Hoe om voldoening aan GDPR Artikel 36 te demonstreer

GDPR Artikel 36 vereis dat organisasies met 'n toesighoudende owerheid konsulteer voordat persoonlike data verwerk word as 'n Databeskermingsimpakbepaling (DPIA) hoë risiko's identifiseer wat nie versag kan word nie. Dit verseker proaktiewe risikobestuur en voldoening aan databeskermingsregulasies.

Ons benodig die inligting wat jy aan ons verskaf om jou te kontak oor ons dienste.
Teken enige tyd uit. Vir meer inligting, kyk asseblief na ons Privaatheidsbeleid.

skrywer
Max Edwards
Opgedateer 11 Maart 2025
LinkedIn Twitter Twitter

Navigeer deur GDPR Artikel 36: Stappe om nakoming te verseker

BBP Artikel 36 skets 'n organisasie se verpligting om met 'n 'toesighoudende owerheid' te konsulteer voordat 'n DPIA uitgevoer word (sien Artikel 35), om sodoende die regte en vryhede van datasubjekte deur die hele verwerkingsoperasie verder te beskerm.

GDPR Artikel 36 Regstekst

EU GDPR weergawe

Vooraf konsultasie

  1. Die kontroleerder sal die toesighoudende owerheid raadpleeg voor verwerking waar 'n databeskermingsimpakbeoordeling ingevolge artikel 35 aandui dat die verwerking 'n hoë risiko tot gevolg sal hê in die afwesigheid van maatreëls wat deur die kontroleerder geneem is om die risiko te versag.
  2. Waar die toesighoudende owerheid van mening is dat die beoogde verwerking waarna in paragraaf 1 verwys word, hierdie Regulasie sou oortree, veral waar die kontroleerder die risiko nie genoegsaam geïdentifiseer of versag het nie, moet die toesighoudende owerheid binne 'n tydperk van tot agt weke na ontvangs van die versoek om konsultasie, skriftelike advies aan die kontroleerder en, waar van toepassing aan die verwerker, verskaf en kan enige van sy bevoegdhede gebruik waarna in artikel 58 verwys word. Daardie tydperk kan met ses weke verleng word, met inagneming van die kompleksiteit van die beoogde verwerking . Die toesighoudende owerheid sal die kontroleerder en, waar van toepassing, die verwerker, in kennis stel van enige sodanige verlenging binne een maand na ontvangs van die versoek om konsultasie tesame met die redes vir die vertraging. Daardie tydperke kan opgeskort word totdat die toesighoudende owerheid inligting verkry het wat hy vir die doeleindes van die konsultasie versoek het.
  3. Wanneer die toesighoudende owerheid ooreenkomstig paragraaf 1 geraadpleeg word, moet die kontroleerder die toesighoudende owerheid voorsien van:

    • (a) waar van toepassing, die onderskeie verantwoordelikhede van die kontroleerder, gesamentlike beheerders en verwerkers betrokke by die verwerking, veral vir verwerking binne 'n groep ondernemings;
    • (b) die doeleindes en middele van die beoogde verwerking;
    • (c) die maatreëls en voorsorgmaatreëls wat voorsien word om die regte en vryhede van datasubjekte ingevolge hierdie Regulasie te beskerm;
    • (d) waar van toepassing, die kontakbesonderhede van die databeskermingsbeampte;
    • (e) die databeskermingsimpakbeoordeling waarvoor in artikel 35 voorsiening gemaak word; en
    • (f) enige ander inligting wat deur die toesighoudende owerheid versoek word.
  4. Lidstate sal die toesighoudende owerheid raadpleeg tydens die voorbereiding van 'n voorstel vir 'n wetgewende maatreël wat deur 'n nasionale parlement aangeneem moet word, of van 'n regulerende maatreël gebaseer op so 'n wetgewende maatreël, wat verband hou met verwerking.
  5. Nieteenstaande paragraaf 1 kan die wetgewing van die lidstaat vereis dat beheerders met die toesighoudende owerheid konsulteer en vooraf toestemming van die toesighoudende owerheid verkry met betrekking tot verwerking deur 'n kontroleerder vir die uitvoering van 'n taak wat deur die kontroleerder in die openbare belang uitgevoer word, insluitende verwerking in verband met tot sosiale beskerming en openbare gesondheid.

