GDPR Artikel 12 richt zich op de manier waarop gegevensbeheerders met betrokkenen communiceren, zowel wat betreft de manier waarop zij hun interne processen communiceren, hoe zij de informatiestroom faciliteren als hoe zij tegemoetkomen aan de rechten van de betrokkene.
Transparante informatie, communicatie en modaliteiten voor de uitoefening van de rechten van de betrokkene
De verwerkingsverantwoordelijke draagt de last om het kennelijk ongegronde of buitensporige karakter van het verzoek aan te tonen.
De verwerkingsverantwoordelijke draagt de last om het kennelijk ongegronde of buitensporige karakter van het verzoek aan te tonen.
De door de verwerkingsverantwoordelijke aan de opdrachtgever verstrekte informatie dient:
Hoewel de AVG geen specifieke reeks instructies bevat met betrekking tot hoe organisaties moeten voorzien in ‘mechanismen voor het kosteloos aanvragen en verkrijgen, in het bijzonder, van toegang tot en rectificatie of verwijdering van persoonsgegevens en de uitoefening van het recht Bezwaar maken'.
De wetgeving laat elke precieze definitie achterwege van wat als een acceptabele tijd wordt beschouwd om op verzoeken te reageren. Het wordt in plaats daarvan aan organisaties overgelaten om zo snel mogelijk (of 'zonder onnodige vertraging') te handelen binnen een periode van één maand – verlengd tot twee maanden voor complexe verzoeken.
Als een organisatie niet van plan is gevolg te geven aan een verzoek, moet de betrokkene binnen een maand op de hoogte worden gesteld van de redenen, samen met informatie over hoe een klacht kan worden ingediend.
Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo
Organisaties moeten hun verplichtingen jegens PII-opdrachtgevers op drie belangrijke gebieden documenteren:
Organisaties moeten transparante documentatie en een aangewezen contactpunt bieden aan PII-opdrachtgevers, om de vrije stroom van informatie te vergemakkelijken en op geen enkele manier de PII-opdrachtgever te belemmeren bij het vaststellen van de verplichtingen van de verwerkingsverantwoordelijke.
Het is belangrijk op te merken dat, om uniformiteit te garanderen, elk aangeboden contactmiddel een afspiegeling moet zijn van de manier waarop de organisatie PII verzamelt – bijvoorbeeld het verstrekken van een e-mailadres of een PoC, als de gegevens via e-mail zijn verzameld, in plaats van louter een opdrachtgever te vragen om te schrijven een brief.
Organisaties moeten informatie kunnen verstrekken aan PII-opdrachtgevers die de PII-beheerder identificeren en hoe gegevens worden verwerkt.
Organisaties moeten hun uiterste best doen om ervoor te zorgen dat ze toegankelijke taal gebruiken die vakjargon vermijdt en informatie overbrengt in duidelijke bewoordingen die gemakkelijk te begrijpen zijn (zie ISO 27702 paragraaf 7.3.2).
Verzoeken van PII-opdrachtgevers moeten worden beheerst door processen en controles die algemeen door de hele organisatie worden begrepen, en die tegemoetkomen aan de specifieke vereisten van wet- of regelgeving, inclusief adequate responstijden.
Verzoeken kunnen het volgende omvatten:
Organisaties mogen wettelijk gezien administratiekosten in rekening brengen, maar dit wordt doorgaans alleen toegepast bij herhaalde of buitensporige verzoeken om gegevens.
AVG-artikel | ISO 27701-clausule | ISO 27701 Ondersteunende clausules |
---|---|---|
EU AVG Artikel 12 (2) | ISO 27701 7.3.1 | Geen |
EU AVG Artikelen 12 (1), (7) | ISO 27701 7.3.3 | ISO 27701 7.3.2 |
EU AVG Artikelen 12 (3), (4), (5), (6) | ISO 27701 7.3.9 | Geen |
ROPA gemakkelijk gemaakt
Wij maken data mapping tot een eenvoudige taak. Het is gemakkelijk om alles vast te leggen en te bekijken, door de gegevens van uw organisatie toe te voegen aan onze vooraf geconfigureerde dynamische tool voor het registreren van verwerkingsactiviteiten.
Beoordelingssjablonen
We bieden eenvoudig te gebruiken sjablonen voor het vastleggen van beoordelingen van privacy en legitieme belangen.
Een veilige ruimte voor DRR
U moet laten zien hoe goed u de verzoeken om rechten van betrokkenen (Data Subject Rights Requests, DRR) beheert. Onze beveiligde DRR-ruimte bewaart alles op één plek en ondersteunt het met geautomatiseerde rapportage en inzicht.
Beheer van inbreuken
Als het ergste gebeurt, ben je er klaar voor. We maken het gemakkelijk om uw inbreukworkflow te plannen en te communiceren, en elk incident te documenteren en ervan te leren.
Meer informatie via een demo boeken.
Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo
Er is geen enkel bedrijf te bedenken waarvan de service ISMS.online kan evenaren.