ווי צו באַווייַזן העסקעם מיט GDPR אַרטיקל 30

UK GDPR ווערסיע

רעקאָרדס פון פּראַסעסינג אַקטיוויטעטן

1. יעדער קאָנטראָללער און, אויב אָנווענדלעך, דער פארשטייער פון די קאָנטראָללער, וועט האַלטן אַ רעקאָרד פון פּראַסעסינג אַקטיוויטעטן אונטער זיין פֿאַראַנטוואָרטלעכקייט. דער רעקאָרד זאָל אַנטהאַלטן אַלע די פאלגענדע אינפֿאָרמאַציע:
• די נאָמען און קאָנטאַקט דעטאַילס פון די קאַנטראָולער און, אויב אָנווענדלעך, די שלאָס קאָנטראָללער, די קאַנטראָולער ס פארשטייער און די דאַטן שוץ אָפיציר.
• די צוועקן פון פּראַסעסינג.
• א באַשרייַבונג פון די קאַטעגאָריעס פון דאַטן סאַבדזשעקץ און פון די קאַטעגאָריעס פון פּערזענלעך דאַטן.
• די קאַטעגאָריעס פון ריסיפּיאַנץ צו וועמען די פערזענלעכע דאַטן האָבן שוין אָדער וועט זיין דיסקלאָוזד אַרייַנגערעכנט ריסיפּיאַנץ אין דריט לענדער אָדער אינטערנאַציאָנאַלע אָרגאַנאַזיישאַנז.
• אויב אָנווענדלעך, טראַנספערס פון פערזענלעכע דאַטן צו אַ דריט לאַנד אָדער אַן אינטערנאַציאָנאַלע אָרגאַניזאַציע, אַרייַנגערעכנט די לעגיטימאַציע פון ​​דעם דריט לאַנד אָדער אינטערנאַציאָנאַלע אָרגאַניזאַציע און, אין די פאַל פון טראַנספערס ריפערד צו אין די רגע סאַבסאַקוואַנט פון אַרטיקל 49 (1), די דאַקיומענטיישאַן פון פּאַסיק. זיכערהייטס.
• אויב מעגלעך, די ענוויזידזשד צייט לימאַץ פֿאַר מעקן פון די פאַרשידענע קאַטעגאָריעס פון דאַטן.
• אויב מעגלעך, אַ גענעראַל באַשרייַבונג פון די טעכניש און אָרגאַנאַזיישאַנאַל זיכערהייט מיטלען ריפערד צו אין אַרטיקל 32 (1), אָדער, ווי צונעמען, די זיכערהייט מיטלען ריפערד צו אין אָפּטיילונג 28 (3) פון די 2018 אקט.
2. יעדער פּראַסעסער און, אויב אָנווענדלעך, דער פארשטייער פון די פּראַסעסער וועט האַלטן אַ רעקאָרד פון אַלע קאַטעגאָריעס פון פּראַסעסינג אַקטיוויטעטן דורכגעקאָכט אין ביכאַף פון אַ קאָנטראָללער, מיט:
• די נאָמען און קאָנטאַקט דעטאַילס פון די פּראַסעסער אָדער פּראַסעסערז און פון יעדער קאָנטראָללער אויף ביכאַף פון וואָס דער פּראַסעסער איז אַקטינג, און, אויב אָנווענדלעך, פון די קאַנטראָולער אָדער די פּראַסעסער ס פארשטייער, און די דאַטן שוץ אָפיציר.
• די קאַטעגאָריעס פון פּראַסעסינג געפירט אויס אויף ביכאַף פון יעדער קאָנטראָללער.
• אויב אָנווענדלעך, טראַנספערס פון פערזענלעכע דאַטן צו אַ דריט לאַנד אָדער אַן אינטערנאַציאָנאַלע אָרגאַניזאַציע, אַרייַנגערעכנט די לעגיטימאַציע פון ​​דעם דריט לאַנד אָדער אינטערנאַציאָנאַלע אָרגאַניזאַציע און, אין די פאַל פון טראַנספערס ריפערד צו אין די רגע סאַבסאַקוואַנט פון אַרטיקל 49 (1), די דאַקיומענטיישאַן פון פּאַסיק. זיכערהייטס.
• אויב מעגלעך, אַ גענעראַל באַשרייַבונג פון די טעכניש און אָרגאַנאַזיישאַנאַל זיכערהייט מיטלען ריפערד צו אין אַרטיקל 32 (1). אָדער, ווי צונעמען, די זיכערהייט מיטלען ריפערד צו אין אָפּטיילונג 28 (3) פון די 2018 אקט.
3. די רעקאָרדס ריפערד צו אין פּאַראַגראַפס 1 און 2 וועט זיין אין שרייבן, אַרייַנגערעכנט אין עלעקטראָניש פאָרעם.
4. דער קאַנטראָולער אָדער דער פּראַסעסער און, אויב אָנווענדלעך, דער קאַנטראָולער אָדער די פּראַסעסער ס פארשטייער, וועט מאַכן די רעקאָרד בנימצא צו די קאַמישאַנער, אויף בעטן.
5. די אַבלאַגיישאַנז ריפערד צו אין פּאַראַגראַפס 1 און 2 וועט נישט אַפּלייז צו אַ פאַרנעמונג אָדער אַן אָרגאַניזאַציע וואָס עמפּלוייז ווייניקערע ווי 250 מענטשן סייַדן די פּראַסעסינג וואָס עס פירט איז מסתּמא צו פירן צו אַ ריזיקירן צו די רעכט און פרייהייט פון דאַטן סאַבדזשעקץ, די פּראַסעסינג איז נישט טיילמאָליק. , אָדער די פּראַסעסינג כולל ספּעציעל קאַטעגאָריעס פון דאַטן ווי ריפערד צו אין אַרטיקל 9 (1) אָדער פערזענלעכע דאַטן רילייטינג צו פאַרברעכער קאַנוויקשאַנז און עבירות ריפערד צו אין אַרטיקל 10.

