BBP Artikel 30 vereis dat organisasies voldoende rekords (in wese geskrewe rekeninge) van alle verwerkingsverwante aktiwiteite moet hou.
Hierdie verpligting verteenwoordig die uitdrukking van verskeie dataverwerkingsbeginsels:
Rekords van verwerkingsaktiwiteite
- Elke beheerder en, waar van toepassing, die kontroleerder se verteenwoordiger, sal 'n rekord hou van verwerkingsaktiwiteite onder sy verantwoordelikheid. Daardie rekord sal al die volgende inligting bevat:
- Die naam en kontakbesonderhede van die kontroleerder en, waar van toepassing, die gesamentlike kontroleerder, die kontroleerder se verteenwoordiger en die databeskermingsbeampte.
- Die doel van die verwerking.
- 'n Beskrywing van die kategorieë van datasubjekte en van die kategorieë van persoonlike data.
- Die kategorieë van ontvangers aan wie die persoonlike data bekend gemaak is of sal word, insluitend ontvangers in derde lande of internasionale organisasies.
- Waar van toepassing, oordragte van persoonlike data na 'n derde land of 'n internasionale organisasie, insluitend die identifikasie van daardie derde land of internasionale organisasie en, in die geval van oordragte bedoel in die tweede subparagraaf van Artikel 49(1), die dokumentasie van geskikte voorsorgmaatreëls.
- Waar moontlik, die beoogde tydsbeperkings vir die uitvee van die verskillende kategorieë data.
- Waar moontlik, 'n algemene beskrywing van die tegniese en organisatoriese sekuriteitsmaatreëls waarna in Artikel 32(1) verwys word.
- Elke verwerker en, waar van toepassing, die verwerker se verteenwoordiger sal 'n rekord hou van alle kategorieë verwerkingsaktiwiteite wat namens 'n kontroleerder uitgevoer word, wat bevat:
- Die naam en kontakbesonderhede van die verwerker of verwerkers en van elke kontroleerder namens wie die verwerker optree, en, waar van toepassing, van die kontroleerder of die verwerker se verteenwoordiger, en die databeskermingsbeampte.
- Die kategorieë van verwerking wat namens elke beheerder uitgevoer word.
- Waar van toepassing, oordragte van persoonlike data na 'n derde land of 'n internasionale organisasie, insluitend die identifikasie van daardie derde land of internasionale organisasie en, in die geval van oordragte bedoel in die tweede subparagraaf van Artikel 49(1), die dokumentasie van geskikte voorsorgmaatreëls.
- Waar moontlik, 'n algemene beskrywing van die tegniese en organisatoriese sekuriteitsmaatreëls waarna in Artikel 32(1) verwys word.
- Die rekords waarna in paragrawe 1 en 2 verwys word, moet skriftelik wees, insluitend in elektroniese vorm.
- Die kontroleerder of die verwerker en, waar van toepassing, die kontroleerder of die verwerker se verteenwoordiger, moet die rekord op versoek aan die toesighoudende owerheid beskikbaar stel.
- Die verpligtinge bedoel in paragrawe 1 en 2 is nie van toepassing op 'n onderneming of 'n organisasie wat minder as 250 persone in diens het nie, tensy die verwerking wat dit uitvoer waarskynlik 'n risiko vir die regte en vryhede van datasubjekte tot gevolg het, is die verwerking nie af en toe , of die verwerking sluit spesiale kategorieë data in soos bedoel in Artikel 9(1) of persoonlike data wat verband hou met kriminele skuldigbevindings en misdrywe waarna in Artikel 10 verwys word.
Bespreek 'n 30 minute klets met ons en ons sal jou wys hoe
Rekords van verwerkingsaktiwiteite
- Elke beheerder en, waar van toepassing, die kontroleerder se verteenwoordiger, sal 'n rekord hou van verwerkingsaktiwiteite onder sy verantwoordelikheid. Daardie rekord sal al die volgende inligting bevat:
- Die naam en kontakbesonderhede van die kontroleerder en, waar van toepassing, die gesamentlike kontroleerder, die kontroleerder se verteenwoordiger en die databeskermingsbeampte.
