BBP Artikel 35 vereis dat organisasies a Databeskermingsimpakbepaling (DPIA) wanneer hul optrede as 'n dataverwerker die potensiaal het om die regte en vryhede van individue te beïnvloed, soos verleen deur hul nasionale regerings.
Databeskerming impakbeoordeling
- Waar 'n tipe verwerking in die besonder wat nuwe tegnologieë gebruik, en met inagneming van die aard, omvang, konteks en doeleindes van die verwerking, waarskynlik 'n hoë risiko vir die regte en vryhede van natuurlike persone tot gevolg sal hê, moet die beheerder, voor die verwerking, 'n evaluering van die impak van die beoogde verwerkingsoperasies op die beskerming van persoonlike data uit te voer. 'n Enkele assessering kan 'n stel soortgelyke verwerkingsoperasies aanspreek wat soortgelyke hoë risiko's inhou.
- Die beheerder sal die advies van die databeskermingsbeampte, waar aangewys, inwin wanneer 'n databeskermingsimpakbeoordeling uitgevoer word.
- 'n Databeskermingsimpakbeoordeling waarna in paragraaf 1 verwys word, sal in die besonder vereis word in die geval van:
- (a) 'n sistematiese en uitgebreide evaluering van persoonlike aspekte met betrekking tot natuurlike persone wat gebaseer is op geoutomatiseerde verwerking, insluitend profilering, en waarop besluite gegrond is wat regseffekte met betrekking tot die natuurlike persoon teweegbring of op soortgelyke wyse die natuurlike persoon beduidend raak.
- (b) verwerking op 'n groot skaal van spesiale kategorieë data waarna in Artikel 9(1) verwys word, of van persoonlike data met betrekking tot kriminele skuldigbevindings en misdrywe waarna in Artikel 10 verwys word; of
- (c) 'n sistematiese monitering van 'n publiek toeganklike gebied op groot skaal.
- Die Kommissaris sal 'n lys opstel en openbaar maak van die soort verwerkingsbedrywighede wat onderhewig is aan die vereiste vir 'n databeskermingsimpakbeoordeling ingevolge paragraaf 1. Die toesighoudende owerheid moet daardie lyste aan die Raad kommunikeer waarna in Artikel 68 verwys word.
- Die Kommissaris kan ook 'n lys opstel en openbaar maak van die soort verwerkingsbedrywighede waarvoor geen databeskermingsimpakbeoordeling vereis word nie. Die toesighoudende owerheid sal daardie lyste aan die Raad kommunikeer.
- Die assessering moet ten minste bevat:
- (a) 'n sistematiese beskrywing van die beoogde verwerkingsoperasies en die doeleindes van die verwerking, insluitend, waar van toepassing, die wettige belang wat deur die kontroleerder nagestreef word.
- (b) 'n beoordeling van die noodsaaklikheid en proporsionaliteit van die verwerkingsbedrywighede met betrekking tot die doeleindes.
- (c) 'n beoordeling van die risiko's vir die regte en vryhede van datasubjekte waarna in paragraaf 1 verwys word; en
- (d) die maatreëls wat beoog word om die risiko's aan te spreek, insluitende voorsorgmaatreëls, sekuriteitsmaatreëls en meganismes om die beskerming van persoonlike data te verseker en om voldoening aan hierdie Regulasie te demonstreer met inagneming van die regte en wettige belange van datasubjekte en ander betrokke persone.
- Nakoming van goedgekeurde gedragskodes waarna in Artikel 40 verwys word deur die betrokke beheerders of verwerkers sal behoorlik in ag geneem word by die beoordeling van die impak van die verwerkingsoperasies wat deur sodanige beheerders of verwerkers uitgevoer word, veral vir die doeleindes van 'n databeskermingsimpakbeoordeling.
- Waar toepaslik, sal die beheerder die menings van datasubjekte of hul verteenwoordigers oor die beoogde verwerking inwin, sonder om die beskerming van kommersiële of openbare belange of die sekuriteit van verwerkingsbedrywighede te benadeel.
- In die geval van verwerking ingevolge punt (c) of (e) van artikel 6(1), is paragrawe 1 tot 7 van hierdie artikel nie van toepassing indien 'n databeskermingsimpakbeoordeling reeds vir die verwerking as deel van 'n algemene impakbeoordeling wat deur nasionale wetgewing vereis word, tensy die nasionale wetgewing anders bepaal.