טעכניש קאָמענטאַר

GDPR אַרטיקל 30 אַדרעסז פיר שליסל געביטן פון אַ רעקאָרד וישאַלט:

1. רעקאָרדס פון פּראַסעסינג אַקטיוויטעטן דורך די קאָנטראָללער.
2. רעקאָרדס פון פּראַסעסינג אַקטיוויטעטן דורך די פּראַסעסער.
3. געשריבן רעקאָרד פֿאָרמאַטירונגען.
4. די כוחות פון סופּערווייזערי אויטאריטעטן.

אַרטיקל 30 אויך דיסקרייבד אויסנעמען וואָס זענען געווענדט צו קיין פון די אויבן געביטן - דער הויפּט אַז קיין אָרגאַניזאַציע מיט ווייניקער ווי 250 מענטשן איז נישט אַבליידזשד צו האַלטן פּראַסעסינג רעקאָרדס, אַחוץ ווו די רעכט און פרייהייט פון דאַטן סאַבדזשעקץ זענען 'ניט טיילמאָליק', אָדער די אָרגאַניזאַציע פּראַסעסאַז 'ספּעציעלע קאַטעגאָריעס' פון דאַטן, אָדער פאַרברעכער דאַטן.

ISO 27701 פּונקט 6.12.1.2 (אַדרעסינג זיכערהייט אין סאַפּלייער אַגרימאַנץ) און EU GDPR אַרטיקל 30 (2) (ד)

ווען אַדרעסינג זיכערהייט אין סאַפּלייער באַציונגען, אָרגאַנאַזיישאַנז זאָל ענשור אַז ביידע פּאַרטיעס זענען אַווער פון זייער אַבלאַגיישאַנז צו פּריוואַטקייט אינפֿאָרמאַציע זיכערהייט און איינער דעם אנדערן.

