Hoe om voldoening aan GDPR Artikel 30 te demonstreer

Britse GDPR-weergawe

Rekords van verwerkingsaktiwiteite

1. Elke beheerder en, waar van toepassing, die kontroleerder se verteenwoordiger, sal 'n rekord hou van verwerkingsaktiwiteite onder sy verantwoordelikheid. Daardie rekord sal al die volgende inligting bevat:
• Die naam en kontakbesonderhede van die kontroleerder en, waar van toepassing, die gesamentlike kontroleerder, die kontroleerder se verteenwoordiger en die databeskermingsbeampte.
• Die doel van die verwerking.
• 'n Beskrywing van die kategorieë van datasubjekte en van die kategorieë van persoonlike data.
• Die kategorieë van ontvangers aan wie die persoonlike data bekend gemaak is of sal word, insluitend ontvangers in derde lande of internasionale organisasies.
• Waar van toepassing, oordragte van persoonlike data na 'n derde land of 'n internasionale organisasie, insluitend die identifikasie van daardie derde land of internasionale organisasie en, in die geval van oordragte bedoel in die tweede subparagraaf van Artikel 49(1), die dokumentasie van geskikte voorsorgmaatreëls.
• Waar moontlik, die beoogde tydsbeperkings vir die uitvee van die verskillende kategorieë data.
• Waar moontlik, 'n algemene beskrywing van die tegniese en organisatoriese sekuriteitsmaatreëls waarna in Artikel 32(1) verwys word, of, soos toepaslik, die sekuriteitsmaatreëls waarna in artikel 28(3) van die 2018-wet verwys word.
2. Elke verwerker en, waar van toepassing, die verwerker se verteenwoordiger sal 'n rekord hou van alle kategorieë verwerkingsaktiwiteite wat namens 'n kontroleerder uitgevoer word, wat bevat:
• Die naam en kontakbesonderhede van die verwerker of verwerkers en van elke kontroleerder namens wie die verwerker optree, en, waar van toepassing, van die kontroleerder of die verwerker se verteenwoordiger, en die databeskermingsbeampte.
• Die kategorieë van verwerking wat namens elke beheerder uitgevoer word.
• Waar van toepassing, oordragte van persoonlike data na 'n derde land of 'n internasionale organisasie, insluitend die identifikasie van daardie derde land of internasionale organisasie en, in die geval van oordragte bedoel in die tweede subparagraaf van Artikel 49(1), die dokumentasie van geskikte voorsorgmaatreëls.
• Waar moontlik, 'n algemene beskrywing van die tegniese en organisatoriese sekuriteitsmaatreëls waarna in Artikel 32(1) verwys word. Of, soos toepaslik, die veiligheidsmaatreëls waarna in artikel 28(3) van die 2018-wet verwys word.
3. Die rekords waarna in paragrawe 1 en 2 verwys word, moet skriftelik wees, insluitend in elektroniese vorm.
4. Die kontroleerder of die verwerker en, waar van toepassing, die kontroleerder of die verwerker se verteenwoordiger, stel die rekord op versoek aan die Kommissaris beskikbaar.
5. Die verpligtinge bedoel in paragrawe 1 en 2 is nie van toepassing op 'n onderneming of 'n organisasie wat minder as 250 persone in diens het nie, tensy die verwerking wat dit uitvoer waarskynlik 'n risiko vir die regte en vryhede van datasubjekte tot gevolg het, is die verwerking nie af en toe , of die verwerking sluit spesiale kategorieë data in soos bedoel in Artikel 9(1) of persoonlike data wat verband hou met kriminele skuldigbevindings en misdrywe waarna in Artikel 10 verwys word.

Tegniese Kommentaar

GDPR Artikel 30 spreek vier sleutelareas van 'n rekordinstandhouding aan:

1. Rekords van verwerkingsaktiwiteite deur die kontroleerder.
2. Rekords van verwerkingsaktiwiteite deur die verwerker.
3. Geskrewe rekordformate.
4. Die bevoegdhede van toesighoudende owerhede.

Artikel 30 skets ook uitsonderings wat op enige van die bogenoemde gebiede toegepas word – veral dit enige organisasie wat minder as 250 mense in diens het, is nie verplig om verwerkingsrekords te hou nie, behalwe waar die regte en vryhede van datasubjekte 'nie af en toe' is nie, of die organisasie 'spesiale kategorieë' data of kriminele data verwerk.

ISO 27701 Klousule 6.12.1.2 (Aanspreek sekuriteit binne Verskaffersooreenkomste) en EU GDPR Artikel 30 (2)(d)

Wanneer sekuriteit binne verskafferverhoudings aangespreek word, moet organisasies verseker dat beide partye bewus is van hul verpligtinge teenoor privaatheidsinligtingsekuriteit, en mekaar.

