ווי צו באַווייַזן העסקעם מיט GDPR אַרטיקל 13

UK GDPR ווערסיע

אַרטיקל 13: אינפֿאָרמאַציע צוגעשטעלט ווען פערזענלעכע דאַטן זענען געזאמלט פֿון די דאַטן ונטערטעניק

1. ווען פערזענלעכע דאַטן רילייטינג צו אַ דאַטן ונטערטעניק זענען געזאמלט פֿון די דאַטן ונטערטעניק, דער קאָנטראָללער וועט, אין דער צייט ווען פערזענלעכע דאַטן זענען באקומען, צושטעלן די דאַטן אונטער אַלע די פאלגענדע אינפֿאָרמאַציע:
• די אידענטיטעט און די קאָנטאַקט דעטאַילס פון די קאַנטראָולער און, אויב אָנווענדלעך, פון די קאַנטראָולער ס פארשטייער;
• די קאָנטאַקט דעטאַילס פון די דאַטן שוץ אָפיציר, אויב אָנווענדלעך;
• די צוועקן פון די פּראַסעסינג פֿאַר וואָס די פערזענלעכע דאַטן זענען בדעה ווי געזונט ווי די לעגאַל יקער פֿאַר די פּראַסעסינג;
• ווען די פּראַסעסינג איז באזירט אויף פונט (f) פון אַרטיקל 6 (1), די לאַדזשיטאַמאַט אינטערעסן פּערסוד דורך די קאָנטראָללער אָדער דורך אַ דריט פּאַרטיי;
• די ריסיפּיאַנץ אָדער קאַטעגאָריעס פון ריסיפּיאַנץ פון די פערזענלעכע דאַטן, אויב קיין;
• אויב אָנווענדלעך, דער פאַקט אַז דער קאַנטראָולער בדעה צו אַריבערפירן פערזענלעכע דאַטן צו אַ דריט לאַנד אָדער אינטערנאַציאָנאַלע אָרגאַניזאַציע און די עקזיסטענץ אָדער פעלן פון באַטייַטיק אַדאַקוואַסי רעגיאַליישאַנז אונטער אָפּטיילונג 17A פון די 2018 אקט, אָדער אין די פאַל פון טראַנספערס ריפערד צו אין אַרטיקל 46 אָדער 47 , אָדער די צווייטע סובפּאַראַגראַף פון אַרטיקל 49 (1), רעפֿערענץ צו די צונעמען אָדער פּאַסיק באַוואָרענישן און די מיטלען צו קריגן אַ קאָפּיע פון ​​זיי אָדער ווו זיי זענען בנימצא.
2. אין אַדישאַן צו די אינפֿאָרמאַציע ריפערד צו אין פּאַראַגראַף 1, דער קאַנטראָולער וועט, אין דער צייט ווען פערזענלעכע דאַטן זענען באקומען, צושטעלן די דאַטן ונטערטעניק די פאלגענדע אינפֿאָרמאַציע נייטיק צו ענשור שיין און טראַנספּעראַנט פּראַסעסינג:
• די צייט פֿאַר וואָס די פערזענלעכע דאַטן וועט זיין סטאָרד, אָדער אויב דאָס איז ניט מעגלעך, די קרייטיריאַ געניצט צו באַשטימען דעם פּעריאָד;
• די עקזיסטענץ פון די רעכט צו בעטן פון די קאַנטראָולער אַקסעס צו און רעקטאַפאַקיישאַן אָדער מעקן פון פערזענלעכע דאַטן אָדער ריסטריקשאַן פון פּראַסעסינג וועגן די דאַטן ונטערטעניק אָדער צו אָבסערווירן פּראַסעסינג און די רעכט צו דאַטן פּאָרטאַביליטי;
• ווען די פּראַסעסינג איז באזירט אויף פונט (אַ) פון אַרטיקל 6 (1) אָדער פונט (אַ) פון אַרטיקל 9 (2), די עקזיסטענץ פון די רעכט צו צוריקציען צושטימען אין קיין צייט, אָן אַפעקטינג די לעגאַלנאַס פון פּראַסעסינג באזירט אויף צושטימען איידער זייַן ווידדראָאַל;
• די רעכט צו לייגן אַ קלאָג צו די קאַמישאַנער;
• צי די טנייַ פון פערזענלעכע דאַטן איז אַ סטאַטשאַטאָרי אָדער קאַנטראַקטשואַל פאָדערונג, אָדער אַ פאָדערונג נייטיק צו אַרייַן אַ קאָנטראַקט, ווי געזונט ווי צי די דאַטן ונטערטעניק איז אַבליידזשד צו צושטעלן פערזענלעכע דאַטן און די מעגלעך פאלגן פון דורכפאַל צו צושטעלן אַזאַ דאַטן;
• די עקזיסטענץ פון אָטאַמייטיד באַשלוס-מאכן, אַרייַנגערעכנט פּראָפילינג, ריפערד צו אין אַרטיקל 22 (1) און (4) און, אין מינדסטער אין די קאַסעס, מינינגפאַל אינפֿאָרמאַציע וועגן די ינוואַלווד לאָגיק, ווי געזונט ווי די באַטייַט און די ענוויזידזשד קאַנסאַקווענסאַז פון אַזאַ פּראַסעסינג. פֿאַר די דאַטן ונטערטעניק.
3. ווען דער קאַנטראָולער בדעה צו פאָרזעצן פּראַסעסינג די פערזענלעכע דאַטן פֿאַר אַ אנדערע צוועק ווי די פֿאַר וואָס די פערזענלעכע דאַטן זענען געזאמלט, דער קאַנטראָולער וועט צושטעלן די דאַטן אונטערטעניק איידער דער ווייַטער פּראַסעסינג אינפֿאָרמאַציע וועגן דעם אנדערע ציל און מיט קיין באַטייַטיק ווייַטער אינפֿאָרמאַציע ווי ריפערד. צו אין פּאַראַגראַף 2.
4. פּאַראַגראַפס 1, 2 און 3 וועט נישט צולייגן ווו און ווי ווייַט ווי די דאַטן ונטערטעניק האט שוין די אינפֿאָרמאַציע.