אין טאן אַזוי, אָרגאַנאַזיישאַנז זאָל:

• פאָרשלאָגן אַ קלאָר באַשרייַבונג וואָס דעטאַילס די פּריוואַטקייט אינפֿאָרמאַציע וואָס דאַרף זיין אַקסעסט און ווי די אינפֿאָרמאַציע וועט זיין אַקסעסט.
• קלאַסיפיצירן די פּריוואַטקייט אינפֿאָרמאַציע צו זיין אַקסעסט אין לויט מיט אַן אנגענומען קלאַסאַפאַקיישאַן סכעמע (זען יסאָ קסנומקס קאָנטראָלס 5.10, 5.12 און 5.13).
• באַטראַכטן די קלאַסאַפאַקיישאַן סכעמע פון ​​​​די סאַפּלייערז גענוג.
• קאַטאַגערייז רעכט אין פיר הויפּט געביטן - לעגאַל, סטאַטשאַטאָרי, רעגולאַטאָרי און קאַנטראַקטשואַל - מיט אַ דיטיילד באַשרייַבונג פון אַבלאַגיישאַנז פּער שטח.
• פאַרזיכערן אַז יעדער פּאַרטיי איז אַבליידזשד צו דורכפירן אַ סעריע פון ​​​​קאָנטראָלס וואָס מאָניטאָר, אַססעסס און פירן פּריוואַטקייט אינפֿאָרמאַציע זיכערהייט ריזיקירן לעוועלס.
• באַשרייַבן די נויט פֿאַר סאַפּלייער פּערסאַנעל צו אַדכיר צו די אינפֿאָרמאַציע זיכערהייט סטאַנדאַרדס פון אַן אָרגאַניזאַציע (זען ISO 27002 קאָנטראָל 5.20).
• פאַסילאַטייט אַ קלאָר פארשטאנד פון וואָס קאַנסטאַטוץ ביידע פּאַסיק און אַנאַקסעפּטאַבאַל נוצן פון פּריוואַטקייט אינפֿאָרמאַציע, און גשמיות און ווירטואַל אַסעץ פון יעדער פּאַרטיי.
• אָנפירן דערלויבעניש קאָנטראָלס וואָס זענען פארלאנגט פֿאַר סאַפּלייער-זייַט פּערסאַנעל צו אַקסעס אָדער זען אַן אָרגאַניזאַציע ס פּריוואַטקייט אינפֿאָרמאַציע.
• געבן באַטראַכטונג צו וואָס אַקערז אין די געשעעניש פון אַ בריטש פון קאָנטראַקט, אָדער קיין דורכפאַל צו אַדכיר צו יחיד סטיפּיאַליישאַנז.
• אַוטליין אַ ינסידענט מאַנאַגעמענט פּראָצעדור, אַרייַנגערעכנט ווי הויפּט געשעענישן זענען קאַמיונאַקייטיד.
• פאַרזיכערן אַז פּערסאַנעל באַקומען זיכערהייט וויסיקייַט טריינינג.
• (אויב דער סאַפּלייער איז דערלויבט צו נוצן סאַבקאַנטראַקטערז) לייג אין רעקווירעמענץ צו ענשור אַז סאַבקאַנטראַקטערז זענען אַליינד מיט די זעלבע גאַנג פון פּריוואַטקייט אינפֿאָרמאַציע זיכערהייט סטאַנדאַרדס ווי די סאַפּלייער.
• באַטראַכטן ווי סאַפּלייער פּערסאַנעל זענען סקרינד איידער ינטעראַקטינג מיט פּריוואַטקייט אינפֿאָרמאַציע.
• סטימולירן די נויט פֿאַר דריט-פּאַרטיי אַטטעסטיישאַנז וואָס אַדרעס די סאַפּלייער ס פיייקייט צו מקיים אָרגאַנאַזיישאַנאַל פּריוואַטקייט אינפֿאָרמאַציע זיכערהייט רעקווירעמענץ.
• האָבן די קאַנטראַקטשואַל רעכט צו קאָנטראָלירן די פּראָוסידזשערז פון סאַפּלייער.
• דאַרפן סאַפּלייערז צו צושטעלן ריפּאָרץ וואָס דעטאַל די יפעקטיוונאַס פון זייער אייגענע פּראַסעסאַז און פּראָוסידזשערז.
• פאָקוס אויף גענומען סטעפּס צו ווירקן די בייַצייַטיק און גרונטיק האַכלאָטע פון ​​קיין חסרונות אָדער קאָנפליקט.
• פאַרזיכערן אַז סאַפּלייערז אַרבעטן מיט אַ טויגן BUDR פּאָליטיק, צו באַשיצן די אָרנטלעכקייַט און אַוויילאַבילאַטי פון PII און פּריוואַטקייט-פֿאַרבונדענע אַסעץ.
• דאַרפן אַ סאַפּלייער-זייַט ענדערונג פאַרוואַלטונג פּאָליטיק וואָס ינפאָרמז די אָרגאַניזאַציע פון ​​קיין ענדערונגען וואָס האָבן די פּאָטענציעל צו פּראַל אויף פּריוואַטקייט שוץ.
• ינסטרומענט פיזיש זיכערהייט קאָנטראָלס וואָס זענען פּראַפּאָרשאַנאַל צו די סענסיטיוויטי פון די דאַטן סטאָרד און פּראַסעסט.
• (וואו די דאַטן זאָל זיין טראַנספערד) בעטן סאַפּלייערז צו ענשור אַז דאַטן און אַסעץ זענען פּראָטעקטעד פון אָנווער, שעדיקן אָדער קאָרופּציע.
• באַשרייַבן אַ רשימה פון אַקשאַנז צו זיין גענומען דורך יעדער פּאַרטיי אין די געשעעניש פון טערמאַניישאַן.
• בעט די סאַפּלייער צו דערקלערן ווי זיי בדעה צו צעשטערן פּריוואַטקייט אינפֿאָרמאַציע נאָך טערמאַניישאַן, אָדער פון די דאַטן איז ניט מער פארלאנגט.
• נעמען סטעפּס צו ענשור מינימאַל געשעפט יבעררייַס בעשאַס אַ כאַנדאָוווער צייַט.

