Kuinka osoittaa GDPR-artiklan 28 noudattaminen

Yhdistyneen kuningaskunnan GDPR-versio

Suoritin

1. Jos käsittely suoritetaan rekisterinpitäjän puolesta, rekisterinpitäjä saa käyttää vain käsittelijöitä, jotka antavat riittävät takeet asianmukaisten teknisten ja organisatoristen toimenpiteiden toteuttamisesta siten, että käsittely täyttää tämän asetuksen vaatimukset ja varmistaa henkilöiden oikeuksien suojan. rekisteröityä.
2. Käsittelijä ei saa käyttää toista käsittelijää ilman rekisterinpitäjän etukäteen antamaa erityistä tai yleistä kirjallista lupaa. Yleisen kirjallisen valtuutuksen tapauksessa käsittelijän on ilmoitettava rekisterinpitäjälle kaikista suunnitelluista muutoksista, jotka koskevat muiden käsittelijöiden lisäämistä tai korvaamista, ja antaa siten rekisterinpitäjälle mahdollisuuden vastustaa tällaisia ​​muutoksia.
3. Käsittelijän suorittamaa käsittelyä säännellään sopimuksella tai muulla kansallisen lainsäädännön mukaisella säädöksellä, joka sitoo käsittelijää rekisterinpitäjään nähden ja jossa määritellään käsittelyn kohde ja kesto, käsittelyn luonne ja tarkoitus. , henkilötietojen tyypit ja rekisteröityjen luokat sekä rekisterinpitäjän velvollisuudet ja oikeudet. Sopimuksessa tai muussa oikeudessa on erityisesti määrättävä, että käsittelijä:
• (a) Käsittelee henkilötietoja vain rekisterinpitäjän dokumentoiduista ohjeista, mukaan lukien henkilötietojen siirtäminen kolmanteen maahan tai kansainväliselle järjestölle, ellei käsittelijää koskeva kansallinen lainsäädäntö sitä edellytä; tällaisessa tapauksessa käsittelijän on ilmoitettava rekisterinpitäjälle tästä oikeudellisesta vaatimuksesta ennen käsittelyä, ellei kyseinen laki kiellä tällaisia ​​tietoja tärkeistä yleisen edun mukaisista syistä.
• (b) Varmistaa, että henkilötietojen käsittelyyn valtuutetut henkilöt ovat sitoutuneet luottamuksellisuuteen tai heillä on asianmukainen lakisääteinen salassapitovelvollisuus.
• c) toteuttaa kaikki 32 artiklan mukaiset toimenpiteet.
• d) noudattaa 2 ja 4 kohdassa tarkoitettuja ehtoja toisen jalostajan palkkaamiseksi.
• (e) Käsittelyn luonteen huomioon ottaen avustaa rekisterinpitäjää mahdollisuuksien mukaan asianmukaisin teknisin ja organisatorisin toimenpitein, jotta se täyttää rekisterinpitäjän velvollisuutensa vastata luvussa III säädettyihin rekisteröidyn oikeuksien käyttöä koskeviin pyyntöihin. .
• f) Auttaa rekisterinpitäjää varmistamaan 32–36 artiklan mukaisten velvoitteiden noudattaminen ottaen huomioon käsittelyn luonteen ja käsittelijän käytettävissä olevat tiedot.
• (g) Rekisterinpitäjän valinnan mukaan poistaa tai palauttaa kaikki henkilötiedot rekisterinpitäjälle käsittelyyn liittyvien palvelujen tarjoamisen päätyttyä ja poistaa olemassa olevat kopiot, ellei kansallinen lainsäädäntö edellytä henkilötietojen säilyttämistä.
• h) Asettaa rekisterinpitäjän saataville kaikki tiedot, jotka ovat tarpeen tässä artiklassa säädettyjen velvoitteiden noudattamisen osoittamiseksi ja mahdollistavat rekisterinpitäjän tai muun rekisterinpitäjän valtuuttaman tarkastajan suorittamat tarkastukset, mukaan lukien tarkastukset, ja edistävät niitä.
   