- Die doel van die verwerking.
- 'n Beskrywing van die kategorieë van datasubjekte en van die kategorieë van persoonlike data.
- Die kategorieë van ontvangers aan wie die persoonlike data bekend gemaak is of sal word, insluitend ontvangers in derde lande of internasionale organisasies.
- Waar van toepassing, oordragte van persoonlike data na 'n derde land of 'n internasionale organisasie, insluitend die identifikasie van daardie derde land of internasionale organisasie en, in die geval van oordragte bedoel in die tweede subparagraaf van Artikel 49(1), die dokumentasie van geskikte voorsorgmaatreëls.
- Waar moontlik, die beoogde tydsbeperkings vir die uitvee van die verskillende kategorieë data.
- Waar moontlik, 'n algemene beskrywing van die tegniese en organisatoriese sekuriteitsmaatreëls waarna in Artikel 32(1) verwys word, of, soos toepaslik, die sekuriteitsmaatreëls waarna in artikel 28(3) van die 2018-wet verwys word.
- Elke verwerker en, waar van toepassing, die verwerker se verteenwoordiger sal 'n rekord hou van alle kategorieë verwerkingsaktiwiteite wat namens 'n kontroleerder uitgevoer word, wat bevat:
- Die naam en kontakbesonderhede van die verwerker of verwerkers en van elke kontroleerder namens wie die verwerker optree, en, waar van toepassing, van die kontroleerder of die verwerker se verteenwoordiger, en die databeskermingsbeampte.
- Die kategorieë van verwerking wat namens elke beheerder uitgevoer word.
- Waar van toepassing, oordragte van persoonlike data na 'n derde land of 'n internasionale organisasie, insluitend die identifikasie van daardie derde land of internasionale organisasie en, in die geval van oordragte bedoel in die tweede subparagraaf van Artikel 49(1), die dokumentasie van geskikte voorsorgmaatreëls.
- Waar moontlik, 'n algemene beskrywing van die tegniese en organisatoriese sekuriteitsmaatreëls waarna in Artikel 32(1) verwys word. Of, soos toepaslik, die veiligheidsmaatreëls waarna in artikel 28(3) van die 2018-wet verwys word.
- Die rekords waarna in paragrawe 1 en 2 verwys word, moet skriftelik wees, insluitend in elektroniese vorm.
- Die kontroleerder of die verwerker en, waar van toepassing, die kontroleerder of die verwerker se verteenwoordiger, stel die rekord op versoek aan die Kommissaris beskikbaar.
- Die verpligtinge bedoel in paragrawe 1 en 2 is nie van toepassing op 'n onderneming of 'n organisasie wat minder as 250 persone in diens het nie, tensy die verwerking wat dit uitvoer waarskynlik 'n risiko vir die regte en vryhede van datasubjekte tot gevolg het, is die verwerking nie af en toe , of die verwerking sluit spesiale kategorieë data in soos bedoel in Artikel 9(1) of persoonlike data wat verband hou met kriminele skuldigbevindings en misdrywe waarna in Artikel 10 verwys word.
GDPR Artikel 30 spreek vier sleutelareas van 'n rekordinstandhouding aan:
Artikel 30 skets ook uitsonderings wat op enige van die bogenoemde gebiede toegepas word – veral dit enige organisasie wat minder as 250 mense in diens het, is nie verplig om verwerkingsrekords te hou nie, behalwe waar die regte en vryhede van datasubjekte 'nie af en toe' is nie, of die organisasie 'spesiale kategorieë' data of kriminele data verwerk.
Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo
As jy nie ISMS.online gebruik nie, maak jy jou lewe moeiliker as wat dit moet wees!
Wanneer sekuriteit binne verskafferverhoudings aangespreek word, moet organisasies verseker dat beide partye bewus is van hul verpligtinge teenoor privaatheidsinligtingsekuriteit, en mekaar.