אָרגאַניזאַציעס זאָל אויך האַלטן אַ רעגיסטרירן פון אַגרימאַנץ, וואָס ליסטעד אַלע אַגרימאַנץ מיט אנדערע אָרגאַניזאַציעס.

שטיצן ISO 27002 קאָנטראָלס

• ISO 27002 5.10
• ISO 27002 5.12
• ISO 27002 5.13
• ISO 27002 5.20

ISO 27701 פּונקט 6.15.1.1 (ידענטיפיקאַטיאָן פון אָנווענדלעך געסעצ - געבונג און קאָנטראַקטואַל רעקווירעמענץ) און EU GDPR אַרטיקל 30 (2) (ד)

אָרגאַנאַזיישאַנז זאָל נאָכקומען מיט לעגאַל, סטאַטשאַטאָרי, רעגולאַטאָרי און קאַנטראַקטשואַל רעקווירעמענץ ווען:

• דראַפטינג און / אָדער אַמענדינג פּריוואַטקייט אינפֿאָרמאַציע זיכערהייט פּראָוסידזשערז.
• קאַטאַגערייזינג אינפֿאָרמאַציע.
• עמבאַרקינג אויף ריזיקירן אַסעסמאַנץ רילייטינג צו פּריוואַטקייט אינפֿאָרמאַציע זיכערהייט אַקטיוויטעטן.
• פאָרגינג סאַפּלייער באציונגען, אַרייַנגערעכנט קיין קאַנטראַקטשואַל אַבלאַגיישאַנז איבער די צושטעלן קייט.

