BBP Artikel 36 skets 'n organisasie se verpligting om met 'n 'toesighoudende owerheid' te konsulteer voordat 'n DPIA uitgevoer word (sien Artikel 35), om sodoende die regte en vryhede van datasubjekte deur die hele verwerkingsoperasie verder te beskerm.
Vooraf konsultasie
- Die kontroleerder sal die toesighoudende owerheid raadpleeg voor verwerking waar 'n databeskermingsimpakbeoordeling ingevolge artikel 35 aandui dat die verwerking 'n hoë risiko tot gevolg sal hê in die afwesigheid van maatreëls wat deur die kontroleerder geneem is om die risiko te versag.
- Waar die toesighoudende owerheid van mening is dat die beoogde verwerking waarna in paragraaf 1 verwys word, hierdie Regulasie sou oortree, veral waar die kontroleerder die risiko nie genoegsaam geïdentifiseer of versag het nie, moet die toesighoudende owerheid binne 'n tydperk van tot agt weke na ontvangs van die versoek om konsultasie, skriftelike advies aan die kontroleerder en, waar van toepassing aan die verwerker, verskaf en kan enige van sy bevoegdhede gebruik waarna in artikel 58 verwys word. Daardie tydperk kan met ses weke verleng word, met inagneming van die kompleksiteit van die beoogde verwerking . Die toesighoudende owerheid sal die kontroleerder en, waar van toepassing, die verwerker, in kennis stel van enige sodanige verlenging binne een maand na ontvangs van die versoek om konsultasie tesame met die redes vir die vertraging. Daardie tydperke kan opgeskort word totdat die toesighoudende owerheid inligting verkry het wat hy vir die doeleindes van die konsultasie versoek het.
- Wanneer die toesighoudende owerheid ooreenkomstig paragraaf 1 geraadpleeg word, moet die kontroleerder die toesighoudende owerheid voorsien van:
- (a) waar van toepassing, die onderskeie verantwoordelikhede van die kontroleerder, gesamentlike beheerders en verwerkers betrokke by die verwerking, veral vir verwerking binne 'n groep ondernemings;
- (b) die doeleindes en middele van die beoogde verwerking;
- (c) die maatreëls en voorsorgmaatreëls wat voorsien word om die regte en vryhede van datasubjekte ingevolge hierdie Regulasie te beskerm;
- (d) waar van toepassing, die kontakbesonderhede van die databeskermingsbeampte;
- (e) die databeskermingsimpakbeoordeling waarvoor in artikel 35 voorsiening gemaak word; en
- (f) enige ander inligting wat deur die toesighoudende owerheid versoek word.
- Lidstate sal die toesighoudende owerheid raadpleeg tydens die voorbereiding van 'n voorstel vir 'n wetgewende maatreël wat deur 'n nasionale parlement aangeneem moet word, of van 'n regulerende maatreël gebaseer op so 'n wetgewende maatreël, wat verband hou met verwerking.
- Nieteenstaande paragraaf 1 kan die wetgewing van die lidstaat vereis dat beheerders met die toesighoudende owerheid konsulteer en vooraf toestemming van die toesighoudende owerheid verkry met betrekking tot verwerking deur 'n kontroleerder vir die uitvoering van 'n taak wat deur die kontroleerder in die openbare belang uitgevoer word, insluitende verwerking in verband met tot sosiale beskerming en openbare gesondheid.
Vooraf konsultasie
- Die kontroleerder sal die Kommissaris raadpleeg voor verwerking waar 'n databeskermingsimpakbeoordeling ingevolge artikel 35 aandui dat die verwerking 'n hoë risiko tot gevolg sal hê in die afwesigheid van maatreëls wat deur die kontroleerder geneem is om die risiko te versag.
- Waar die Kommissaris van mening is dat die beoogde verwerking waarna in paragraaf 1 verwys word, hierdie Regulasie oortree, veral waar die kontroleerder die risiko nie genoegsaam geïdentifiseer of versag het nie, moet die Kommissaris binne 'n tydperk van tot agt weke na ontvangs van die versoek vir konsultasie, verskaf skriftelike advies aan die kontroleerder en, waar van toepassing aan die verwerker, en kan enige van sy bevoegdhede gebruik waarna in Artikel 58 verwys word. Daardie tydperk kan met ses weke verleng word, met inagneming van die kompleksiteit van die beoogde verwerking. Die Kommissaris sal die kontroleerder en, waar van toepassing, die verwerker, in kennis stel van enige sodanige verlenging binne een maand na ontvangs van die versoek om konsultasie tesame met die redes vir die vertraging. Daardie tydperke kan opgeskort word totdat die Kommissaris inligting verkry het wat hy vir die doeleindes van die konsultasie versoek het.
- Wanneer die Kommissaris ooreenkomstig paragraaf 1 geraadpleeg word, moet die kontroleerder die toesighoudende owerheid voorsien van:
- (a) waar van toepassing, die onderskeie verantwoordelikhede van die kontroleerder, gesamentlike beheerders en verwerkers betrokke by die verwerking, veral vir verwerking binne 'n groep ondernemings;
- (b) die doeleindes en middele van die beoogde verwerking;
- (c) die maatreëls en voorsorgmaatreëls wat voorsien word om die regte en vryhede van datasubjekte ingevolge hierdie Regulasie te beskerm;
- (d) waar van toepassing, die kontakbesonderhede van die databeskermingsbeampte;
- (e) die databeskermingsimpakbeoordeling waarvoor in artikel 35 voorsiening gemaak word; en
- (f) enige ander inligting wat deur die toesighoudende owerheid versoek word.
