 (3)(b) tot (3)(h) | 6.12.1.2 | 5.10 5.12 5.13 5.20 |
EU GDPR artikels 28 (1) tot (3)(h) | 6.15.1.1 | 5.20 |
EU GDPR artikels 28 (3)(e) en 28 (9) | 7.2.6 | Geen |
EU GDPR artikels 28 (3)(e) tot 28 (9) | 8.2.1 7.4 8.4 | Geen |
EU GDPR Artikel 28 (3)(a) | 8.2.2 | Geen |
EU GDPR Artikel 28 (3)(h) | 8.2.4 | Geen |
EU GDPR Artikel 28 (3)(h) | 8.2.5 | Geen |
EU GDPR Artikel 28 (3)(h) | 8.3.1 | Geen |
EU GDPR Artikel 28 (3)(g) | 8.4.2 | Geen |
EU GDPR Artikel 28 (3)(a) | 8.5.4 | Geen |
EU GDPR artikels 28 (2) en 28 (4) | 8.5.6 8.5.2 8.5.7 | Geen |
EU GDPR artikels 28 (2) en 28 (3)(d) | 8.5.7 5.4.1.2 6.12 | Geen |
EU GDPR Artikel 28 (2) | 8.4 | Geen |
Gebou volgens ISO 27701, in lyn met ander regulasies.
Met ISO 27701 kan u 'n privaatheidsinligtingbestuurstelsel skep wat aan die meeste privaatheidsregulasies voldoen. Dit sluit die EU s'n in Regulasie Algemene Data Protection, BS 10012 en Suid-Afrika se POPIA.
Jy kan maklik die internasionale standaard volg met ons vereenvoudigde, veilige en volhoubare sagteware.
Die alles-in-een-platform wat ons verskaf, verseker dat u privaatheidswerk met ISO 27701 ooreenstem en aan die vereistes daarvan voldoen.
Vind meer uit deur bespreek 'n kort 30 minute demo.
Ek sal beslis ISMS.online aanbeveel, dit maak die opstel en bestuur van jou ISMS so maklik as wat dit kan kry.
As jy nie ISMS.online gebruik nie, maak jy jou lewe moeiliker as wat dit moet wees!