אָרגאַנאַזיישאַנז זאָל נאָכגיין פּראָוסידזשערז וואָס לאָזן זיי צו ידענטיפיצירן, אַנאַליסיס און פאַרשטיין לעגיסלאַטיווע און רעגולאַטאָרי אַבלאַגיישאַנז - ספּעציעל די וואָס זענען זארגן מיט פּריוואַטקייט שוץ און PII - ווו נאָר זיי אַרבעטן.

אָרגאַנאַזיישאַנז זאָל שטענדיק זיין מיינדפאַל פון זייער פּריוואַטקייט שוץ אַבלאַגיישאַנז ווען זיי אַרייַן נייַע אַגרימאַנץ מיט דריט פּאַרטיעס, סאַפּלייערז און קאָנטראַקטאָרס.

ווען דיפּלויינג ענקריפּשאַן מעטהאָדס צו שטיצן פּריוואַטקייט שוץ און באַוואָרעניש PII, אָרגאַנאַזיישאַנז זאָל:

• אָבסערווירן קיין געזעצן וואָס רעגירן די אַרייַנפיר און אַרויספירן פון ייַזנוואַרג אָדער ווייכווארג וואָס האט די פּאָטענציעל צו מקיים אַ קריפּטאָגראַפיק פונקציע
• צושטעלן אַקסעס צו ינקריפּטיד אינפֿאָרמאַציע אונטער די געזעצן פון די דזשוריסדיקשאַן זיי אַרבעטן אין.
• ניצן דריי שליסל עלעמענטן פון ענקריפּשאַן:
1. דיגיטאַל סיגנאַטשערז.
2. סתימות.
3. דיגיטאַל סערטיפיקאַץ.

שטיצן ISO 27002 קאָנטראָלס

• ISO 27002 5.20

ISO 27701 פּונקט 7.2.8 (רעקאָרדס שייַכות צו פּראַסעסינג PII) און EU GDPR אַרטיקל 30

אין דעם אָפּטיילונג מיר רעדן וועגן GDPR אַרטיקלען 30 (1) (אַ), 30 (1) (ב), 30 (1) (c), 30 (1) (ד), 30 (1) (f), 30 ( 1)(ג), 30 (3), 30 (4) און 30 (5)

אָרגאַנאַזיישאַנז דאַרפֿן צו האַלטן אַ גרונטיק גאַנג פון רעקאָרדס וואָס שטיצן זייַן אַקשאַנז און אַבלאַגיישאַנז ווי אַ PII פּראַסעסער.

רעקאָרדס (אַנדערש באקאנט ווי 'ינווענטאָרי רשימות') זאָל האָבן אַ דעלאַגייטאַד באַזיצער, און קען אַרייַננעמען:

• אַפּעריישאַנאַל - דער ספּעציפיש טיפּ פון PII פּראַסעסינג וואָס איז דורכגעקאָכט.
• דזשאַסטאַפאַקיישאַנז - וואָס די PII איז פּראַסעסט.
• קאַטאַגאָריקאַל - רשימות פון PII ריסיפּיאַנץ, אַרייַנגערעכנט אינטערנאַציאָנאַלע אָרגאַנאַזיישאַנז.
• זיכערהייט - אַן איבערבליק פון ווי PII איז פּראָטעקטעד.
• פּריוואַטקייט - הייסט אַ פּריוואַטקייט פּראַל אַסעסמאַנט באַריכט.

ISO 27701 פּונקט 7.5.1 (ידענטיפיצירן יקער פֿאַר PII אַריבערפירן צווישן דזשוריסדיקשאַנז) און EU GDPR אַרטיקל 30 (1) (e)

פון צייט צו צייט, עס קען זיין נויטיק צו אַריבערפירן PII צווישן צוויי באַזונדער דזשוריסדיקשאַנז. ווען דאָס אַקערז, אָרגאַנאַזיישאַנז זאָל באַרעכטיקן און דאָקומענט די נויט פֿאַר טאן אַזוי.