- Die betrokke owerheid moet die Kommissaris raadpleeg tydens die voorbereiding van 'n voorstel vir 'n wetgewende maatreël wat deur die Parlement, die Nasionale Vergadering vir Wallis, die Skotse Parlement of die Noord-Ierland Vergadering aanvaar moet word, of van 'n regulatoriese maatreël gebaseer op so 'n wetgewende maatreël, wat met verwerking verband hou.
4A. In paragraaf 4 beteken "die betrokke owerheid"- (a) met betrekking tot 'n wetgewende maatreël wat deur die Parlement aangeneem is, of 'n regulatoriese maatreël gebaseer op so 'n wetgewende maatreël, die Staatsekretaris; (b) met betrekking tot 'n wetgewende maatreël wat deur die Nasionale Vergadering vir Wallis aangeneem is, of 'n regulatoriese maatreël gebaseer op so 'n wetgewende maatreël, die Walliese Ministers; (c) met betrekking tot 'n wetgewende maatreël wat deur die Skotse Parlement aangeneem is, of 'n regulatoriese maatreël gebaseer op so 'n wetgewende maatreël, die Skotse Ministers; (d) met betrekking tot 'n wetgewende maatreël wat deur die Noord-Ierland Vergadering aangeneem is, of 'n regulatoriese maatreël gebaseer op so 'n wetgewende maatreël, die betrokke Noord-Ierland Departement.- Nieteenstaande paragraaf 1 kan die wetgewing van die lidstaat vereis dat beheerders met die toesighoudende owerheid konsulteer en vooraf toestemming van die toesighoudende owerheid verkry met betrekking tot verwerking deur 'n kontroleerder vir die uitvoering van 'n taak wat deur die kontroleerder in die openbare belang uitgevoer word, insluitende verwerking in verband met tot sosiale beskerming en openbare gesondheid.
100% van ons gebruikers behaal die eerste keer ISO 27001-sertifisering
In hierdie afdeling praat ons oor GDPR Artikels 36 (1), 36 (2), 36 (3)(a), 36 (3)(b), 36 (3)(c), 36 (3)(d), 36 (3)(e), 36 (3)(f) en 36 (5)
PII en privaatheidsbeskerming het die potensiaal om 'n groot aantal werknemers, gebruikers, kliënte, beide intern en ekstern te beïnvloed.
Organisasies moet 'n vaste begrip kry van die behoeftes van enige geaffekteerde personeel en wat ISO as 'belanghebbende partye' beskou.
Organisasie se behoefte om vas te stel en te dokumenteer:
Organisasies moet ook enige wetlike, regulatoriese of kontraktuele verpligtinge in ag neem, naas praktiese en operasionele vereistes.
Wanneer 'n PIBS geïmplementeer word, moet organisasies 'n lys van belangstellende partye uitstippel wat óf deur 'n PIBS geraak word, óf 'n rol het om te speel in die verwerking van PII.
Wat PII betref, kan 'n belanghebbende party een van die volgende wees (maar nie beperk nie tot):
Dit is belangrik om daarop te let dat PII-vereistes – soos verwant aan 'n PIMS – dikwels uit 'n wye reeks bronne spruit, insluitend:
Dit kan dikwels moeilik wees vir regerende en regulatoriese organisasies om nakoming van gepubliseerde privaatheidsbeskermingstandaarde aan die kant van 'n organisasie te bevestig, in sy rol as 'n PII-verwerker en kontroleerder.
As sodanig moet organisasies van sulke liggame verwag om onafhanklike hersiening van enige relevante bestuurstelsel te vra om aan hul eie ouditvereistes te voldoen.
In hierdie afdeling praat ons oor GDPR Artikels 36 (1), 36 (3)(a), 36 (3)(b), 36 (3)(c), 36 (3)(d), 36 (3)( e), 36 (3)(f) en 36 (5)
PII-verwerking is 'n risiko-swaar besigheidsfunksie wat deeglik beoordeel moet word om die integriteit, egtheid en wettigheid van die data wat verwerk word, te verseker.
Afhangende van die jurisdiksie, sal sommige organisasies moet voldoen aan 'n kategoriese lys scenario's waar 'n privaatheidsimpakbeoordeling vereis word, soos:
Organisasies moet vasstel wat 'n voldoende impakbeoordeling is, insluitend (maar nie beperk nie tot):
| GDPR artikel | ISO 27701-klousule | ISO 27701 Ondersteunende klousules |
|---|---|---|
| EU GDPR artikels 36 (1) tot 36 (5) | ISO 27701 5.2.2 | Geen |
| EU GDPR artikels 36 (1), 36 (3)(a), 36)(3)(b), 36 (3)(c), 36 (3)(d), 36 (3)(e), 36 (3)(f) en 36 (5) | ISO 27701 7.2.5 | Geen |
Ondersteun wyer besigheidsbesluite. Met al jou data op een plek, ontwerp met samewerking in gedagte, sal jy goed toegerus wees om die regte besluite op die regte tyd te neem.
Bly voor verandering. Risiko's is nie staties nie, so jou gereedskap moet kan aanpas. Bedreigings en geleenthede moeiteloos aan te spreek deur 'n geïntegreerde en dinamiese instrument wat identifisering, evaluering en behandeling van risiko op 'n deurlopende basis vergemaklik.
Vind meer uit deur bespreek 'n demo.
Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo
