Vägledning för personuppgiftsansvariga om de kompletterande kontrollerna enligt gällande ISAE3000-certificering.
Punkt A.3 om anmälan till den personuppgiftsansvarige
Svar: Om Garuda får en instruktion från en personuppgiftsansvarig som Garuda anser bryter mot GDPR eller andra dataskyddsbestämmelser, kommer Garuda omedelbart att meddela den personuppgiftsansvarige. Under perioden för ISAE 3000-utlåtandet har Garuda dock inte mottagit några instruktioner från Personuppgiftsansvariga som Garuda anser har brutit mot GDPR eller andra dataskyddsbestämmelser.
Punkt B.9 om loggning
Svar: Garuda har etablerat loggning för aktiviteter som utförs av systemadministratörer och andra med särskilda rättigheter. Garuda utför ad hoc-kontroller av loggar i enlighet med den fastställda årskalendern för de aktiviteter som utförs av systemadministratörer och andra med särskilda rättigheter.
Punkt C.3 och C.4 om nyanställningar
Svar: Vid nyanställningar hos Garuda följs en mycket specifik logg för aktiviteter som ska utföras vid beviljande av åtkomst, undertecknande av sekretessavtal, tilldelning av elektronisk utrustning etc. och nyanställda utbildas också i GDPR och compliance-arbete i Garuda. Under perioden för ISAE 3000-utlåtandet har Garuda dock inte haft några nyanställningar. Därför har ingen av dessa aktiviteter utförts under deklarationsperioden.
Punkt F.3 om att meddela personuppgiftsansvariga vid byte av underbiträde
Svar: Garuda har ett tydligt förfarande för att i god tid meddela personuppgiftsansvariga om Garuda ersätter ett befintligt underbiträde eller om ett nytt underbiträde helt enkelt införs. Under perioden för ISAE 3000-utlåtandet har det dock inte skett någon förändring av Garudas underbiträden, varför Garuda inte har haft något att meddela de personuppgiftsansvariga.
G.2 och G.3 om överföringar till tredje land
Svar: Garuda överför endast personuppgifter till tredje land om Garuda har fått en tydlig instruktion om att göra det från den personuppgiftsansvarige. Om Garuda har fått en sådan instruktion kommer Garuda alltid att säkerställa att det finns en bedömd och dokumenterad giltig grund för överföringen. Garuda överför inte personuppgifter till tredje land på eget initiativ vid något tillfälle och har inte heller fått några instruktioner från personuppgiftsansvariga att överföra personuppgifter till tredje land under ISAE 3000-deklarationsperioden.
I.3 och I.4 om personuppgiftsincidenter
Svar: Garuda har etablerat omfattande kontroller och rutiner för att hantera personuppgiftsincidenter. Detta inkluderar rutiner för att meddela personuppgiftsansvariga och ge stöd till den personuppgiftsansvarige i händelse av en personuppgiftsincident. Under perioden för ISAE 3000-utlåtandet har det inte förekommit några personuppgiftsincidenter av något slag, vilket är anledningen till att det inte har förekommit någon anmälan eller hjälp till personuppgiftsansvariga.
