ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 5(1)(а) GDPR:
7.2.2. Определение правового основания
Средство управления
Организация должна определить, задокументировать и соблюдать соответствующие правовые основания для обработки ПИИ в определенных целях.
Руководство по внедрению
В некоторых юрисдикциях организация должна иметь возможность продемонстрировать, что законность обработки была должным образом установлена до её осуществления. Правовое основание для обработки ПИИ может включать в себя:
…
Войти
для доступа к полному тексту
(EN) EDPB, Guidelines 8/2020 on the targeting of social media users (2020).
39) Enhver behandling av personopplysninger bør være lovlig og rettferdig. For fysiske personer bør det framgå klart og tydelig at personopplysninger om dem samles inn, benyttes, konsulteres eller på annen måte behandles, og i hvilket omfang de behandles eller vil bli behandlet. Prinsippet om åpenhet krever at all informasjon og kommunikasjon i forbindelse med behandling av nevnte personopplysninger er lett tilgjengelig og lettfattelig, og at språket som brukes, er klart og enkelt. Prinsippet gjelder særlig informasjon til de registrerte om identiteten til den behandlingsansvarlige og formålene med behandlingen samt ytterligere informasjon for å sikre en rettferdig og åpen behandling for de berørte fysiske personer samt deres rett til å få bekreftelse på og bli underrettet om de personopplysninger som gjelder dem, som behandles. Fysiske personer bør gjøres oppmerksomme på risikoer, regler, garantier og rettigheter i forbindelse med behandling av personopplysninger, og på hvilken måte de kan utøve sine rettigheter i forbindelse med nevnte behandling. De særlige formålene med behandlingen av personopplysningene bør især være berettigede, uttrykkelig angitt og fastsatt når personopplysningene samles inn. Personopplysningene bør være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for. Dette krever særlig at det sikres at personopplysningene ikke lagres lenger enn det som er strengt nødvendig. Personopplysninger bør behandles bare dersom formålet med behandlingen ikke med rimelighet kan oppfylles på annen måte. For å sikre at personopplysningene ikke lagres lenger enn nødvendig bør den behandlingsansvarlige fastsette frister for sletting eller for regelmessig gjennomgåelse. Ethvert rimelig tiltak bør treffes for å sikre at uriktige personopplysninger rettes eller slettes. Personopplysninger bør behandles på en måte som gir tilstrekkelig sikkerhet og konfidensialitet, herunder for å hindre ulovlig tilgang til eller bruk av personopplysninger og utstyret som brukes i forbindelse med behandlingen.
(EN) Example of lawful processing:
Source: EDPB, Guidelines 4/2019 on Article 25 – Data Protection by Design and by Default (Version for public consultation) (2019).
(EN) Example of transparency measures:
Source: EDPB, Guidelines 4/2019 on Article 25 – Data Protection by Design and by Default (Version for public consultation) (2019).
(EN) Examples of fairness considerations:
Example 1
Source: EDPB, Guidelines 4/2019 on Article 25 – Data Protection by Design and by Default (Version for public consultation) (2019).