רעגיאָנאַל רעגולאַטאָרי און לעגאַל כּללים בייַטן דיפּענדינג אויף ווו די דאַטן זענען ערידזשאַנייטאַד און ווו עס וועט זיין טראַנספערד צו.

אָרגאַנאַזיישאַנז זאָל נעמען אין חשבון אַלע באַטייַטיק געזעצן, פראַמעוואָרקס און רעגיאַליישאַנז ווען זיי דאַרפֿן צו אַריבערפירן דאַטן צווישן דזשוריסדיקשאַנז, אַרייַנגערעכנט די נוצן פון אַ דעזיגנייטיד סופּערווייזערי אויטאָריטעט.

ISO 27701 פּונקט 7.5.2 (לענדער און אינטערנאַציאָנאַלע אָרגאַנאַזיישאַנז צו וואָס PII קענען זיין טראַנספערד) און EU GDPR אַרטיקל 30 (1) (e)

אָרגאַנאַזיישאַנז זאָל האַלטן אַ דאַקיומענטאַד רשימה פון די לענדער און אָרגאַנאַזיישאַנז צו וואָס זיי קען פּאַטענטשאַלי אַריבערפירן זייער PII, אונטער גלייַך צושטאנדן.

אַמאָל זיי האָבן פאָרמולירט אַ רשימה, אָרגאַנאַזיישאַנז זאָל מאַכן די אינפֿאָרמאַציע בנימצא צו זייער קאַסטאַמערז, אַרייַנגערעכנט קיין סאַבקאַנטראַקטיד PII אַפּעריישאַנז (זען ISO 27701 פּונקט 7.5.1).

אין זיכער צושטאנדן - ספּעציעל אין די פאַל פון פאַרברעכער ינוועסטאַגיישאַנז - קאַנפאַדענשיאַלאַטי געזעצן קען פאַרמיידן די אָרגאַניזאַציע פון ​​אנטפלעקונג די אידענטיטעט פון דעסטיניישאַן לענדער און אָרגאַנאַזיישאַנז אין שטייַגן (זען ISO 27701 קלאָזיז 8.5.4 און 8.5.5).

שטיצן ISO 27701 קאָנטראָלס

• ISO 27701 7.5.1
• ISO 27701 8.5.4
• ISO 27701 8.5.5

ISO 27701 פּונקט 7.5.3 (רעקאָרדס פון אַריבערפירן פון PII) און EU GDPR אַרטיקל 30 (1) (e)

עס איז וויטאַל וויכטיק אַז אָרגאַנאַזיישאַנז האַלטן אַ פּינטלעך רעקאָרד פון PII טראַנספערס צו דריט פּאַרטיי אָרגאַנאַזיישאַנז.

אָרגאַנאַזיישאַנז זאָל זיין ביכולת צו רעקאָרדירן PII וואָס איז געווען אַמענדיד אין קיין וועג (אין לויט מיט די קאַנטראָולערז אַבלאַגיישאַנז און אַבדזשעקטיווז), אָדער טראַנספערס וואָס זענען פארלאנגט איידער ענאַקטינג אַ בקשה פון די PII הויפּט צו טוישן אָדער מעקן די PII.

רעקאָרדס זאָל זיין אונטערטעניק צו אַ פּראַפּאָרשאַנאַל ריטענשאַן צייַט, און זאָל זיין אונטערטעניק צו דאַטן מינימיזיישאַן כּללים וואָס צוריקקומען בלויז וואָס איז דארף צו מקיים אַ ספּעציפיש אָביעקטיוו.