Sodoende moet organisasies:

• Bied 'n duidelike beskrywing wat die privaatheidsinligting wat toegang moet kry, en hoe toegang tot daardie inligting verkry gaan word, uiteensit.
• Klassifiseer die privaatheidsinligting waartoe toegang verkry moet word ooreenkomstig 'n aanvaarde klassifikasieskema (sien ISO 27002 Kontroles 5.10, 5.12 en 5.13).
• Gee voldoende oorweging aan die verskaffer se eie klassifikasieskema.
• Kategoriseer regte in vier hoofareas – wetlik, statutêr, regulatories en kontraktueel – met 'n gedetailleerde beskrywing van verpligtinge per gebied.
• Verseker dat elke party verplig is om 'n reeks beheermaatreëls in te stel wat privaatheidsinligtingsekuriteitrisikovlakke monitor, assesseer en bestuur.
• Skets die behoefte aan verskafferspersoneel om aan 'n organisasie se inligtingsekuriteitstandaarde te voldoen (sien ISO 27002 Beheer 5.20).
• Fasiliteer 'n duidelike begrip van wat beide aanvaarbare en onaanvaarbare gebruik van privaatheidsinligting en fisiese en virtuele bates van enige party uitmaak.
• Stel magtigingskontroles in wat vereis word vir verskafferkantpersoneel om toegang tot 'n organisasie se privaatheidsinligting te verkry of dit te bekyk.
• Gee oorweging aan wat gebeur in die geval van 'n kontrakbreuk, of enige versuim om aan individuele bepalings te voldoen.
• Gee 'n uiteensetting van 'n Voorvalbestuurprosedure, insluitend hoe groot gebeurtenisse gekommunikeer word.
• Verseker dat personeel opleiding in sekuriteitsbewustheid ontvang.
• (As die verskaffer toegelaat word om subkontrakteurs te gebruik) voeg vereistes by om te verseker dat subkontrakteurs in lyn is met dieselfde stel privaatheidsinligtingsekuriteitstandaarde as die verskaffer.
• Oorweeg hoe verskafferspersoneel gekeur word voor interaksie met privaatheidsinligting.
• Bepaal die behoefte aan derdeparty-attesters wat die verskaffer se vermoë om te voldoen aan organisatoriese privaatheidinligtingsekuriteitvereistes aanspreek.
• Het die kontraktuele reg om 'n verskaffer se prosedures te oudit.
• Vereis dat verskaffers verslae lewer wat die doeltreffendheid van hul eie prosesse en prosedures uiteensit.
• Fokus daarop om stappe te neem om die tydige en deeglike oplossing van enige gebreke of konflikte te beïnvloed.
• Verseker dat verskaffers met 'n voldoende BUDR-beleid werk om die integriteit en beskikbaarheid van PII en privaatheidverwante bates te beskerm.
• Vereis 'n verskaffer-kant veranderingsbestuurbeleid wat die organisasie inlig oor enige veranderinge wat die potensiaal het om privaatheidbeskerming te beïnvloed.
• Implementeer fisiese sekuriteitskontroles wat eweredig is aan die sensitiwiteit van die data wat gestoor en verwerk word.
• (Waar data oorgedra moet word) vra verskaffers om te verseker dat data en bates teen verlies, skade of korrupsie beskerm word.
• Skets 'n lys van aksies wat deur enige party geneem moet word in die geval van beëindiging.
• Vra die verskaffer om te verduidelik hoe hulle van voorneme is om privaatheidinligting te vernietig na beëindiging, of van die data word nie meer benodig nie.
• Neem stappe om minimale besigheidsonderbreking tydens 'n oorhandigingstydperk te verseker.

Organisasies moet ook 'n register van ooreenkomste, wat alle ooreenkomste wat met ander organisasies gehou word, lys.

Ondersteun ISO 27002-kontroles

• ISO 27002 5.10
• ISO 27002 5.12
• ISO 27002 5.13
• ISO 27002 5.20

ISO 27701 Klousule 6.15.1.1 (Identifisering van toepaslike wetgewing en kontraktuele vereistes) en EU GDPR Artikel 30 (2)(d)

Organisasies moet aan wetlike, statutêre, regulatoriese en kontraktuele vereistes voldoen wanneer:

• Opstel en/of wysiging van privaatheidsinligtingsekuriteitsprosedures.
• Kategorisering van inligting.
• Begin met risikobeoordelings wat verband hou met privaatheidsinligtingsekuriteitsaktiwiteite.
• Die smee van verskafferverhoudings, insluitend enige kontraktuele verpligtinge regdeur die voorsieningsketting.

Organisasies moet prosedures volg wat hulle toelaat identifiseer, analise en verstaan wetgewende en regulatoriese verpligtinge – veral dié wat met privaatheidbeskerming en PII gemoeid is – waar hulle ook al werk.

