BBP Artikel 34 skets 'n organisasie se verpligting om datasubjekte van 'n data-oortreding in te lig, wat waarskynlik 'n beduidende risiko vir hul regte en vryhede as individue tot gevolg sal hê.
Kommunikasie van 'n persoonlike data-oortreding aan die datasubjek
- Wanneer die skending van persoonlike data waarskynlik 'n hoë risiko vir die regte en vryhede van natuurlike persone tot gevolg sal hê, moet die beheerder die skending van persoonlike data sonder onnodige vertraging aan die datasubjek kommunikeer.
- Die kommunikasie aan die datasubjek waarna in paragraaf 1 van hierdie Artikel verwys word, sal in duidelike en eenvoudige taal die aard van die persoonlike data-oortreding beskryf en ten minste die inligting en maatreëls bevat waarna verwys word in punte (b), (c) en (d) ) van artikel 33(3).
- Die kommunikasie aan die datasubjek waarna in paragraaf 1 verwys word, sal nie vereis word indien aan enige van die volgende voorwaardes voldoen word nie:
- (a) die beheerder toepaslike tegniese en organisatoriese beskermingsmaatreëls geïmplementeer het, en daardie maatreëls is toegepas op die persoonlike data wat deur die persoonlike data-oortreding geraak word, veral dié wat die persoonlike data onverstaanbaar maak vir enige persoon wat nie gemagtig is om toegang daartoe te verkry nie, soos enkripsie.
- (b) die beheerder het daaropvolgende maatreëls getref wat verseker dat die hoë risiko vir die regte en vryhede van datasubjekte waarna in paragraaf 1 verwys word, nie meer waarskynlik sal realiseer nie.
- (c) dit buitensporige moeite sal behels. In so 'n geval sal daar eerder 'n openbare kommunikasie of soortgelyke maatreël wees waardeur die datasubjekte op 'n ewe doeltreffende wyse ingelig word.
- As die kontroleerder nie reeds die persoonlike data-skending aan die datasubjek gekommunikeer het nie, kan die toesighoudende owerheid, nadat hy die waarskynlikheid oorweeg het dat die persoonlike data-skending 'n hoë risiko tot gevolg het, dit vereis om dit te doen of kan besluit dat enige van die voorwaardes waarna verwys word. aan in paragraaf 3 voldoen word.
Kommunikasie van 'n persoonlike data-oortreding aan die datasubjek
- Wanneer die skending van persoonlike data waarskynlik 'n hoë risiko vir die regte en vryhede van natuurlike persone tot gevolg sal hê, moet die beheerder die skending van persoonlike data sonder onnodige vertraging aan die datasubjek kommunikeer.
- Die kommunikasie aan die datasubjek waarna in paragraaf 1 van hierdie Artikel verwys word, sal in duidelike en eenvoudige taal die aard van die persoonlike data-oortreding beskryf en ten minste die inligting en maatreëls bevat waarna verwys word in punte (b), (c) en (d) ) van artikel 33(3).
- Die kommunikasie aan die datasubjek waarna in paragraaf 1 verwys word, sal nie vereis word indien aan enige van die volgende voorwaardes voldoen word nie:
- (a) die beheerder toepaslike tegniese en organisatoriese beskermingsmaatreëls geïmplementeer het, en daardie maatreëls is toegepas op die persoonlike data wat deur die persoonlike data-oortreding geraak word, veral dié wat die persoonlike data onverstaanbaar maak vir enige persoon wat nie gemagtig is om toegang daartoe te verkry nie, soos enkripsie.
- (b) die beheerder het daaropvolgende maatreëls getref wat verseker dat die hoë risiko vir die regte en vryhede van datasubjekte waarna in paragraaf 1 verwys word, nie meer waarskynlik sal realiseer nie.
- (c) dit buitensporige moeite sal behels. In so 'n geval sal daar eerder 'n openbare kommunikasie of soortgelyke maatreël wees waardeur die datasubjekte op 'n ewe doeltreffende wyse ingelig word.
- Indien die kontroleerder nie reeds die persoonlike data-skending aan die datasubjek gekommunikeer het nie, kan die Kommissaris, nadat hy die waarskynlikheid oorweeg het dat die persoonlike data-skending 'n hoë risiko tot gevolg het, dit vereis om dit te doen of kan besluit dat enige van die voorwaardes waarna verwys word. in paragraaf 3 voldoen word.
Versoek 'n kwotasie
GDPR Artikel 34 maak dit duidelik dat nie alle oortredings aan datasubjekte gekommunikeer moet word nie. Organisasies moet egter die besonderhede van 'n oortreding kommunikeer wanneer dit waarskynlik 'n hoë risiko vir die regte en vryhede van natuurlike persone tot gevolg sal hê.
Artikel 34 skets drie hoofareas om op te fokus wanneer 'n data-oortreding gekommunikeer word:
Beheerders is nie verplig om 'n oortreding te kommunikeer onder die volgende drie scenario's nie:
In hierdie afdeling praat ons oor GDPR Artikels 34 (1), 34 (2), 34 (3)(a), 34 (3)(b), 34 (3)(c) en 34(4)
Om 'n samehangende, hoogs funksionerende voorvalbestuurbeleid te skep wat die beskikbaarheid en integriteit van privaatheidsinligting tydens kritieke voorvalle beskerm, moet organisasies:
Personeel wat betrokke is by privaatheidsinligtingsekuriteitvoorvalle moet verstaan:
Wanneer hulle met privaatheidsinligtingsekuriteitsgebeure te doen het, moet personeel:
Verslagdoeningsaktiwiteite moet rondom 4 sleutelareas gesentreer word:
Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo
In hierdie afdeling praat ons oor GDPR Artikels 34 (2) en 34 (1)
Organisasies moet verseker dat privaatheidsinligtingsekuriteitsinsidente hanteer word deur 'n toegewyde tegniese span met die vaardighede en hulpbronne om 'n vinnige oplossing te beïnvloed (sien ISO 27002 Beheer 5.24).
Organisasies moet:
GDPR artikel | ISO 27701-klousule | ISO 27002-kontroles |
---|---|---|
EU GDPR artikels 34 (1) tot 34 (4) | ISO 27701 6.13.1.1 | 5.25 5.26 5.5 5.6 6.8 8.15 8.16 |
EU GDPR artikels 34 (2) en 34 (1) | ISO 27701 6.13.1.5 | 5.24 5.27 5.28 5.29 5.30 |
As gevolg van ingeboude leiding en ons 'aanvaar, pas aan, voeg by'-implementeringsbenadering, maak ISMS.online die demonstrasie van GDPR-nakoming 'n briesie. 'n Reeks kragtige tydbesparende kenmerke sal ook vir jou beskikbaar wees.
Met ons intuïtiewe platform kan jy veelvuldige inligtingsekuriteit- en privaatheidsdoelwitte bereik deur jou werk oor verskeie standaarde en raamwerke te karteer.
As jy hulp of raad nodig het tydens jou reis na GDPR, kan ons ons span interne kundiges beskikbaar stel of 'n betroubare vennoot aanbeveel wat kan help.
Vind meer uit deur bespreek 'n demo.
Ek het ISO 27001 op die harde manier gedoen, so ek waardeer regtig hoeveel tyd dit ons gespaar het om ISO 27001-sertifisering te behaal.