- Waar nodig, sal die kontroleerder 'n hersiening uitvoer om te bepaal of verwerking in ooreenstemming met die databeskermingsimpakbeoordeling uitgevoer word, ten minste wanneer daar 'n verandering is in die risiko wat deur verwerkingsbedrywighede verteenwoordig word.
UK GDPR is grootliks soortgelyk aan die EU GDPR-uittreksel, met geen merkbare verskille nie.
Versoek 'n kwotasie
Wanneer organisasies die beplanning en implementering van 'n DPIA oorweeg, moet organisasies 11 sleutelareas oorweeg:
PII en privaatheidsbeskerming het die potensiaal om 'n groot aantal werknemers, gebruikers, kliënte, beide intern en ekstern te beïnvloed.
Organisasies moet 'n vaste begrip kry van die behoeftes van enige geaffekteerde personeel en wat ISO as 'belanghebbende partye' beskou.
Organisasie se behoefte om vas te stel en te dokumenteer:
Organisasies moet ook enige wetlike, regulatoriese of kontraktuele verpligtinge in ag neem, naas praktiese en operasionele vereistes.
Wanneer 'n PIBS geïmplementeer word, moet organisasies 'n lys van belangstellende partye uitstippel wat óf deur 'n PIBS geraak word, óf 'n rol het om te speel in die verwerking van PII.
Wat PII betref, kan 'n belanghebbende party een van die volgende wees (maar nie beperk nie tot):
Dit is belangrik om daarop te let dat PII-vereistes – soos verwant aan 'n PIMS – dikwels uit 'n wye reeks bronne spruit, insluitend:
Dit kan dikwels moeilik wees vir regerende en regulatoriese organisasies om nakoming van gepubliseerde privaatheidsbeskermingstandaarde aan die kant van 'n organisasie te bevestig, in sy rol as 'n PII-verwerker en kontroleerder.
As sodanig moet organisasies van sulke liggame verwag om onafhanklike hersiening van enige relevante bestuurstelsel te vra om aan hul eie ouditvereistes te voldoen.
In hierdie afdeling praat ons oor GDPR Artikels 35 (1), 35 (10), 35 (11), 35 (2), 35 (3) (a), 35 (3) (b), 35 (3) (c) ), 35 (4), 35 (5), 35 (7) (a), 35 (7) (b), 35 (7) (c), 35 (7) (d), 35 (8) en 35 (9)
Privaatheidsimpakbeoordelings stel organisasies in staat om enige inligtingsekuriteitsimplikasies te bepaal wanneer 'n nuwe stel PII verwerk word, of die manier waarop bestaande data verwerk word, verander.
PII-verwerking is 'n risiko-swaar besigheidsfunksie wat deeglik beoordeel moet word om die integriteit, egtheid en wettigheid van die data wat verwerk word, te verseker.
Afhangende van die jurisdiksie, sal sommige organisasies moet voldoen aan 'n kategoriese lys scenario's waar 'n privaatheidsimpakbeoordeling vereis word, soos:
Organisasies moet vasstel wat 'n voldoende impakbeoordeling is, insluitend (maar nie beperk nie tot):
Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo
Kontrakte moet die volgende insluit:
| GDPR artikel | ISO 27701-klousule | ISO 27701 Ondersteunende klousules |
|---|---|---|
| EU GDPR Artikel 35 (9) | ISO 27701 5.2.2 | Geen |
| EU GDPR artikels 35 (1) tot 35 (9) | ISO 27701 7.2.5 | Geen |
| EU GDPR Artikel 35 (1) | ISO 27701 8.2.1 | ISO 27701 7.4 ISO 27701 8.4 |
’n Oortreding van GDPR kan aansienlike boetes tot gevolg hê, wat dit een van die strengste privaatheids- en sekuriteitsregulasies ter wêreld maak. Daarom moet organisasies persoonlike data tot 'n 'redelike' mate beskerm.
Maar hier is die goeie nuus.
Deur ISMS.online te gebruik, kan jy direk na GDPR voldoen en 'n vlak van beskerming demonstreer wat verder as 'redelik' strek. Ons maak datakartering maklik. Teken en hersien maklik jou organisasie se verwerkingsaktiwiteit deur jou besonderhede by ons voorafopgestelde dinamiese Rekords van Verwerkingsaktiwiteit-nutsding te voeg.
Met ons gereedskap kan jy beplan, kommunikeer, dokumenteer en uit elke oortreding leer.
Vind meer uit deur bespreek 'n demo.
ISMS.online is 'n
eenstopoplossing wat ons implementering radikaal bespoedig het.