Organisasies moet voortdurend bewus wees van hul privaatheidsbeskermingsverpligtinge wanneer hulle nuwe ooreenkomste met derdepartye, verskaffers en kontrakteurs aangaan.

Wanneer enkripsiemetodes ontplooi word om privaatheidbeskerming te versterk en PII te beskerm, moet organisasies:

• Neem enige wette na wat die invoer en uitvoer van hardeware of sagteware reguleer wat die potensiaal het om 'n kriptografiese funksie te vervul
• Verskaf toegang tot geënkripteerde inligting onder die wette van die jurisdiksie waarbinne hulle werksaam is.
• Gebruik drie sleutelelemente van enkripsie:
1. Digitale handtekeninge.
2. Seëls.
3. Digitale sertifikate.

Ondersteun ISO 27002-kontroles

• ISO 27002 5.20

ISO 27701 Klousule 7.2.8 (Rekords wat verband hou met verwerking van PII) en EU GDPR Artikel 30

In hierdie afdeling praat ons oor GDPR Artikels 30 (1)(a), 30 (1)(b), 30 (1)(c), 30 (1)(d), 30 (1)(f), 30 ( 1)(g), 30 (3), 30 (4) en 30 (5)

Organisasies moet 'n deeglike stel rekords byhou wat hul optrede en verpligtinge as 'n PII-verwerker ondersteun.

Rekords (andersins bekend as 'voorraadlyste') moet 'n gedelegeerde eienaar hê, en kan die volgende insluit:

• Operasioneel – die spesifieke tipe PII-verwerking wat onderneem word.
• Regverdigings – waarom die PII verwerk word.
• Kategories – lyste van PII-ontvangers, insluitend internasionale organisasies.
• Sekuriteit – 'n oorsig van hoe PII beskerm word.
• Privaatheid – dws 'n privaatheidsimpakbeoordelingsverslag.

ISO 27701 Klousule 7.5.1 (Identifiseer basis vir PII-oordrag tussen jurisdiksies) en EU GDPR Artikel 30 (1)(e)

Van tyd tot tyd kan die behoefte ontstaan ​​om PII tussen twee afsonderlike jurisdiksies oor te dra. Wanneer dit gebeur, moet organisasies die behoefte om dit te doen regverdig en dokumenteer.

Streeksregulerende en wetlike reëls verskil na gelang van waar die data vandaan kom, en waarheen dit oorgedra gaan word.

Organisasies moet alle relevante wette, raamwerke en regulasies in ag neem wanneer hulle data tussen jurisdiksies moet oordra, insluitend die gebruik van 'n aangewese toesighoudende owerheid.

ISO 27701 Klousule 7.5.2 (Lande en internasionale organisasies waarna PII oorgedra kan word) en EU GDPR Artikel 30 (1)(e)

Organisasies moet 'n gedokumenteerde lys hou van die lande en organisasies waarheen hulle moontlik hul PII kan oordra, onder redelike omstandighede.

Sodra hulle 'n lys geformuleer het, moet organisasies die inligting aan hul kliënte beskikbaar stel, insluitend enige onderkontrakteerde PII-bedrywighede (sien ISO 27701 Klousule 7.5.1).

In sekere omstandighede – veral in die geval van kriminele ondersoeke – kan vertroulikheidswette die organisasie verhoed om die identiteit van bestemmingslande en organisasies vooraf bekend te maak (sien ISO 27701 Klousules 8.5.4 en 8.5.5).

Ondersteun ISO 27701-kontroles

• ISO 27701 7.5.1
• ISO 27701 8.5.4
• ISO 27701 8.5.5

ISO 27701 Klousule 7.5.3 (Rekords van oordrag van PII) en EU GDPR Artikel 30 (1)(e)

Dit is uiters belangrik dat organisasies 'n akkurate rekord hou van PII-oordragte na derdeparty-organisasies.

Organisasies moet PII kan aanteken wat op enige manier gewysig is (in ooreenstemming met die beheerders se verpligtinge en doelwitte), of oordragte wat vereis word voordat 'n versoek van die PII-prinsipaal uitgevoer word om die PII te verander of uit te vee.

Rekords moet onderhewig wees aan 'n proporsionele bewaringstydperk, en moet onderhewig wees aan data-minimaliseringsreëls wat slegs dit teruggee wat nodig is om 'n spesifieke doelwit te bereik.

ISO 27701 Klousule 7.5.4 (Rekords van PII-openbaarmaking aan derde partye) en EU GDPR Artikel 30 (1)(d)

Organisasies moet enige openbaarmaking van PII aan derde partye aanteken, insluitend die volgende drie stukke inligting:

• Wat is geopenbaar.
• Aan wie is die inligting bekend gemaak.
• Wanneer die openbaarmaking gemaak is (datum en tyd).

