So weisen Sie die Einhaltung von Artikel 14 der DSGVO nach

Britische DSGVO-Version

Informationen sind bereitzustellen, wenn personenbezogene Daten nicht von der betroffenen Person erhoben wurden

1. Sofern personenbezogene Daten nicht bei der betroffenen Person erhoben wurden, stellt der Verantwortliche der betroffenen Person folgende Informationen zur Verfügung:
• Die Identität und die Kontaktdaten des Verantwortlichen und gegebenenfalls seines Vertreters;
• ggf. die Kontaktdaten des Datenschutzbeauftragten;
• Die Zwecke der Verarbeitung, für die die personenbezogenen Daten bestimmt sind, sowie die Rechtsgrundlage für die Verarbeitung;
• Die Kategorien der betroffenen personenbezogenen Daten;
• Die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten, sofern vorhanden;
• Gegebenenfalls, dass der Verantwortliche die Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland oder einer internationalen Organisation beabsichtigt und das Vorhandensein oder Fehlen einschlägiger Angemessenheitsvorschriften gemäß Abschnitt 17A des Gesetzes von 2018 oder im Falle von Übermittlungen gemäß Artikel 46 oder 47 oder Artikel 49 Absatz 1 Unterabsatz XNUMX einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, eine Kopie davon zu erhalten, oder auf den Ort, an dem sie zur Verfügung gestellt wurden.
2. Zusätzlich zu den in Absatz 1 genannten Informationen stellt der Verantwortliche der betroffenen Person die folgenden Informationen zur Verfügung, die erforderlich sind, um eine faire und transparente Verarbeitung gegenüber der betroffenen Person zu gewährleisten:
• Der Zeitraum, für den die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien zur Festlegung dieses Zeitraums;
• Wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen des Verantwortlichen oder eines Dritten;
• Das Bestehen des Rechts, vom Verantwortlichen Zugang zu den personenbezogenen Daten und deren Berichtigung oder Löschung oder Einschränkung der Verarbeitung der betroffenen Person zu verlangen und der Verarbeitung zu widersprechen, sowie das Recht auf Datenübertragbarkeit;
• Wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, besteht das Recht, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der Verarbeitung aufgrund der Einwilligung vor deren Widerruf berührt wird Rückzug;
• Das Recht, eine Beschwerde beim Kommissar einzureichen;
• Aus welcher Quelle die personenbezogenen Daten stammen und ggf. ob diese aus öffentlich zugänglichen Quellen stammen;
• Das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
3. Der Verantwortliche stellt die in den Absätzen 1 und 2 genannten Informationen bereit:
• Innerhalb einer angemessenen Frist nach Erhalt der personenbezogenen Daten, spätestens jedoch innerhalb eines Monats, unter Berücksichtigung der besonderen Umstände, unter denen die personenbezogenen Daten verarbeitet werden;
• Sofern die personenbezogenen Daten für die Kommunikation mit der betroffenen Person verwendet werden sollen, spätestens zum Zeitpunkt der ersten Kommunikation mit der betroffenen Person; oder
• Sofern eine Weitergabe an einen anderen Empfänger vorgesehen ist, erfolgt dies spätestens bei der erstmaligen Offenlegung der personenbezogenen Daten.
4. Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben wurden, stellt der Verantwortliche der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle relevanten weiteren Informationen zur Verfügung, auf die verwiesen wird zu Absatz 2.
5. Die Absätze 1 bis 4 gelten nicht, wenn und soweit:
• Die betroffene Person verfügt bereits über die Informationen;
• Die Bereitstellung dieser Informationen erweist sich als unmöglich oder wäre mit einem unverhältnismäßigen Aufwand verbunden, insbesondere für die Verarbeitung zu Archivierungszwecken im öffentlichen Interesse, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken, vorbehaltlich der in Artikel 89 Absatz 1 genannten Bedingungen und Garantien soweit die in Absatz 1 dieses Artikels genannte Verpflichtung voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt. In solchen Fällen ergreift der Verantwortliche geeignete Maßnahmen zum Schutz der Rechte und Freiheiten sowie berechtigten Interessen der betroffenen Person, einschließlich der Veröffentlichung der Informationen;
• Die Einholung oder Weitergabe ist ausdrücklich im innerstaatlichen Recht vorgesehen, das geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person vorsieht; oder
• Wenn die personenbezogenen Daten vertraulich bleiben müssen und einer im innerstaatlichen Recht geregelten Berufsgeheimnispflicht unterliegen, einschließlich einer gesetzlichen Geheimhaltungspflicht.