טעכניש קאָמענטאַר

אָרגאַנאַזיישאַנז דאַרפֿן צו מאַכן די פאלגענדע אינפֿאָרמאַציע בנימצא אין די פונט פון זאַמלונג, ווו עס איז אָנווענדלעך (למשל אינטערנאַציאָנאַלע טראַנספערס):

1. די אידענטיטעט פון זייער דאַטאַ פּראַטעקשאַן אָפיציר.
2. קאָנטאַקט דעטאַילס פון זייער דאַטאַ פּראַטעקשאַן אָפיציר.
3. דער ציל און לעגאַל יקער פֿאַר קאַלעקטינג די דאַטן.
4. קיין לאַדזשיטאַמאַט אינטערעסן.
5. די אידענטיטעט פון די ריסיפּיאַנץ.
6. אינטערנאַציאָנאַלע טראַנספערס פון דאַטן, אַרייַנגערעכנט לאַנד דעטאַילס און סייפגאַרדז.

אַבלאַגיישאַנז צו צושטעלן אינפֿאָרמאַציע ווען פערזענלעכע דאַטן זענען באקומען

אין לויט מיט די גיידאַנס אַוטליין אין אַרטיקל 13, אָרגאַנאַזיישאַנז אויך דאַרפֿן צו צושטעלן די פאלגענדע אינפֿאָרמאַציע:

• דעטאַילס פון די דאַטן ריטענשאַן צייַט.
• די ספּעסיפיקס פון די רעכט פון די דאַטן אונטערטעניק אונטער דאַטן שוץ געזעץ.
• אינפֿאָרמאַציע וועגן ווי צו צוריקציען צושטימען.
• ווי צו שטעלן אַ קלאָג.
• דער מקור פון די דאַטן וואָס איז באקומען.
• קיין קאַנטראַקטשואַל אָדער סטאַטשאַטאָרי באדערפענישן.
• דעטאַילס פון אָטאַמייטיד באַשלוס-מאכן פּראַסעסאַז.

אי.יו. GDPR ארטיקלען 13 (1) (אַ), (1) (ב), (1) (c), (1) (ד), (1) (e), (1) (f), (2) ( c), (2) (ד), (2) (E), (3), (4) און ISO 27701 פּונקט 7.3.2

דיטערמאַנינג אינפֿאָרמאַציע פֿאַר PII פּרינסיפּאַלס

אָרגאַנאַזיישאַנז זאָל באַשרייַבן אַ דיטיילד גאַנג פון רעקווירעמענץ וואָס רעגירן ווי און ווען אינפֿאָרמאַציע איז צוגעשטעלט צו PII פּרינסיפּאַלס.