ISO 27701 פּונקט 7.5.4 (רעקאָרדס פון PII אַנטפּלעקונג צו דריט פּאַרטיעס) און EU GDPR אַרטיקל 30 (1) (ד)

אָרגאַנאַזיישאַנז זאָל לאָגין קיין אַנטפּלעקונג פון PII צו דריט פּאַרטיעס, אַרייַנגערעכנט די פאלגענדע דריי אינפֿאָרמאַציע:

• וואָס איז דיסקלאָוזד.
• צו וועמען די אינפֿאָרמאַציע איז דיסקלאָוזד.
• ווען די אַנטפּלעקונג איז געמאכט (דאַטע און צייט).

עס איז נאָרמאַל פיר צו ויסזאָגן PII פֿאַר אַ פאַרשיידנקייַט פון סיבות, בעשאַס אַן אָרגאַניזאַציע ס אינפֿאָרמאַציע פּראַסעסינג אָפּעראַציע.

לאָגס זאָל זיין געמאכט פון אַנטפּלעקונג וואָס פאַלן בעשאַס נאָרמאַל געשעפט פּראַקטיסיז, און קיין ספּעציעל צושטאנדן וואָס שטייען (ד"ה רעגולאַטאָרי אָדער לעגאַל ינוועסטאַגיישאַנז.

ISO 27701 פּונקט 8.2.6 (רעקאָרדס שייַכות צו פּראַסעסינג PII) און EU GDPR אַרטיקל 30

אין דעם אָפּטיילונג מיר רעדן וועגן GDPR אַרטיקלען 30 (2) (אַ), 30 (2) (ב), 30 (3), 30 (4) און 30 (5)

אָרגאַנאַזיישאַנז זאָל האַלטן פּינטלעך און דערהייַנטיקט רעקאָרדס וואָס לאָזן זיי, אין קיין געגעבן צייט, צו זאָגן נאָכקומען מיט קיין קאַנטראַקטשואַל אַבלאַגיישאַנז שייַכות צו די פּראַסעסינג פון PII.

דעפּענדינג אויף די דזשוריסדיקשאַן, רעקאָרדס זאלן דאַרפֿן צו אַרייַננעמען:

• קאַטאַגאָריקאַל רשימות פון פּראַסעסינג, אויף אַ קונה-ביי-קונה יקער.
• קיין דאַטן טראַנספערס צו אנדערע לענדער אָדער אינטערנאַציאָנאַלע אָרגאַנאַזיישאַנז.
• טעכניש זיכערהייט קאָנטראָלס.

ISO 27701 פּונקט 8.4.2 (צוריקקומען, אַריבערפירן אָדער באַזייַטיקונג פון PII) און EU GDPR אַרטיקל 30 (1) (f)

אָרגאַנאַזיישאַנז דאַרפֿן צו האָבן באַטאָנען פּלאַנז וואָס רעגירן ווי PII קענען זיין אומגעקערט, טראַנספערד or דיספּאָוזד פון, און מאַכן אַלע אַזאַ פּאַלאַסיז בנימצא צו דער קונה.

• צוריקקומען קיין PII צו דער קונה.
• צושטעלן די PII צו אן אנדער אָרגאַניזאַציע.
• דיסטרויינג אינפֿאָרמאַציע.
• דע-ידענטיפיקאַטיאָן.
• אַרטשיווינג.

עס זענען פאַרשידן סינעריאָוז וואָס דאַרפן די באַזייַטיקונג פון PII, אַרייַנגערעכנט (אָבער ניט לימיטעד צו):

אָרגאַנאַזיישאַנז דאַרפֿן צו צושטעלן קאַטאַגאָריקאַל אַשוראַנס אַז קיין PII וואָס איז ניט מער דארף וועט זיין חרובֿ אין לויט מיט קיין פּריוויילינג געסעצ - געבונג אָדער רעגיאָנאַל גיידליינז.

כל באַזייַטיקונג פּאַלאַסיז זאָל זיין בארעכטיגט פֿאַר דער קונה אויף פאָדערונג, און זאָל דעקן די צייט וואָס אָרגאַנאַזיישאַנז האָבן צו צעשטערן PII אַמאָל אַ קאָנטראַקט איז טערמאַנייטיד.

