Hoe u naleving van AVG kunt aantonen Artikel 12

Britse AVG-versie

1. De verwerkingsverantwoordelijke neemt passende maatregelen om alle in de artikelen 13 en 14 bedoelde informatie en alle mededelingen uit hoofde van de artikelen 15 tot en met 22 en 34 met betrekking tot de verwerking aan de betrokkene te verstrekken in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm, in duidelijke en duidelijke taal. taalgebruik, met name voor alle informatie die specifiek op een kind gericht is. De informatie wordt schriftelijk of op andere wijze verstrekt, inclusief, in voorkomend geval, langs elektronische weg. Op verzoek van de betrokkene kan de informatie mondeling worden verstrekt, op voorwaarde dat de identiteit van de betrokkene op andere wijze wordt bewezen.
2. De verwerkingsverantwoordelijke vergemakkelijkt de uitoefening van de rechten van de betrokkene op grond van de artikelen 15 tot en met 22. In de gevallen bedoeld in artikel 11, lid 2, weigert de verwerkingsverantwoordelijke niet gevolg te geven aan het verzoek van de betrokkene om zijn of haar rechten uit hoofde van de artikelen uit te oefenen. 15 tot en met 22, tenzij de verwerkingsverantwoordelijke aantoont dat hij niet in staat is de betrokkene te identificeren.
3. De verwerkingsverantwoordelijke verstrekt de betrokkene onverwijld en in ieder geval binnen één maand na ontvangst van het verzoek informatie over het gevolg dat is gegeven aan een verzoek uit hoofde van de artikelen 15 tot en met 22. Deze termijn kan indien nodig met nog eens twee maanden worden verlengd, rekening houdend met de complexiteit en het aantal van de verzoeken. De verwerkingsverantwoordelijke stelt de betrokkene binnen een maand na ontvangst van het verzoek op de hoogte van een dergelijke verlenging, samen met de redenen voor de vertraging. . Wanneer de betrokkene het verzoek in elektronische vorm indient, wordt de informatie indien mogelijk langs elektronische weg verstrekt, tenzij de betrokkene anders verzoekt.
4. Indien de verwerkingsverantwoordelijke geen gevolg geeft aan het verzoek van de betrokkene, stelt de verwerkingsverantwoordelijke de betrokkene onverwijld en uiterlijk binnen een maand na ontvangst van het verzoek in kennis van de redenen om geen actie te ondernemen en van de mogelijkheid om een ​​klacht in te dienen. klacht indienen bij een toezichthoudende autoriteit, de commissaris, en verzoeken om een ​​rechtsmiddel.
5. Informatie verstrekt op grond van de artikelen 13 en 14 en alle communicatie en alle acties ondernomen op grond van de artikelen 15 tot en met 22 en 34 worden kosteloos verstrekt. Wanneer verzoeken van een betrokkene kennelijk ongegrond of buitensporig zijn, met name vanwege hun repetitieve karakter, kan de verwerkingsverantwoordelijke:
• Een redelijke vergoeding in rekening brengen, rekening houdend met de administratieve kosten voor het verstrekken van de informatie of communicatie of het ondernemen van de gevraagde actie; of
• Weigeren gevolg te geven aan het verzoek.

De verwerkingsverantwoordelijke draagt ​​de last om het kennelijk ongegronde of buitensporige karakter van het verzoek aan te tonen.

6. Onverminderd artikel 11 kan de verwerkingsverantwoordelijke, indien hij redelijke twijfels heeft over de identiteit van de natuurlijke persoon die het in de artikelen 15 tot en met 21 bedoelde verzoek indient, verzoeken om aanvullende informatie die nodig is om de identiteit van de betrokkene te bevestigen.
• [6A. De commissaris kan publiceren (en wijzigen of intrekken)
• a) Gestandaardiseerde pictogrammen voor gebruik in combinatie met informatie die aan betrokkenen wordt verstrekt op grond van de artikelen 13 en 14;
• (b) Een kennisgeving waarin staat dat andere personen dergelijke iconen mogen publiceren (en wijzigen of intrekken), op voorwaarde dat de iconen voldoen aan de eisen die in de kennisgeving zijn gespecificeerd met betrekking tot de informatie die door de iconen moet worden gepresenteerd en de procedures voor het verstrekken van de iconen.
• 6B. De commissaris mag geen pictogrammen of een mededeling uit hoofde van paragraaf 6A publiceren, tenzij hij ervan overtuigd is (indien van toepassing) dat de pictogrammen op een gemakkelijk zichtbare, begrijpelijke en duidelijk leesbare manier een betekenisvol overzicht geven van de beoogde verwerking of dat de mededeling zal resulteren in pictogrammen die dit wel doen .]
7. Indien gestandaardiseerde iconen worden gepubliceerd zoals beschreven in lid 6A (en niet worden ingetrokken), kan de informatie die op grond van de artikelen 13 en 14 aan de betrokkenen moet worden verstrekt, in combinatie met de iconen worden verstrekt. Wanneer de iconen elektronisch worden gepresenteerd, moeten zij machinaal leesbaar zijn.