ביישפילן אַרייַננעמען:

• די אַנדערלייינג ציל פון די דאַטן וואָס זענען געזאמלט און פּראַסעסט.
• קאָנטאַקט דעטאַלן.
• ווי און ווו די PII איז באקומען.
• קאָנטראַקטואַל און / אָדער סטאַטשאַטאָרי באדערפענישן.
• ווי צושטימען קענען ווערן אַוועקגענומען.
• PII טראַנספערס.
• ווי צו לאָגין אַ קלאָג.
• ווי די אָרגאַניזאַציע מאכט דיסיזשאַנז וועגן די פּראַסעסינג פון PII.
• אינפֿאָרמאַציע ריטענשאַן פּיריאַדז.

EU GDPR אַרטיקל 13 (3) און ISO 27701 פּונקט 7.3.3

פּראַוויידינג אינפֿאָרמאַציע צו PII פּרינסיפּאַלס

אַלע אינפֿאָרמאַציע זאָל זיין צוגעשטעלט אָן טעות, און אין אַ שפּראַך וואָס איז גרינג צו פֿאַרשטיין (למשל פעלנדיק זשאַרגאָן, ניט צו טעכניש) דורך די מענטשן וואָס האָבן די פיייקייט צו לייענען עס (זען ISO 27702 פּונקט 7.3.2).

שטיצן ISO 27701 קלאָזיז

• ISO 27701 7.3.2

EU GDPR אַרטיקל 13 (2) (c) און ISO 27701 פּונקט 7.3.4

צושטעלן מעקאַניזאַם צו מאָדיפיצירן אָדער צוריקציען צושטימען

מעקאַניזאַמז זאָל זיין צוגעשטעלט אַז באַזאָרגן צו די רעכט פון קיין PII הויפּט וואָס איז זוכט צו צוריקציען צושטימען.

קאָמוניקאַציע טשאַנאַלז זאָל שפּיגל די וואָס זענען געניצט דורך די אָרגאַניזאַציע צו טכילעס זאַמלען די דאַטן, און PII פּרינסיפּאַלס זאָל קענען באַגרענעצן די קאָנטראָללער פון דורכפירן זיכער אַקשאַנז.

אָרגאַנאַזיישאַנז זאָל יבערגעבן צו אַ ארויס ענטפער צייט פֿאַר אַלע מאָדיפיקאַטיאָנס אָדער ווידדראָאַל פון צושטימען ריקוועס, און אַלע אַזאַ ריקוועס זאָל זיין ונ דורך דאַקיומענטאַד.

EU GDPR אַרטיקל 13 (2) (ב) און ISO 27701 פּונקט 7.3.5

פּראַוויידינג מעקאַניזאַם צו אָבדזשעקט צו PII פּראַסעסינג

לאקאלע און נאציאנאלע געזעצן זענען פארשיידענע צווישן דזשוריסדיקשאַנז, אָבער אין אַלגעמיין, PII פּרינסיפּאַלס זאָל האַלטן די פיייקייט צו כאַפּן אַבדזשעקשאַנז וועגן ווי זייער דאַטן זענען סטאָרד, פּראַסעסט אָדער טראַנספערד.

אָרגאַנאַזיישאַנז זאָל:

1. דאָקומענט קיין לעגאַל אָדער רעגולאַטאָרי רעקווירעמענץ וואָס זענען שייַכות צו קיין אַבדזשעקשאַנז אויפשטיין דורך PII פּרינסיפּאַלס.
2. צושטעלן דאַטן סאַבדזשעקץ מיט אינפֿאָרמאַציע וועגן ווי זיי קענען אַבדזשעקץ.

EU GDPR אַרטיקל 13 (2) (ב) און ISO 27701 פּונקט 7.3.6

אַקסעס, קערעקשאַן און / אָדער ויסמעקן

אָרגאַנאַזיישאַנז זאָל דאָקומענט פּראָוסידזשערז וואָס לאָזן דאַטן סאַבדזשעקץ צו דורכפירן דריי יקערדיק פאַנגקשאַנז:

1. צוטריט זייער דאַטן.
2. Correct זייער דאַטן.
3. ויסמעקן זייער דאַטן.

