So weisen Sie die Einhaltung von Artikel 12 der DSGVO nach

Britische DSGVO-Version

1. Der für die Verarbeitung Verantwortliche ergreift geeignete Maßnahmen, um der betroffenen Person alle in den Artikeln 13 und 14 genannten Informationen und alle Mitteilungen gemäß den Artikeln 15 bis 22 und 34 im Zusammenhang mit der Verarbeitung in einer prägnanten, transparenten, verständlichen und leicht zugänglichen Form sowie in klarer und klarer Form zur Verfügung zu stellen Sprache, insbesondere für alle Informationen, die sich speziell an ein Kind richten. Die Informationen werden schriftlich oder auf andere Weise, gegebenenfalls auch auf elektronischem Wege, bereitgestellt. Auf Wunsch der betroffenen Person kann die Auskunft mündlich erteilt werden, sofern die Identität der betroffenen Person auf andere Weise nachgewiesen wird.
2. Der für die Verarbeitung Verantwortliche erleichtert die Ausübung der Rechte der betroffenen Person gemäß den Artikeln 15 bis 22. In den in Artikel 11 Absatz 2 genannten Fällen darf der für die Verarbeitung Verantwortliche es nicht ablehnen, dem Antrag der betroffenen Person auf Ausübung ihrer Rechte gemäß den Artikeln nachzukommen 15 bis 22, es sei denn, der Verantwortliche weist nach, dass er nicht in der Lage ist, die betroffene Person zu identifizieren.
3. Der Verantwortliche informiert die betroffene Person unverzüglich und in jedem Fall innerhalb eines Monats nach Eingang der Anfrage über die aufgrund einer Anfrage gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen. Diese Frist kann bei Bedarf unter Berücksichtigung der Komplexität und Anzahl der Anträge um zwei weitere Monate verlängert werden. Der für die Verarbeitung Verantwortliche teilt der betroffenen Person eine solche Verlängerung innerhalb eines Monats nach Eingang des Antrags unter Angabe der Gründe für die Verzögerung mit . Wenn die betroffene Person den Antrag auf elektronischem Wege stellt, werden die Informationen nach Möglichkeit auf elektronischem Wege bereitgestellt, sofern die betroffene Person nichts anderes wünscht.
4. Wenn der Verantwortliche dem Antrag der betroffenen Person nicht nachkommt, informiert er den Betroffenen unverzüglich, spätestens jedoch innerhalb eines Monats nach Eingang des Antrags über die Gründe für das Nichtergreifen und über die Möglichkeit, eine Klage einzureichen Beschwerde bei einer Aufsichtsbehörde, dem Kommissar, einreichen und einen gerichtlichen Rechtsbehelf einlegen.
5. Die gemäß den Artikeln 13 und 14 bereitgestellten Informationen sowie alle Mitteilungen und Maßnahmen gemäß den Artikeln 15 bis 22 und 34 werden kostenlos zur Verfügung gestellt. Wenn die Anfragen einer betroffenen Person offensichtlich unbegründet oder übertrieben sind, insbesondere weil sie sich wiederholen, kann der Verantwortliche entweder:
• Eine angemessene Gebühr erheben, die die Verwaltungskosten für die Bereitstellung der Informationen oder Mitteilungen oder die Durchführung der angeforderten Maßnahmen berücksichtigt; oder
• Weigern Sie sich, der Anfrage nachzukommen.

Der Verantwortliche trägt die Beweislast dafür, dass der Antrag offensichtlich unbegründet oder übertrieben ist.

6. Unbeschadet des Artikels 11 kann der Verantwortliche, wenn er begründete Zweifel an der Identität der natürlichen Person hat, die den in den Artikeln 15 bis 21 genannten Antrag stellt, die Bereitstellung zusätzlicher Informationen verlangen, die zur Bestätigung der Identität der betroffenen Person erforderlich sind.
• [6A. Der Kommissar kann veröffentlichen (und ändern oder zurückziehen)
• (a) Standardisierte Symbole zur Verwendung in Kombination mit Informationen, die den betroffenen Personen gemäß den Artikeln 13 und 14 bereitgestellt werden;
• (b) Eine Bekanntmachung, die besagt, dass andere Personen solche Symbole veröffentlichen (und ändern oder zurückziehen) dürfen, vorausgesetzt, dass die Symbole die in der Bekanntmachung festgelegten Anforderungen hinsichtlich der von den Symbolen darzustellenden Informationen und der Verfahren zur Bereitstellung der Symbole erfüllen.
• 6B. Der Beauftragte darf keine Symbole oder einen Hinweis gemäß Absatz 6A veröffentlichen, es sei denn (sofern zutreffend), dass die Symbole einen aussagekräftigen Überblick über die beabsichtigte Verarbeitung auf leicht sichtbare, verständliche und deutlich lesbare Weise vermitteln oder dass der Hinweis zu Symbolen führt, die dies ermöglichen .]
7. Wenn standardisierte Symbole gemäß Absatz 6A veröffentlicht (und nicht zurückgezogen) werden, können die den betroffenen Personen gemäß den Artikeln 13 und 14 bereitzustellenden Informationen in Kombination mit den Symbolen bereitgestellt werden. Werden die Symbole elektronisch dargestellt, müssen sie maschinenlesbar sein.

