So weisen Sie die Einhaltung von Artikel 13 der DSGVO nach

Britische DSGVO-Version

Artikel 13: Informationen, die bereitgestellt werden müssen, wenn personenbezogene Daten von der betroffenen Person erhoben werden

1. Werden personenbezogene Daten über eine betroffene Person bei der betroffenen Person erhoben, stellt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung der personenbezogenen Daten alle folgenden Informationen zur Verfügung:
• Die Identität und die Kontaktdaten des Verantwortlichen und gegebenenfalls seines Vertreters;
• ggf. die Kontaktdaten des Datenschutzbeauftragten;
• Die Zwecke der Verarbeitung, für die die personenbezogenen Daten bestimmt sind, sowie die Rechtsgrundlage für die Verarbeitung;
• Wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen des Verantwortlichen oder eines Dritten;
• Die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten, sofern vorhanden;
• Gegebenenfalls die Tatsache, dass der Verantwortliche beabsichtigt, personenbezogene Daten an ein Drittland oder eine internationale Organisation zu übermitteln, und das Vorhandensein oder Fehlen einschlägiger Angemessenheitsvorschriften gemäß Abschnitt 17A des Gesetzes von 2018 oder im Falle von Übermittlungen gemäß Artikel 46 oder 47 oder Artikel 49 Absatz 1 Unterabsatz XNUMX einen Verweis auf die angemessenen oder angemessenen Garantien und die Mittel, mit denen eine Kopie davon zu erhalten ist, oder auf den Ort, an dem sie verfügbar gemacht wurden.
2. Zusätzlich zu den in Absatz 1 genannten Informationen stellt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung personenbezogener Daten die folgenden weiteren Informationen zur Verfügung, die für eine faire und transparente Verarbeitung erforderlich sind:
• Der Zeitraum, für den die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien zur Festlegung dieses Zeitraums;
• Das Bestehen des Rechts, vom Verantwortlichen Zugang zu den personenbezogenen Daten und deren Berichtigung oder Löschung oder Einschränkung der Verarbeitung der betroffenen Person zu verlangen oder der Verarbeitung zu widersprechen, sowie das Recht auf Datenübertragbarkeit;
• Wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a basiert, besteht das Recht, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der auf der Einwilligung beruhenden Verarbeitung berührt wird sein Rückzug;
• Das Recht, eine Beschwerde beim Kommissar einzureichen;
• Ob die Bereitstellung personenbezogener Daten gesetzlich oder vertraglich vorgeschrieben oder für den Abschluss eines Vertrages erforderlich ist, ob die betroffene Person zur Bereitstellung der personenbezogenen Daten verpflichtet ist und welche Folgen die Nichtbereitstellung dieser Daten haben kann;
• Das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
3. Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben wurden, stellt der Verantwortliche der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle relevanten weiteren Informationen zur Verfügung, auf die verwiesen wird zu Absatz 2.
4. Die Absätze 1, 2 und 3 gelten nicht, sofern und soweit die betroffene Person bereits über die Informationen verfügt.

Technischer Kommentar

Organisationen müssen die folgenden Informationen an der Sammelstelle zur Verfügung stellen, wo sie anwendbar sind (z. B. internationale Überweisungen):

1. Die Identität ihres Datenschutzbeauftragten.
2. Kontaktdaten ihres Datenschutzbeauftragten.
3. Zweck und Rechtsgrundlage der Datenerhebung.
4. Alle berechtigten Interessen.
5. Die Identität der Empfänger.
6. Internationale Datenübermittlungen, einschließlich Länderangaben und Sicherheitsvorkehrungen.

Informationspflichten bei Erhebung personenbezogener Daten

Gemäß den Leitlinien in Artikel 13 müssen Organisationen außerdem die folgenden Informationen bereitstellen:

• Einzelheiten zur Datenaufbewahrungsfrist.
• Die Einzelheiten der Rechte der betroffenen Person nach dem Datenschutzrecht.
• Informationen zum Widerruf der Einwilligung.
• So reichen Sie eine Beschwerde ein.
• Die Quelle der erhaltenen Daten.
• Eventuell vertragliche oder gesetzliche Anforderungen.
• Einzelheiten zu automatisierten Entscheidungsprozessen.

EU-DSGVO Artikel 13 (1)(a), (1)(b), (1)(c), (1)(d), (1)(e), (1)(f), (2)( c), (2)(d), (2)(e), (3), (4) und ISO 27701 Abschnitt 7.3.2

Ermittlung von Informationen für PII-Principals

Organisationen sollten einen detaillierten Satz von Anforderungen darlegen, die regeln, wie und wann Informationen an PII-Verantwortliche weitergegeben werden müssen.

Anwendungen:

• Der zugrunde liegende Zweck der Daten, die erfasst und verarbeitet werden.
• Kontakt details.
• Wie und wo die PII erlangt wurden.
• Vertragliche und/oder gesetzliche Anforderungen.
• Wie die Einwilligung widerrufen werden kann.
• PII-Übertragungen.
• So melden Sie eine Beschwerde an.
• Wie die Organisation Entscheidungen über die Verarbeitung personenbezogener Daten trifft.
• Aufbewahrungsfristen für Informationen.

EU-DSGVO Artikel 13 (3) und ISO 27701 Klausel 7.3.3

Bereitstellung von Informationen für PII-Auftraggeber

Alle Informationen sollten fehlerfrei und in einer Sprache bereitgestellt werden, die für die Personen, die sie lesen können, leicht verständlich ist (z. B. ohne Fachjargon, nicht übermäßig technisch) (siehe ISO 27702 Abschnitt 7.3.2).