  Ensimmäisen alakohdan h alakohdan osalta käsittelijän on välittömästi ilmoitettava rekisterinpitäjälle, jos ohje on sen mielestä tämän asetuksen tai muun tietosuojavelvoitteisiin liittyvän kansallisen lainsäädännön vastainen.
4. Jos henkilötietojen käsittelijä käyttää toista käsittelijää suorittamaan tiettyjä käsittelytoimia rekisterinpitäjän puolesta, kyseiselle henkilölle on asetettava samat tietosuojavelvoitteet kuin 3 kohdassa tarkoitetussa rekisterinpitäjän ja käsittelijän välisessä sopimuksessa tai muussa oikeudessa. muu käsittelijä sopimuksen tai muun kansallisen lainsäädännön mukaisen oikeudellisen toimen perusteella, erityisesti antamalla riittävät takeet asianmukaisten teknisten ja organisatoristen toimenpiteiden toteuttamisesta siten, että käsittely täyttää tämän asetuksen vaatimukset. Jos kyseinen toinen käsittelijä ei täytä tietosuojavelvoitteitaan, alkuperäinen käsittelijä on edelleen täysin vastuussa rekisterinpitäjälle tämän toisen käsittelijän velvoitteiden täyttämisestä.
5. Käsittelijän sitoutumista 40 artiklassa tarkoitettuihin hyväksyttyihin käytännesääntöihin tai 42 artiklassa tarkoitettuun hyväksyttyyn sertifiointimekanismiin voidaan käyttää elementtinä, jolla voidaan osoittaa tämän artiklan 1 ja 4 kohdassa tarkoitetut riittävät takeet. .
6. Rajoittamatta rekisterinpitäjän ja käsittelijän välisen yksittäisen sopimuksen soveltamista, tämän artiklan 3 ja 4 kohdassa tarkoitettu sopimus tai muu säädös voi perustua kokonaan tai osittain 8 kohdassa tarkoitettuihin vakiosopimuslausekkeisiin. tässä artiklassa, mukaan lukien silloin, kun ne ovat osa rekisterinpitäjälle tai käsittelijälle 42 ja 43 artiklan mukaisesti myönnettyä varmennetta.
7. Komissaari voi hyväksyä mallisopimuslausekkeita tämän artiklan 3 ja 4 kohdassa tarkoitetuista asioista.
8. Sopimuksen tai muun 3 ja 4 kohdassa tarkoitetun säädöksen on oltava kirjallinen, myös sähköisessä muodossa.
9. Jos henkilötietojen käsittelijä rikkoo tätä asetusta määrittämällä käsittelyn tarkoitukset ja keinot, käsittelijää on pidettävä rekisterinpitäjänä tämän käsittelyn osalta, sanotun kuitenkaan rajoittamatta 82, 83 ja 84 artiklan soveltamista.

Tekninen kommentti

GDPR:n artikla 28 koskee kahdeksaa osa-aluetta, jotka säätelevät, kuinka tietojenkäsittelytoimet voidaan ulkoistaa kolmansille osapuolille:

1. Palveluntarjoajan käytön vähimmäisvaatimukset.
2. Muiden prosessoijien sitoutuminen edelleen, kun palveluntarjoaja on ollut yhteydessä.
3. Laillisesti sitovan kirjallisen sopimuksen tarve.
4. Alihankinta (alihankinta).
5. Käytännesäännöt.
6. Sopimuslausekkeet.
7. Lomakevaatimukset.
8. Oikeudelliset seuraukset sopimusrikkomuksesta.

ISO 27701:n lauseke 5.2.1 (Organisaatiosta ja sen kontekstista) ja EU:n GDPR:n artikla 28

Tässä osiossa puhumme GDPR-artikkeleista 28 (10), 28 (5) ja 28 (6).