ISO 27701 פּונקט 8.5.2 (לענדער און אינטערנאַציאָנאַלע אָרגאַנאַזיישאַנז צו וואָס PII קענען זיין טראַנספערד) און EU GDPR אַרטיקל 30 (2) (C)

אָרגאַנאַזיישאַנז זאָל האַלטן אַן פּינטלעך, דערהייַנטיקט רשימה פון לענדער אָדער אָרגאַנאַזיישאַנז צו וואָס PII האט די פּאָטענציעל צו זיין טראַנספערד.

קאַסטאַמערז זאָל זיין ביכולת צו זען אַ רשימה פון פּאָטענציעל באַקומער לענדער און אָרגאַנאַזיישאַנז אין קיין צייט, אַרייַנגערעכנט אַ קלאָץ פון אַלע לענדער ינוואַלווד אין PII סאַבקאַנטראַקטינג (זען ISO 27701 פּונקט 8.5.1).

אין זיכער צושטאנדן, אָרגאַנאַזיישאַנז וועט ניט שטענדיק זיין ביכולת צו ויסזאָגן אין שטייַגן ווו אַריבערפירן ריקוועס האָבן ערידזשאַנייטאַד פון - דער הויפּט ינוואַלווינג קאַסעס פון פאַרברעכער פאַרהאַנדלונג. דאָס איז אַנאַוווידאַבאַל, און עס זאָל זיין די בילכערקייַט פון דער אָרגאַניזאַציע צו האַלטן די אָרנטלעכקייַט פון אַ געזעץ ענפאָרסמאַנט אָפּעראַציע (זען ISO 27701 קלאָזיז 7.5.1, 8.5.4 און 8.5.5).

שטיצן ISO 27701 קאָנטראָלס

• ISO 27701 7.5.1
• ISO 27701 8.5.1
• ISO 27701 8.5.4
• ISO 27701 8.5.5

ISO 27701 פּונקט 8.5.3 (רעקאָרדס פון PII אַנטפּלעקונג צו דריט פּאַרטיעס) און EU GDPR אַרטיקל 30 (1) (ד)

אָרגאַנאַזיישאַנז זאָל מאַטיקיאַלאַס רעקאָרדירן קיין קאַסעס פון זיי וואָס דאַרפֿן צו ויסזאָגן PII צו אַ דריט פּאַרטיי.

ווען PII איז דיסקלאָוזד - אָדער ווי אַ טייל פון נאָרמאַל געשעפט רוטינז אָדער אין ספּעציעל צושטאנדן, אַזאַ ווי אַ אָנגאָינג לעגאַל אָדער רעגולאַטאָרי פּראָצעס - אָרגאַנאַזיישאַנז זאָל רעקאָרדירן וואָס איז דיסקלאָוזד, דער באַקומער און די אַנדערלייינג סיבה פֿאַר טאן אַזוי.

שטיצן ISO 27701 קלאָזיז און ISO 27002 קאָנטראָלס

ווי ISMS.online העלפּס

ISMS.online העלפּס איר באַווייַזן אַ שוץ מדרגה וואָס יקסידז 'גלייַך' אין אַ זיכער, שטענדיק-אויף אָרט.

מיר מאַכן דאַטן מאַפּינג אַ פּשוט אַרבעט. דורך אַדינג דיין אָרגאַניזאַציע 'ס דעטאַילס צו אונדזער פּריקאַנפיגיערד דינאַמיש רעקאָרדס פון פּראַסעסינג אַקטיוויטי געצייַג, איר קענען לייכט רעקאָרדירן און אָפּשאַצן עס אַלע.

אויב די ערגסט כאַפּאַנז, איר וועט זיין גרייט.

מיט אונדזער מכשירים, איר קענען פּלאַנירן, יבערגעבן, דאָקומענט און לערנען פון יעדער בריטש.

געפֿינען זיך מער דורך בוקינג אַ 30 מינוט דעמאָ.