Dit is standaardpraktyk om PII vir 'n verskeidenheid redes bekend te maak, regdeur 'n organisasie se inligtingverwerkingsoperasie.

Logboeke moet gemaak word van openbaarmakings wat tydens normale besigheidspraktyke plaasvind, en enige spesiale omstandighede wat ontstaan ​​(bv. regulatoriese of regsondersoeke.

ISO 27701 Klousule 8.2.6 (Rekords wat verband hou met verwerking van PII) en EU GDPR Artikel 30

In hierdie afdeling praat ons oor GDPR Artikels 30 (2)(a), 30 (2)(b), 30 (3), 30 (4) en 30 (5)

Organisasies moet akkurate en bygewerkte rekords hou wat hulle in staat stel om op enige gegewe tydstip te bewys dat hulle voldoen aan enige kontraktuele verpligtinge wat verband hou met die verwerking van PII.

Afhangende van die jurisdiksie, moet rekords dalk die volgende insluit:

• Kategoriese lyste van verwerking, op 'n kliënt-vir-kliënt basis.
• Enige data-oordrag na ander lande of internasionale organisasies.
• Tegniese sekuriteitskontroles.

ISO 27701 Klousule 8.4.2 (Terugbesorging, oordrag of wegdoening van PII) en EU GDPR Artikel 30 (1)(f)

Organisasies moet konkrete planne in plek hê wat bepaal hoe PII kan wees teruggekeer, oorgedra or hand gesit van, en maak al sulke polisse aan die kliënt beskikbaar.

• Stuur enige PII aan die kliënt terug.
• Die verskaffing van die PII aan 'n ander organisasie.
• Vernietig inligting.
• De-identifikasie.
• Argiveer.

Daar is verskeie scenario's wat die wegdoening van PII vereis, insluitend (maar nie beperk nie tot):

Organisasies moet kategoriese versekerings gee dat enige PII wat nie meer nodig is nie vernietig gaan word in ooreenstemming met enige heersende wetgewing of streeksriglyne.

Alle wegdoeningsbeleide moet op aanvraag vir die kliënt beskikbaar wees en moet die tydperk dek wat organisasies het om PII te vernietig, sodra 'n kontrak beëindig is.

ISO 27701 Klousule 8.5.2 (Lande en internasionale organisasies waarna PII oorgedra kan word) en EU GDPR Artikel 30 (2)(c)

Organisasies moet 'n akkurate, bygewerkte lys hou van enige lande of organisasies waar PII die potensiaal het om na oorgedra te word.

Kliënte moet 'n lys van potensiële ontvangerlande en -organisasies op enige gegewe tydstip kan sien, insluitend 'n log van alle lande wat betrokke is by PII-subkontraktering (sien ISO 27701 Klousule 8.5.1).

In sekere omstandighede sal organisasies nie altyd vooraf kan bekend maak waar oordragversoeke afkomstig is nie – veral wat gevalle van strafregtelike verrigtinge behels. Dit is onvermydelik, en dit moet die organisasie se prioriteit wees om die integriteit van 'n wetstoepassingsoperasie te handhaaf (sien ISO 27701 Klousules 7.5.1, 8.5.4 en 8.5.5).

Ondersteun ISO 27701-kontroles

• ISO 27701 7.5.1
• ISO 27701 8.5.1
• ISO 27701 8.5.4
• ISO 27701 8.5.5

ISO 27701 Klousule 8.5.3 (Rekords van PII-openbaarmaking aan derde partye) en EU GDPR Artikel 30 (1)(d)

Organisasies moet noukeurig enige gevalle aanteken van hulle wat PII aan 'n derde party moet bekend maak.

Wanneer PII geopenbaar word – hetsy as deel van standaard besigheidsroetines of in spesiale omstandighede, soos 'n deurlopende wetlike of regulatoriese proses – moet organisasies aanteken wat geopenbaar is, die ontvanger en die onderliggende rede daarvoor.

Ondersteun ISO 27701-klousules en ISO 27002-kontroles

Hoe ISMS.online help

ISMS.online help jou om 'n vlak van beskerming te demonstreer wat 'redelik' oorskry op 'n veilige, altyd-aan plek.

Ons maak datakartering 'n eenvoudige taak. Deur jou organisasie se besonderhede by ons voorafopgestelde dinamiese rekords van verwerkingsaktiwiteit-nutsding te voeg, kan jy dit alles maklik opneem en hersien.

As die ergste gebeur, sal jy gereed wees.

Met ons gereedskap kan jy beplan, kommunikeer, dokumenteer en uit elke oortreding leer.

Vind meer uit deur bespreek 'n 30 minute demo.