אָרגאַנאַזיישאַנז זאָל יבערגעבן צו אַ פארעפנטלעכט ענטפער צייט פֿאַר אַלע אַקסעס, קערעקשאַן אָדער דילישאַן ריקוועס, און צושטעלן אַ סיבה פֿאַר וואָס קערעקשאַנז זענען נישט ביכולת צו זיין אַקטאַד, ווו באַטייַטיק.

אויב PII איז טראַנספערד צו אַ דריט פּאַרטיי, אָרגאַנאַזיישאַנז זענען אַבליידזשד צו רילייינג קיין ריקוועס צו זיי און באַשטעטיקן דערקענטעניש (זען ISO 27701 פּונקט 7.3.7).

דעפּענדינג אויף די דזשוריסדיקשאַן, פאַרשידן רעגיאָנאַל און נאציאנאלע כּללים קענען צולייגן. ווי אַזאַ, אָרגאַנאַזיישאַנז זאָל האַלטן אַ גרונטיק פארשטאנד פון קיין געזעצן אָדער רעגיאַליישאַנז וואָס אַפּלייז צו אַקסעס צו, קערעקשאַן אָדער דילישאַן פון PII.

שטיצן ISO 27701 קלאָזיז

• ISO 27701 7.3.7

EU GDPR אַרטיקל 13 (2) (f) און ISO 27701 פּונקט 7.3.10

אָטאַמייטיד באַשלוס געמאכט

אָרגאַנאַזיישאַנז זאָל אַדרעס קיין לעגאַל אַבלאַגיישאַנז צו PII פּרינסיפּאַלס וואָס פאַרבינדן צו די אָטאַמייטיד פּראַסעסינג פון PII.

אָרגאַנאַזיישאַנז זאָל נעמען אין חשבון דזשוריסדיקשאַנאַל דיפעראַנסיז אין אָטאַמייטיד באַשלוס געמאכט וועגן PII - מער ספּאַסיפיקלי, אַלאַוינג PII פּרינסיפּאַלס צו אַבדזשעקט און בעטן מענטש ינטערווענטיאָן אין פּלאַץ פון אָטאַמייטיד פּראָוסידזשערז.

EU GDPR אַרטיקל 13 (2) (אַ) און ISO 27701 פּונקט 7.4.7

אָרגאַנאַזיישאַנז דאַרפֿן צו ויסמעקן און / אָדער ויסמעקן PII אַז עס ניט מער ריקווייערז אָדער ניט מער פולפילז אַ ספּעציפיש ציל.

אָרגאַנאַזיישאַנז זאָל אַרבעטן מיט ריטענשאַן סקעדזשולז וואָס באַשרייַבן די פּינטלעך צייט וואָס PII איז ריטיינד פֿאַר, אַרייַנגערעכנט אַדכיראַנס צו קיין לעגאַל, סטאַטשאַטאָרי אָדער קאַנטראַקטשואַל רעקווירעמענץ.

שטיצן קאָנטראָלס פֿון ISO 27701

ווי ISMS.online העלפּס

ROPA איז גרינג

אונדזער PIMS לייזונג מאכט דאַטן מאַפּינג אַ פּשוט אַרבעט. עס איז גרינג צו רעקאָרדירן און אָפּשאַצן עס אַלע, אַדינג דיין אָרגאַניזאַציע ס דעטאַילס צו אונדזער פאַר-קאַנפיגיערד דינאַמיש רעקאָרדס פון פּראַסעסינג אַקטיוויטי געצייַג.

געבויט אין ריזיקירן באַנק

אָנפירונג ריזיקירן איז שליסל צו אַ געראָטן PIMS. אַז ס וואָס מיר האָבן באשאפן אַ געבויט-אין ריזיקירן באַנק און אַ קייט פון אנדערע פּראַקטיש מכשירים וואָס וועט העלפֿן מיט יעדער טייל פון די ריזיקירן אַסעסמאַנט און פאַרוואַלטונג פּראָצעס.

זיכער פּלאַץ פֿאַר DRR

וועלכער פּריוואַטקייט סטאַנדאַרדס אָדער רעגולירן איר אַרבעט אויף, איר וועט דאַרפֿן צו ווייַזן ווי געזונט איר פירן דאַטן סאַבדזשעקט רעכט ריקוועס (DRR). אונדזער זיכער DRR פּלאַץ האלט עס אַלע אין איין אָרט, שטיצן עס מיט אָטאַמייטיד ריפּאָרטינג און ינסייט.

געפֿינען זיך מער דורך בוקינג אַ דעמאָ.