Technisch commentaar

Kwaliteit van de verstrekte informatie

De door de verwerkingsverantwoordelijke aan de opdrachtgever verstrekte informatie dient:

1. Beknopt.
2. Transparant.
3. Begrijpelijk.
4. Gemakkelijk bereikbaar.
5. Gemakkelijk te begrijpen.
6. In het juiste formaat.

Faciliteren van de rechten van de betrokkene

Hoewel de AVG geen specifieke reeks instructies bevat met betrekking tot hoe organisaties moeten voorzien in ‘mechanismen voor het kosteloos aanvragen en verkrijgen, in het bijzonder, van toegang tot en rectificatie of verwijdering van persoonsgegevens en de uitoefening van het recht Bezwaar maken'.

Termijnen

De wetgeving laat elke precieze definitie achterwege van wat als een acceptabele tijd wordt beschouwd om op verzoeken te reageren. Het wordt in plaats daarvan aan organisaties overgelaten om zo snel mogelijk (of 'zonder onnodige vertraging') te handelen binnen een periode van één maand – verlengd tot twee maanden voor complexe verzoeken.

Als een organisatie niet van plan is gevolg te geven aan een verzoek, moet de betrokkene binnen een maand op de hoogte worden gesteld van de redenen, samen met informatie over hoe een klacht kan worden ingediend.

EU AVG Artikel 12 (2) en ISO 27701 Clausule 7.3.1

Vaststellen en nakomen van verplichtingen jegens Pii-opdrachtgevers

Organisaties moeten hun verplichtingen jegens PII-opdrachtgevers op drie belangrijke gebieden documenteren:

1. Juridisch.
2. Regelgevend.
3. Bedrijf.

Organisaties moeten transparante documentatie en een aangewezen contactpunt bieden aan PII-opdrachtgevers, om de vrije stroom van informatie te vergemakkelijken en op geen enkele manier de PII-opdrachtgever te belemmeren bij het vaststellen van de verplichtingen van de verwerkingsverantwoordelijke.

Het is belangrijk op te merken dat, om uniformiteit te garanderen, elk aangeboden contactmiddel een afspiegeling moet zijn van de manier waarop de organisatie PII verzamelt – bijvoorbeeld het verstrekken van een e-mailadres of een PoC, als de gegevens via e-mail zijn verzameld, in plaats van louter een opdrachtgever te vragen om te schrijven een brief.

EU AVG Artikelen 12 (1) en (7) en ISO 27701 Clausule 7.3.3

Informatie verstrekken aan PII-opdrachtgevers

Organisaties moeten informatie kunnen verstrekken aan PII-opdrachtgevers die de PII-beheerder identificeren en hoe gegevens worden verwerkt.

Organisaties moeten hun uiterste best doen om ervoor te zorgen dat ze toegankelijke taal gebruiken die vakjargon vermijdt en informatie overbrengt in duidelijke bewoordingen die gemakkelijk te begrijpen zijn (zie ISO 27702 paragraaf 7.3.2).

Ondersteunende ISO 27701-clausules

• ISO 27701 7.3.2

EU AVG Artikelen 12 (3), (4), (5), (6) en ISO 27701 Artikel 7.3.9

Verzoeken van PII-opdrachtgevers moeten worden beheerst door processen en controles die algemeen door de hele organisatie worden begrepen, en die tegemoetkomen aan de specifieke vereisten van wet- of regelgeving, inclusief adequate responstijden.

Verzoeken kunnen het volgende omvatten:

1. Kopieën van gegevens.
2. Klachten.
3. Procedurele verduidelijkingen.

Organisaties mogen wettelijk gezien administratiekosten in rekening brengen, maar dit wordt doorgaans alleen toegepast bij herhaalde of buitensporige verzoeken om gegevens.

Ondersteunende controles uit ISO 27701

Hoe ISMS.online helpt

ROPA gemakkelijk gemaakt

Wij maken data mapping tot een eenvoudige taak. Het is gemakkelijk om alles vast te leggen en te bekijken, door de gegevens van uw organisatie toe te voegen aan onze vooraf geconfigureerde dynamische tool voor het registreren van verwerkingsactiviteiten.

Beoordelingssjablonen

We bieden eenvoudig te gebruiken sjablonen voor het vastleggen van beoordelingen van privacy en legitieme belangen.

Een veilige ruimte voor DRR

U moet laten zien hoe goed u de verzoeken om rechten van betrokkenen (Data Subject Rights Requests, DRR) beheert. Onze beveiligde DRR-ruimte bewaart alles op één plek en ondersteunt het met geautomatiseerde rapportage en inzicht.

Beheer van inbreuken

Als het ergste gebeurt, ben je er klaar voor. We maken het gemakkelijk om uw inbreukworkflow te plannen en te communiceren, en elk incident te documenteren en ervan te leren.

Meer informatie via een demo boeken.