Britse GDPR-weergawe

Vooraf konsultasie

  1. Die kontroleerder sal die Kommissaris raadpleeg voor verwerking waar 'n databeskermingsimpakbeoordeling ingevolge artikel 35 aandui dat die verwerking 'n hoë risiko tot gevolg sal hê in die afwesigheid van maatreëls wat deur die kontroleerder geneem is om die risiko te versag.
  2. Waar die Kommissaris van mening is dat die beoogde verwerking waarna in paragraaf 1 verwys word, hierdie Regulasie oortree, veral waar die kontroleerder die risiko nie genoegsaam geïdentifiseer of versag het nie, moet die Kommissaris binne 'n tydperk van tot agt weke na ontvangs van die versoek vir konsultasie, verskaf skriftelike advies aan die kontroleerder en, waar van toepassing aan die verwerker, en kan enige van sy bevoegdhede gebruik waarna in Artikel 58 verwys word. Daardie tydperk kan met ses weke verleng word, met inagneming van die kompleksiteit van die beoogde verwerking. Die Kommissaris sal die kontroleerder en, waar van toepassing, die verwerker, in kennis stel van enige sodanige verlenging binne een maand na ontvangs van die versoek om konsultasie tesame met die redes vir die vertraging. Daardie tydperke kan opgeskort word totdat die Kommissaris inligting verkry het wat hy vir die doeleindes van die konsultasie versoek het.
  3. Wanneer die Kommissaris ooreenkomstig paragraaf 1 geraadpleeg word, moet die kontroleerder die toesighoudende owerheid voorsien van:

    • (a) waar van toepassing, die onderskeie verantwoordelikhede van die kontroleerder, gesamentlike beheerders en verwerkers betrokke by die verwerking, veral vir verwerking binne 'n groep ondernemings;
    • (b) die doeleindes en middele van die beoogde verwerking;
    • (c) die maatreëls en voorsorgmaatreëls wat voorsien word om die regte en vryhede van datasubjekte ingevolge hierdie Regulasie te beskerm;
    • (d) waar van toepassing, die kontakbesonderhede van die databeskermingsbeampte;
    • (e) die databeskermingsimpakbeoordeling waarvoor in artikel 35 voorsiening gemaak word; en
    • (f) enige ander inligting wat deur die toesighoudende owerheid versoek word.
  4. Die betrokke owerheid moet die Kommissaris raadpleeg tydens die voorbereiding van 'n voorstel vir 'n wetgewende maatreël wat deur die Parlement, die Nasionale Vergadering vir Wallis, die Skotse Parlement of die Noord-Ierland Vergadering aanvaar moet word, of van 'n regulatoriese maatreël gebaseer op so 'n wetgewende maatreël, wat met verwerking verband hou.

    • 4A. In paragraaf 4 beteken "die betrokke owerheid"- (a) met betrekking tot 'n wetgewende maatreël wat deur die Parlement aangeneem is, of 'n regulatoriese maatreël gebaseer op so 'n wetgewende maatreël, die Staatsekretaris; (b) met betrekking tot 'n wetgewende maatreël wat deur die Nasionale Vergadering vir Wallis aangeneem is, of 'n regulatoriese maatreël gebaseer op so 'n wetgewende maatreël, die Walliese Ministers; (c) met betrekking tot 'n wetgewende maatreël wat deur die Skotse Parlement aangeneem is, of 'n regulatoriese maatreël gebaseer op so 'n wetgewende maatreël, die Skotse Ministers; (d) met betrekking tot 'n wetgewende maatreël wat deur die Noord-Ierland Vergadering aangeneem is, of 'n regulatoriese maatreël gebaseer op so 'n wetgewende maatreël, die betrokke Noord-Ierland Departement.
  5. Nieteenstaande paragraaf 1 kan die wetgewing van die lidstaat vereis dat beheerders met die toesighoudende owerheid konsulteer en vooraf toestemming van die toesighoudende owerheid verkry met betrekking tot verwerking deur 'n kontroleerder vir die uitvoering van 'n taak wat deur die kontroleerder in die openbare belang uitgevoer word, insluitende verwerking in verband met tot sosiale beskerming en openbare gesondheid.


Bestuur al jou nakoming op een plek

ISMS.online ondersteun meer as 100 standaarde
en regulasies, gee jou 'n enkele
platform vir al jou voldoeningsbehoeftes.

Bespreek 'n demo


ISO 27701 Klousule 5.2.2 (Verstaan ​​die behoeftes en verwagtinge van belanghebbende partye) en EU GDPR Artikel 36

In hierdie afdeling praat ons oor GDPR Artikels 36 (1), 36 (2), 36 (3)(a), 36 (3)(b), 36 (3)(c), 36 (3)(d), 36 (3)(e), 36 (3)(f) en 36 (5)

PII en privaatheidsbeskerming het die potensiaal om 'n groot aantal werknemers, gebruikers, kliënte, beide intern en ekstern te beïnvloed.

Organisasies moet 'n vaste begrip kry van die behoeftes van enige geaffekteerde personeel en wat ISO as 'belanghebbende partye' beskou.

Organisasie se behoefte om vas te stel en te dokumenteer:

  • Enige 'belangstellende partye' wat relevant is vir die breër onderwerp van privaatheidsbeskerming.
  • Wat die unieke vereistes is van genoemde individue binne die bestek van 'n PIMS.