Technischer Kommentar

Qualität der bereitgestellten Informationen

Informationen, die der Verantwortliche dem Auftraggeber zur Verfügung stellt, sollten sein:

1. Prägnant.
2. Transparent.
3. Verständlich.
4. Leicht zugänglich.
5. Einfach verstanden.
6. Im passenden Format.

Erleichterung der Rechte der betroffenen Person

Die DSGVO enthält zwar keine konkreten Anweisungen dazu, wie Organisationen „Mechanismen bereitstellen sollten, um insbesondere Zugang zu personenbezogenen Daten und deren Berichtigung oder Löschung sowie die Ausübung des Rechts zu beantragen und gegebenenfalls kostenlos zu erhalten“. widersprechen‘.

Time Limits

In der Gesetzgebung fehlt eine genaue Definition dessen, was als akzeptable Zeit für die Beantwortung von Anfragen gilt. Stattdessen bleibt es den Organisationen überlassen, so schnell wie möglich (oder „ohne unangemessene Verzögerung“) innerhalb eines Zeitraums von einem Monat zu handeln – bei komplexen Anfragen kann dieser auf zwei Monate verlängert werden.

Wenn eine Organisation nicht beabsichtigt, einer Anfrage nachzukommen, sollte die betroffene Person innerhalb eines Monats über die Gründe dafür sowie Informationen darüber, wie sie eine Beschwerde einreichen kann, informiert werden.

EU-DSGVO Artikel 12 (2) und ISO 27701 Klausel 7.3.1

Festlegung und Erfüllung von Verpflichtungen gegenüber Pii-Auftraggebern

Organisationen müssen ihre Verpflichtungen gegenüber PII-Prinzipalen in drei Schlüsselbereichen dokumentieren:

1. Legal.
2. Regulatorisch.
3. Geschäft.

Organisationen sollten den PII-Auftraggebern eine transparente Dokumentation und eine benannte Kontaktstelle zur Verfügung stellen, um den freien Informationsfluss zu erleichtern und den PII-Auftraggeber in keiner Weise daran zu hindern, die Pflichten des Verantwortlichen festzulegen.

Es ist wichtig zu beachten, dass zur Gewährleistung der Einheitlichkeit alle bereitgestellten Kontaktmöglichkeiten die Art und Weise widerspiegeln sollten, mit der die Organisation personenbezogene Daten erfasst – z. B. die Angabe einer E-Mail-Adresse oder eines PoC, wenn die Daten per E-Mail erfasst wurden, anstatt den Auftraggeber lediglich um eine schriftliche Aufforderung zu bitten ein Brief.

EU-DSGVO Artikel 12 (1) und (7) und ISO 27701 Klausel 7.3.3

Bereitstellung von Informationen für PII-Auftraggeber

Organisationen müssen in der Lage sein, PII-Prinzipalen Informationen zur Identifizierung des PII-Controllers und zur Art und Weise der Datenverarbeitung bereitzustellen.

Organisationen sollten ihr Möglichstes tun, um sicherzustellen, dass sie eine verständliche Sprache verwenden, die Fachjargon vermeidet und Informationen in einfachen Worten vermittelt, die leicht verständlich sind (siehe ISO 27702 Abschnitt 7.3.2).

Unterstützende ISO 27701-Klauseln

• ISO 27701 7.3.2

EU-DSGVO Artikel 12 (3), (4), (5), (6) und ISO 27701 Klausel 7.3.9

Anfragen von PII-Auftraggebern sollten durch Prozesse und Kontrollen geregelt werden, die in der gesamten Organisation allgemein verstanden werden und auf die Besonderheiten etwaiger gesetzlicher oder behördlicher Anforderungen, einschließlich angemessener Reaktionszeiten, eingehen.

Zu den Anfragen können gehören:

1. Kopien von Daten.
2. Beschwerden.
3. Verfahrensrechtliche Klarstellungen.

Organisationen ist es gesetzlich erlaubt, eine Bearbeitungsgebühr zu erheben, diese wird jedoch normalerweise nur bei wiederholten oder übermäßigen Datenanfragen erhoben.

Unterstützende Kontrollen von ISO 27701

Wie ISMS.online hilft

ROPA leicht gemacht

Wir machen die Datenzuordnung zu einer einfachen Aufgabe. Es ist einfach, alles aufzuzeichnen und zu überprüfen, indem Sie die Details Ihrer Organisation zu unserem vorkonfigurierten dynamischen Tool zur Aufzeichnung von Verarbeitungsaktivitäten hinzufügen.

Bewertungsvorlagen

Wir bieten benutzerfreundliche Vorlagen für die Aufzeichnung von Datenschutz- und berechtigten Interessenbewertungen.

Ein sicherer Raum für DRR

Sie müssen nachweisen, wie gut Sie mit Data Subject Rights Requests (DRR) umgehen. Unser sicherer DRR-Bereich hält alles an einem Ort und unterstützt es durch automatisierte Berichte und Einblicke.

Verletzungsmanagement

Wenn das Schlimmste passiert, sind Sie bereit. Wir machen es einfach, Ihren Arbeitsablauf bei Sicherheitsverletzungen zu planen und zu kommunizieren sowie jeden Vorfall zu dokumentieren und daraus zu lernen.

Erfahren Sie mehr von eine Demo buchen.