Mer
Navigering
KAPITEL I Allmänna bestämmelser (1-4)
Artikel 1. SyfteArtikel 2. Materiellt tillämpningsområdeArtikel 3. Territoriellt tillämpningsområdeArtikel 4. Definitioner
KAPITEL II Principer (5-11)
Artikel 5. Principer för behandling av personuppgifterArtikel 6. Laglig behandling av personuppgifterArtikel 7. Villkor för samtyckeArtikel 8. Villkor som gäller barns samtycke avseende informationssamhällets tjänsterArtikel 9. Behandling av särskilda kategorier av personuppgifterArtikel 10. Behandling av personuppgifter som rör fällande domar i brottmål samt överträdelserArtikel 11. Behandling som inte kräver identifiering
KAPITEL III Den registrerades rättigheter (12-23)
Artikel 12. Klar och tydlig information och kommunikation samt klara och tydliga villkor för utövandet av den registrerades rättigheterArtikel 13. Information som ska tillhandahållas om personuppgifterna samlas in från den registreradeArtikel 14. Information som ska tillhandahållas om personuppgifterna inte har erhållits från den registreradeArtikel 15. Den registrerades rätt till tillgångArtikel 16. Rätt till rättelseArtikel 17. Rätt till radering (”rätten att bli bortglömd”)Artikel 18. Rätt till begränsning av behandlingArtikel 19. Anmälningsskyldighet avseende rättelse eller radering av personuppgifter och begränsning av behandlingArtikel 20. Rätt till dataportabilitetArtikel 21. Rätt att göra invändningarArtikel 22. Automatiserat individuellt beslutsfattande, inbegripet profileringArtikel 23. Begränsningar
KAPITEL IV Personuppgiftsansvarig och personuppgiftsbiträde (24-43)
Artikel 24. Syfte
Artikel 25. Inbyggt dataskydd och dataskydd som standard
Artikel 26. Gemensamt personuppgiftsansvarigaArtikel 27. Företrädare för personuppgiftsansvariga eller personuppgiftsbiträden som inte är etablerade i unionenArtikel 28. PersonuppgiftsbiträdenArtikel 29. Behandling under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseendeArtikel 30. Register över behandlingArtikel 31. Samarbete med tillsynsmyndighetenArtikel 32. Säkerhet i samband med behandlingenArtikel 33. Anmälan av en personuppgiftsincident till tillsynsmyndighetenArtikel 34. Information till den registrerade om en personuppgiftsincidentArtikel 35. Konsekvensbedömning avseende dataskyddArtikel 36. FörhandssamrådArtikel 37. Utnämning av dataskyddsombudetArtikel 38. Dataskyddsombudets ställningArtikel 39. Dataskyddsombudets uppgifterArtikel 40. UppförandekoderArtikel 41. Övervakning av godkända uppförandekoderArtikel 42. CertifieringArtikel 43. Certifieringsorgan
KAPITEL V Överföring av personuppgifter till tredjeländer eller internationella organisationer (44-50)
Artikel 44. Allmän princip för överföring av uppgifterArtikel 45. Överföring på grundval av ett beslut om adekvat skyddsnivåArtikel 46. Överföring som omfattas av lämpliga skyddsåtgärderArtikel 47. Bindande företagsbestämmelserArtikel 48. Överföringar och utlämnanden som inte är tillåtna enligt unionsrättenArtikel 49. Undantag i särskilda situationerArtikel 50. Internationellt samarbete för skydd av personuppgifter
KAPITEL VI Oberoende tillsynsmyndigheter (51-59)
Artikel 51. TillsynsmyndighetArtikel 52. OberoendeArtikel 53. Allmänna villkor för tillsynsmyndighetens ledamöterArtikel 54. Regler för inrättandet av en tillsynsmyndighetArtikel 55. BehörighetArtikel 56. Den ansvariga tillsynsmyndighetens behörighetArtikel 57. UppgifterArtikel 58. BefogenheterArtikel 59. Verksamhetsrapporter
KAPITEL VII Samarbete och enhetlighet (60-70)
Artikel 60. Samarbete mellan den ansvariga tillsynsmyndigheten och de andra berörda tillsynsmyndigheternaArtikel 61. Ömsesidigt biståndArtikel 62. Tillsynsmyndigheters gemensamma insatserArtikel 63. Mekanism för enhetlighetArtikel 64. Yttrande från StyrelsenArtikel 65. Tvistlösning genom styrelsenArtikel 66. Skyndsamt förfarandeArtikel 67. Utbyte av informationArtikel 68. Europeiska dataskyddsstyrelsenArtikel 69. OberoendeArtikel 70. Styrelsens uppgifterArtikel 71. RapporterArtikel 72. FörfarandeArtikel 73. OrdförandeArtikel 74. Ordförandens uppgifterArtikel 75. SekretariatetArtikel 76. Konfidentialitet
KAPITEL VIII Rättsmedel, ansvar och sanktioner (77-84)
Artikel 77. Rätt att lämna in klagomål till en tillsynsmyndighetArtikel 78. Rätt till ett effektivt rättsmedel mot tillsynsmyndighetens beslutArtikel 79. Rätt till ett effektivt rättsmedel mot en personuppgiftsansvarig eller ett personuppgiftsbiträdeArtikel 80. Företrädande av registreradeArtikel 81. Vilandeförklaring av förfarandenArtikel 82. Ansvar och rätt till ersättningArtikel 83. Allmänna villkor för påförande av administrativa sanktionsavgifterArtikel 84. Sanktioner
KAPITEL IX Bestämmelser om särskilda behandlingssituationer (85-91)
Artikel 85. Behandling och yttrande- och informationsfrihetenArtikel 86. Behandling och allmänhetens tillgång till allmänna handlingarArtikel 87. Behandling av nationella identifikationsnummerArtikel 88. Behandling i anställningsförhållandenArtikel 89. Skyddsåtgärder och undantag för behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamålArtikel 90. TystnadspliktArtikel 91. Befintliga bestämmelser om dataskydd inom kyrkor och religiösa samfund
KAPITEL X Delegerade akter och genomförandeakter (92-93)
Artikel 92. Utövande av delegeringenArtikel 93. Kommittéförfarande
KAPITEL XI Slutbestämmelser (94-95)
Artikel 94. Upphävande av direktiv 95/46/EGArtikel 95. Förhållande till direktiv 2002/58/EGArtikel 96. Förhållande till tidigare ingångna avtalArtikel 97. KommissionsrapporterArtikel 98. Översyn av andra unionsrättsakter om dataskyddArtikel 99. Ikraftträdande och tillämpning
GDPR > Artikel 25. Inbyggt dataskydd och dataskydd som standard
Hämta PDF