Organisasies moet ook enige wetlike, regulatoriese of kontraktuele verpligtinge in ag neem, naas praktiese en operasionele vereistes.

Wanneer 'n PIBS geïmplementeer word, moet organisasies 'n lys van belangstellende partye uitstippel wat óf deur 'n PIBS geraak word, óf 'n rol het om te speel in die verwerking van PII.

Wat PII betref, kan 'n belanghebbende party een van die volgende wees (maar nie beperk nie tot):

  • N werknemer.
  • N kliënt.
  • Regulerende, geregtelike of toesighoudende owerhede.
  • Ander PII-beheerders en verwerkers.

Dit is belangrik om daarop te let dat PII-vereistes – soos verwant aan 'n PIMS – dikwels uit 'n wye reeks bronne spruit, insluitend:

  • Interne prosesse en doelwitte.
  • Regerings- en/of regulerende liggame.
  • Kontraktuele verpligtinge met derdeparty-organisasies.

Dit kan dikwels moeilik wees vir regerende en regulatoriese organisasies om nakoming van gepubliseerde privaatheidsbeskermingstandaarde aan die kant van 'n organisasie te bevestig, in sy rol as 'n PII-verwerker en kontroleerder.

As sodanig moet organisasies van sulke liggame verwag om onafhanklike hersiening van enige relevante bestuurstelsel te vra om aan hul eie ouditvereistes te voldoen.

ISO 27701 Klousule 7.2.5 (Privaatheidsimpakevaluering) en EU GDPR Artikel 36

In hierdie afdeling praat ons oor GDPR Artikels 36 (1), 36 (3)(a), 36 (3)(b), 36 (3)(c), 36 (3)(d), 36 (3)( e), 36 (3)(f) en 36 (5)

PII-verwerking is 'n risiko-swaar besigheidsfunksie wat deeglik beoordeel moet word om die integriteit, egtheid en wettigheid van die data wat verwerk word, te verseker.

Afhangende van die jurisdiksie, sal sommige organisasies moet voldoen aan 'n kategoriese lys scenario's waar 'n privaatheidsimpakbeoordeling vereis word, soos:

  1. Outomatiese besluitneming.
  2. Ondernemingsvlakverwerking van spesiale PII-kategorieë.
  3. Monitering van groot openbare areas.

Organisasies moet vasstel wat 'n voldoende impakbeoordeling is, insluitend (maar nie beperk nie tot):

  • Watter soort PII word gestoor.
  • Waar dit gestoor word.
  • Waarheen dit verskuif kan word.

Indeks van gekoppelde EU GDPR-artikels en ISO 27701-klousules

GDPR artikelISO 27701-klousuleISO 27701 Ondersteunende klousules
EU GDPR artikels 36 (1) tot 36 (5) ISO 27701 5.2.2Geen
EU GDPR artikels 36 (1), 36 (3)(a), 36(3)(b), 36 (3)(c), 36 (3)(d), 36 (3)(e), 36 (3)(f) en 36 (5) ISO 27701 7.2.5Geen

Hoe ISMS.online Help

Ondersteun wyer besigheidsbesluite. Met al jou data op een plek, ontwerp met samewerking in gedagte, sal jy goed toegerus wees om die regte besluite op die regte tyd te neem.

Bly voor verandering. Risiko's is nie staties nie, so jou gereedskap moet kan aanpas. Bedreigings en geleenthede moeiteloos aan te spreek deur 'n geïntegreerde en dinamiese instrument wat identifisering, evaluering en behandeling van risiko op 'n deurlopende basis vergemaklik.

Vind meer uit deur bespreek 'n demo.

Spring na onderwerp

Max Edwards

Max werk as deel van die ISMS.aanlyn-bemarkingspan en verseker dat ons webwerf opgedateer word met nuttige inhoud en inligting oor alles oor ISO 27001, 27002 en voldoening.

ISMS-platformtoer

Stel jy belang in 'n ISMS.online platform toer?

Begin nou jou gratis 2-minute interaktiewe demonstrasie en ervaar die magie van ISMS.online in aksie!

Probeer dit gratis

Ons is 'n leier in ons veld

Gebruikers is lief vir ons
Leier Winter 2025
Leier Winter 2025 Verenigde Koninkryk
Beste ROI Winter 2025
Vinnigste implementering Winter 2025
Mees implementeerbare Winter 2025

"ISMS.Aanlyn, uitstekende hulpmiddel vir regulatoriese nakoming"

-Jim M.

"Maak eksterne oudits 'n briesie en koppel alle aspekte van jou ISMS naatloos saam"

- Karen C.

"Innoverende oplossing vir die bestuur van ISO en ander akkreditasies"

- Ben H.

DORA is hier! Verhoog jou digitale veerkragtigheid vandag met ons kragtige nuwe oplossing!