Sodoende moet organisasies:
Organisasies moet ook 'n register van ooreenkomste, wat alle ooreenkomste wat met ander organisasies gehou word, lys.
Organisasies moet aan wetlike, statutêre, regulatoriese en kontraktuele vereistes voldoen wanneer:
Organisasies moet prosedures volg wat hulle toelaat identifiseer, analise en verstaan wetgewende en regulatoriese verpligtinge – veral dié wat met privaatheidbeskerming en PII gemoeid is – waar hulle ook al werk.
Organisasies moet voortdurend bewus wees van hul privaatheidsbeskermingsverpligtinge wanneer hulle nuwe ooreenkomste met derdepartye, verskaffers en kontrakteurs aangaan.
Wanneer enkripsiemetodes ontplooi word om privaatheidbeskerming te versterk en PII te beskerm, moet organisasies:
Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo
In hierdie afdeling praat ons oor GDPR Artikels 30 (1)(a), 30 (1)(b), 30 (1)(c), 30 (1)(d), 30 (1)(f), 30 ( 1)(g), 30 (3), 30 (4) en 30 (5)
Organisasies moet 'n deeglike stel rekords byhou wat hul optrede en verpligtinge as 'n PII-verwerker ondersteun.
Rekords (andersins bekend as 'voorraadlyste') moet 'n gedelegeerde eienaar hê, en kan die volgende insluit:
Van tyd tot tyd kan die behoefte ontstaan om PII tussen twee afsonderlike jurisdiksies oor te dra. Wanneer dit gebeur, moet organisasies die behoefte om dit te doen regverdig en dokumenteer.
Streeksregulerende en wetlike reëls verskil na gelang van waar die data vandaan kom, en waarheen dit oorgedra gaan word.
Organisasies moet alle relevante wette, raamwerke en regulasies in ag neem wanneer hulle data tussen jurisdiksies moet oordra, insluitend die gebruik van 'n aangewese toesighoudende owerheid.
Organisasies moet 'n gedokumenteerde lys hou van die lande en organisasies waarheen hulle moontlik hul PII kan oordra, onder redelike omstandighede.
Sodra hulle 'n lys geformuleer het, moet organisasies die inligting aan hul kliënte beskikbaar stel, insluitend enige onderkontrakteerde PII-bedrywighede (sien ISO 27701 Klousule 7.5.1).
In sekere omstandighede – veral in die geval van kriminele ondersoeke – kan vertroulikheidswette die organisasie verhoed om die identiteit van bestemmingslande en organisasies vooraf bekend te maak (sien ISO 27701 Klousules 8.5.4 en 8.5.5).
Dit is uiters belangrik dat organisasies 'n akkurate rekord hou van PII-oordragte na derdeparty-organisasies.
Organisasies moet PII kan aanteken wat op enige manier gewysig is (in ooreenstemming met die beheerders se verpligtinge en doelwitte), of oordragte wat vereis word voordat 'n versoek van die PII-prinsipaal uitgevoer word om die PII te verander of uit te vee.
Rekords moet onderhewig wees aan 'n proporsionele bewaringstydperk, en moet onderhewig wees aan data-minimaliseringsreëls wat slegs dit teruggee wat nodig is om 'n spesifieke doelwit te bereik.
Organisasies moet enige openbaarmaking van PII aan derde partye aanteken, insluitend die volgende drie stukke inligting:
Dit is standaardpraktyk om PII vir 'n verskeidenheid redes bekend te maak, regdeur 'n organisasie se inligtingverwerkingsoperasie.
Logboeke moet gemaak word van openbaarmakings wat tydens normale besigheidspraktyke plaasvind, en enige spesiale omstandighede wat ontstaan (bv. regulatoriese of regsondersoeke.
Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo
In hierdie afdeling praat ons oor GDPR Artikels 30 (2)(a), 30 (2)(b), 30 (3), 30 (4) en 30 (5)
Organisasies moet akkurate en bygewerkte rekords hou wat hulle in staat stel om op enige gegewe tydstip te bewys dat hulle voldoen aan enige kontraktuele verpligtinge wat verband hou met die verwerking van PII.