Unterstützende ISO 27701-Klauseln

• ISO 27701 7.3.2

EU-DSGVO Artikel 13 (2)(c) und ISO 27701 Klausel 7.3.4

Bereitstellung eines Mechanismus zur Änderung oder zum Widerruf der Einwilligung

Es sollten Mechanismen bereitgestellt werden, die den Rechten jedes PII-Auftraggebers Rechnung tragen, der seine Einwilligung widerrufen möchte.

Die Kommunikationskanäle sollten denjenigen entsprechen, die von der Organisation ursprünglich zum Sammeln der Daten verwendet wurden, und PII-Prinzipale sollten in der Lage sein, den Verantwortlichen an der Durchführung bestimmter Aktionen zu hindern.

Organisationen sollten sich zu einer veröffentlichten Reaktionszeit für alle Anfragen zur Änderung oder zum Widerruf der Einwilligung verpflichten und alle derartigen Anfragen sollten gründlich dokumentiert werden.

EU-DSGVO Artikel 13 (2)(b) und ISO 27701 Klausel 7.3.5

Bereitstellung eines Widerspruchsmechanismus gegen die Verarbeitung personenbezogener Daten

Lokale und nationale Gesetze variieren je nach Gerichtsbarkeit, aber im Großen und Ganzen sollten PII-Auftraggeber die Möglichkeit behalten, Einwände gegen die Art und Weise zu erheben, wie ihre Daten gespeichert, verarbeitet oder übertragen wurden.

Organisationen sollten:

1. Dokumentieren Sie alle gesetzlichen oder behördlichen Anforderungen, die sich auf Einwände von PII-Auftraggebern beziehen.
2. Informieren Sie die betroffenen Personen darüber, wie sie Widerspruch einlegen können.

EU-DSGVO Artikel 13 (2)(b) und ISO 27701 Klausel 7.3.6

Zugriff, Berichtigung und/oder Löschung

Organisationen sollten Verfahren dokumentieren, die es betroffenen Personen ermöglichen, drei grundlegende Funktionen auszuführen:

1. Access ihre Daten.
2. In Ordnung ihre Daten.
3. Löschen ihre Daten.

Organisationen sollten sich zu einer veröffentlichten Reaktionszeit für alle Zugriffs-, Korrektur- oder Löschanfragen verpflichten und ggf. begründen, warum Korrekturen nicht durchgeführt werden können.

Wenn PII an einen Dritten übertragen wurden, sind Organisationen verpflichtet, alle Anfragen an diesen weiterzuleiten und die Bestätigung zu bestätigen (siehe ISO 27701 Abschnitt 7.3.7).

Je nach Gerichtsbarkeit können verschiedene regionale und nationale Vorschriften gelten. Daher sollten Organisationen ein gründliches Verständnis aller Gesetze und Vorschriften bewahren, die für den Zugriff auf, die Korrektur oder die Löschung von personenbezogenen Daten gelten.

Unterstützende ISO 27701-Klauseln

• ISO 27701 7.3.7

EU-DSGVO Artikel 13 (2)(f) und ISO 27701 Klausel 7.3.10

Automatisierte Entscheidungsfindung

Organisationen sollten alle rechtlichen Verpflichtungen gegenüber PII-Auftraggebern erfüllen, die sich auf die automatisierte Verarbeitung von PII beziehen.

Organisationen sollten bei der automatisierten Entscheidungsfindung in Bezug auf personenbezogene Daten die Unterschiede in der Rechtsprechung berücksichtigen – insbesondere sollten sie den Auftraggebern der personenbezogenen Daten die Möglichkeit geben, Einwände zu erheben und menschliches Eingreifen anstelle automatisierter Verfahren zu fordern.

EU-DSGVO Artikel 13 (2)(a) und ISO 27701 Klausel 7.4.7

Organisationen müssen personenbezogene Daten löschen und/oder entsorgen, wenn sie nicht mehr benötigt werden oder einen bestimmten Zweck nicht mehr erfüllen.

Organisationen sollten mit Aufbewahrungsplänen arbeiten, die den genauen Zeitraum festlegen, für den personenbezogene Daten aufbewahrt werden, einschließlich der Einhaltung gesetzlicher, satzungsmäßiger oder vertraglicher Anforderungen.

Unterstützende Kontrollen von ISO 27701

Wie ISMS.online hilft

ROPA leicht gemacht

Unsere PIMS-Lösung macht die Datenzuordnung zu einer einfachen Aufgabe. Es ist einfach, alles aufzuzeichnen und zu überprüfen, indem Sie die Details Ihrer Organisation zu unserem vorkonfigurierten dynamischen Tool zur Aufzeichnung von Verarbeitungsaktivitäten hinzufügen.

Eingebaute Risikobank

Das Risikomanagement ist der Schlüssel zu einem erfolgreichen PIMS. Aus diesem Grund haben wir eine integrierte Risikobank und eine Reihe weiterer praktischer Tools erstellt, die Sie bei jedem Teil des Risikobewertungs- und -managementprozesses unterstützen.

Sicherer Platz für DRR

Unabhängig von den Datenschutzstandards oder -vorschriften, an denen Sie arbeiten, müssen Sie nachweisen, wie gut Sie Anfragen zu den Rechten betroffener Personen (Data Subject Rights Requests, DRR) verwalten. Unser sicherer DRR-Bereich hält alles an einem Ort und unterstützt es durch automatisierte Berichte und Einblicke.

Erfahren Sie mehr von eine Demo buchen.