Technischer Kommentar

Organisationen müssen nach der Erfassung der Daten der betroffenen Person die folgenden Informationen zur Verfügung stellen:

1. Die Identität ihres Datenschutzbeauftragten.
2. Kontaktdaten ihres Datenschutzbeauftragten.
3. Zweck und Rechtsgrundlage der Datenerhebung.
4. Die Kategorien personenbezogener Daten, die indirekt erhoben wurden.
5. Alle berechtigten Interessen.
6. Die Identität der Empfänger.
7. Internationale Datenübermittlungen, einschließlich Länderangaben und Sicherheitsvorkehrungen.

Informationspflichten bei Erhebung personenbezogener Daten

Zusätzlich zu den oben genannten Informationen muss die Organisation auch Folgendes bereitstellen:

1. Einzelheiten zur Datenaufbewahrungsfrist;
2. Die Einzelheiten der Rechte der betroffenen Person nach dem Datenschutzrecht;
3. Informationen zum Widerruf der Einwilligung;
4. So reichen Sie eine Beschwerde ein;
5. Alle vertraglichen oder gesetzlichen Anforderungen;
6. Einzelheiten zu automatisierten Entscheidungsprozessen.

Fristen für die Bereitstellung von Informationen zur Verarbeitung

• Szenario 1 – Persönliche Daten erhoben mit keine Absicht zur Kontaktaufnahme mit der betroffenen Person oder zur Weitergabe der Daten an Dritte
• Frist für die Kontaktaufnahme – ein Monat
• Szenario 2 – Persönliche Daten erhoben mit eine Absicht zur Kontaktaufnahme mit der betroffenen Person
• Frist für die Kontaktaufnahme: Zwei Monate
• Personenbezogene Daten, die mit erhoben werden eine Absicht sie einem Dritten offenzulegen
• Frist für die Kontaktaufnahme: Zwei Monate

EU-DSGVO Artikel 14 und ISO 27701 Abschnitt 7.3.2

Dieser Abschnitt verweist auf die Artikel 14 (1)(a), 14 (1)(b), 14 (1)(c), 14 (1)(d), 14 (1)(e), 14 (1)( f), 14 (2)(b), 14 (2)(e), 14 (2)(f), 14 (3)(a), 14 (3)(b), 14 (3)(c) , 14 (4), 14 (5)(a), 14 (5)(b), 14 (5)(c), 14 (5)(d)

Siehe ISO 27701 Abschnitt 7.3.2 Anleitung in Artikel 13.

EU-DSGVO Artikel 14 (2)(d) und ISO 27701 Klausel 7.3.4

Siehe ISO 27701 Abschnitt 7.3.4 Anleitung in Artikel 13.

EU-DSGVO Artikel 14 (2)(c) und ISO 27701 Klausel 7.3.5

Siehe ISO 27701 Abschnitt 7.3.5 Anleitung in Artikel 13.

EU-DSGVO Artikel 14 (2)(c) und ISO 27701 Klausel 7.3.6

Siehe ISO 27701 Abschnitt 7.3.6 Anleitung in Artikel 13.

EU-DSGVO Artikel 14 (2)(g) und ISO 27701 Klausel 7.3.10

Siehe ISO 27701 Abschnitt 7.3.10 Anleitung in Artikel 13.

EU-DSGVO Artikel 14 (2)(a) und ISO 27701 Klausel 7.4.7

Siehe ISO 27701 Abschnitt 7.4.7 Anleitung in Artikel 13.

Unterstützende Kontrollen von ISO 27701

Wie ISMS.online hilft

Wir bieten Ihnen eine vorgefertigte Umgebung zur Beschreibung und Demonstration Ihres Ansatzes zum Schutz Ihrer europäischen und britischen Kundendaten, die sich nahtlos in Ihr Managementsystem einfügt.

Aus diesem Grund haben wir eine integrierte Risikobank und eine Reihe weiterer praktischer Tools erstellt, die Sie bei jedem Teil des Risikobewertungs- und -managementprozesses unterstützen. Unabhängig von den Datenschutzstandards oder -vorschriften, an denen Sie arbeiten, müssen Sie nachweisen, wie gut Sie Anfragen zu den Rechten betroffener Personen (Data Subject Rights Requests, DRR) verwalten. Unser sicherer DRR-Bereich hält alles an einem Ort und unterstützt es durch automatisierte Berichte und Einblicke.

Erfahren Sie mehr von Buchung einer 30-minütigen Demo.