Afhangende van die jurisdiksie, moet rekords dalk die volgende insluit:
Organisasies moet konkrete planne in plek hê wat bepaal hoe PII kan wees teruggekeer, oorgedra or hand gesit van, en maak al sulke polisse aan die kliënt beskikbaar.
Daar is verskeie scenario's wat die wegdoening van PII vereis, insluitend (maar nie beperk nie tot):
Organisasies moet kategoriese versekerings gee dat enige PII wat nie meer nodig is nie vernietig gaan word in ooreenstemming met enige heersende wetgewing of streeksriglyne.
Alle wegdoeningsbeleide moet op aanvraag vir die kliënt beskikbaar wees en moet die tydperk dek wat organisasies het om PII te vernietig, sodra 'n kontrak beëindig is.
Organisasies moet 'n akkurate, bygewerkte lys hou van enige lande of organisasies waar PII die potensiaal het om na oorgedra te word.
Kliënte moet 'n lys van potensiële ontvangerlande en -organisasies op enige gegewe tydstip kan sien, insluitend 'n log van alle lande wat betrokke is by PII-subkontraktering (sien ISO 27701 Klousule 8.5.1).
In sekere omstandighede sal organisasies nie altyd vooraf kan bekend maak waar oordragversoeke afkomstig is nie – veral wat gevalle van strafregtelike verrigtinge behels. Dit is onvermydelik, en dit moet die organisasie se prioriteit wees om die integriteit van 'n wetstoepassingsoperasie te handhaaf (sien ISO 27701 Klousules 7.5.1, 8.5.4 en 8.5.5).
Organisasies moet noukeurig enige gevalle aanteken van hulle wat PII aan 'n derde party moet bekend maak.
Wanneer PII geopenbaar word – hetsy as deel van standaard besigheidsroetines of in spesiale omstandighede, soos 'n deurlopende wetlike of regulatoriese proses – moet organisasies aanteken wat geopenbaar is, die ontvanger en die onderliggende rede daarvoor.
GDPR artikel | ISO 27701-klousule | ISO 27002-kontroles |
---|---|---|
EU GDPR Artikel 30 (2)(d) | 6.12.1.2 | 5.10 5.12 5.13 5.20 |
EU GDPR Artikel 30 (2)(d) | 6.15.1.1 | 5.20 |
EU GDPR Artikels 30 (1)(a) tot 30 (5) | 7.2.8 | Geen |
EU GDPR Artikel 30 (1)(e) | 7.5.1 | Geen |
EU GDPR Artikel 30 (1)(e) | 7.5.2 7.5.1 8.5.4 8.5.5 | Geen |
EU GDPR Artikel 30 (1)(e) | 7.5.3 | Geen |
EU GDPR Artikel 30 (1)(d) | 7.5.4 | Geen |
EU GDPR Artikels 30 (2)(a) tot 30 (5) | 8.2.6 | Geen |
EU GDPR Artikel 30 (1)(f) | 8.4.2 | Geen |
EU GDPR Artikel 30 (2)(c) | 8.5.2 7.5.1 8.5.1 8.5.4 8.5.5 | Geen |
EU GDPR Artikel 30 (1)(d) | 8.5.3 | Geen |
ISMS.online help jou om 'n vlak van beskerming te demonstreer wat 'redelik' oorskry op 'n veilige, altyd-aan plek.
Ons maak datakartering 'n eenvoudige taak. Deur jou organisasie se besonderhede by ons voorafopgestelde dinamiese rekords van verwerkingsaktiwiteit-nutsding te voeg, kan jy dit alles maklik opneem en hersien.
As die ergste gebeur, sal jy gereed wees.
Met ons gereedskap kan jy beplan, kommunikeer, dokumenteer en uit elke oortreding leer.
Vind meer uit deur bespreek 'n 30 minute demo.
Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo
Versoek 'n kwotasie