Artikel 25 GDPR. Inbyggt dataskydd och dataskydd som standard

1. Med beaktande av den senaste utvecklingen, genomförandekostnader och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige, både vid fastställandet av vilka medel behandlingen utförs med och vid själva behandlingen, genomföra lämpliga tekniska och organisatoriska åtgärder – såsom pseudonymisering – vilka är utformade för ett effektivt genomförande av dataskyddsprinciper – såsom uppgiftsminimering – och för integrering av de nödvändiga skyddsåtgärderna i behandlingen, så att kraven i denna förordning uppfylls och den registrerades rättigheter skyddas.

ISO 27701 Relaterade texter
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 14.2.1.

Here is the relevant paragraphs to article 25(1) GDPR:

6.11.2.1 Secure development policy

Implementation guidance

Policies for system development and design should include guidance for the organization’s processing of PII needs, based on obligations to PII principals and/or any applicable legislation and/or regulation and the types of processing performed by the organization. Clauses 7 and 8 provide control considerations for processing of PII, which can be useful in developing policies for privacy in systems design.


för att komma åt hela textenу

Relaterade texter

2. Den personuppgiftsansvarige ska genomföra lämpliga tekniska och organisatoriska åtgärder för att, i standardfallet, säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas. Den skyldigheten gäller mängden insamlade personuppgifter, behandlingens omfattning, tiden för deras lagring och deras tillgänglighet. Framför allt ska dessa åtgärder säkerställa att personuppgifter i standardfallet inte utan den enskildes medverkan görs tillgängliga för ett obegränsat antal fysiska personer.

ISO 27701 Riktlinjer & Case Law Relaterade texter
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 25(2) GDPR:

7.4.2 Limit processing

Control

The organization should limit the processing of PII to that which is adequate, relevant and necessary for the identified purposes.


för att komma åt hela textenу

Riktlinjer & Case Law Relaterade texter

3. En godkänd certifieringsmekanism i enlighet med artikel 42 får användas för att visa att kraven i punkterna 1 och 2 i den här artikeln följs.

ISO 27701 Relaterade texter
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.1.

Here is the relevant paragraph to article 25(3) GDPR:

5.2.1 Understanding the organization and its context

The organization shall include among its interested parties (see ISO/IEC 27001:2013, 4.2), those parties having interests or responsibilities associated with the processing of PII, including the PII principals.


för att komma åt hela textenу

Relaterade texter
Allmän dataskyddsförordning (GDPR)

Expertkommentarer Skälen Riktlinjer & Case Law Lämna en kommentar
Expertkommentarer
Skälen

(78) Skyddet av fysiska personers rättigheter och friheter i samband med behandling av personuppgifter förutsätter att lämpliga tekniska och organisatoriska åtgärder vidtas, så att kraven i denna förordning uppfylls. För att kunna visa att denna förordning följs bör den personuppgiftsansvarige anta interna strategier och vidta åtgärder, särskilt för att uppfylla principerna om inbyggt dataskydd och dataskydd som standard. Sådana åtgärder kan bland annat bestå av att uppgiftsbehandlingen minimeras, att personuppgifter snarast möjligt pseudonymiseras, att öppenhet om personuppgifternas syfte och behandling iakttas, att den registrerade får möjlighet att övervaka uppgiftsbehandlingen och att den personuppgiftsansvarige får möjlighet att skapa och förbättra säkerhetsanordningar. Vid utveckling, utformning, urval och användning av applikationer, tjänster och produkter som är baserade på behandling av personuppgifter eller behandlar personuppgifter för att uppfylla sitt syfte bör producenterna av dessa produkter, tjänster och applikationer uppmanas att beakta rätten till dataskydd när sådana produkter, tjänster och applikationer utvecklas och utformas och att, med tillbörlig hänsyn till den tekniska utvecklingen, säkerställa att personuppgiftsansvariga och personuppgiftsbiträden kan fullgöra sina skyldigheter avseende dataskydd. Principerna om inbyggt dataskydd och dataskydd som standard bör också beaktas vid offentliga upphandlingar.

Riktlinjer & Case Law Lämna en kommentar
[js-disqus]