Organisaatioiden tulee käydä läpi kartoitus, jossa luetellaan sekä sisäiset että ulkoiset tekijät, jotka liittyvät PIMS:n käyttöönottoon.

Organisaation on kyettävä ymmärtämään, kuinka se aikoo saavuttaa tietosuojatuloksensa, ja kaikki asiat, jotka estävät henkilökohtaisten tunnistetietojen suojaamisen, tulee tunnistaa ja käsitellä.

Ennen kuin organisaatiot yrittävät käsitellä yksityisyyden suojaa ja ottaa käyttöön henkilökohtaisia ​​tunnistetietoja, niiden on ensin ymmärrettävä velvollisuutensa yksittäisenä tai yhteisenä henkilökohtaisten tunnistetietojen rekisterinpitäjänä ja/tai käsittelijänä.

Tämä sisältää:

1. Tarkistaa kaikki voimassa olevat yksityisyyttä koskevat lait, määräykset tai "oikeudelliset päätökset".
2. Ottaen huomioon organisaation ainutlaatuiset vaatimukset, jotka liittyvät myymien tuotteiden ja palvelujen laatuun, sekä yrityskohtaiset hallintoasiakirjat, politiikat ja menettelytavat.
3. Kaikki hallinnolliset tekijät, mukaan lukien yrityksen päivittäinen toiminta.
4. Kolmannen osapuolen sopimukset tai palvelusopimukset, jotka voivat vaikuttaa henkilökohtaisiin tunnistetietoihin ja yksityisyyden suojaan.

ISO 27701 -lauseke 6.12.1.2 (turvallisuuden käsitteleminen toimittajasopimuksissa) ja EU:n GDPR-artikkeli 28

Tässä osiossa puhumme GDPR-artikkeleista 28 (3) (b), (1), (3) (a), (3) (b), (3) (c), (3) (d), (3). )(e), (3)(f), (3(g)) ja (3(h))

Toimittajasuhteiden turvallisuudesta puhuttaessa organisaatioiden tulee varmistaa, että molemmat osapuolet ovat tietoisia velvollisuuksistaan ​​yksityisyyden tietoturvaa kohtaan ja toisilleen.

Näin tehdessään organisaatioiden tulee:

• Tarjoa selkeä kuvaus, joka sisältää yksityiskohdat, joita on käytettävä, ja kuinka näihin tietoihin päästään.
• Luokittele käytettävät yksityisyystiedot hyväksytyn luokitusjärjestelmän mukaisesti (katso ISO 27002 Kontrollit 5.10, 5.12 ja 5.13).
• Ota riittävästi huomioon toimittajien oma luokitusjärjestelmä.
• Luokittele oikeudet neljään pääalueeseen – oikeudellinen, lakisääteinen, säädös- ja sopimusperusteinen – ja kuvaile yksityiskohtaisesti velvollisuudet alueittain.
• Varmista, että jokainen osapuoli on velvollinen toteuttamaan useita valvontatoimia, jotka valvovat, arvioivat ja hallitsevat tietosuojan tietoturvariskin tasoja.
• Piirrä toimittajahenkilöstön tarve noudattaa organisaation tietoturvastandardeja (ks. ISO 27002 Control 5.20).
• Edistää selkeää ymmärrystä siitä, mikä on kummankin osapuolen yksityisyystietojen sekä fyysisten ja virtuaalisten omaisuuserien sekä hyväksyttävää että ei-hyväksyttävää käyttöä.
• Ota käyttöön valtuutusvalvonta, jota toimittajapuolen henkilöstö tarvitsee päästäkseen käsiksi tai tarkastellakseen organisaation tietosuojatietoja.
• Harkitse, mitä tapahtuu, jos sopimusta rikotaan tai jos yksittäisiä määräyksiä ei noudateta.
• Esittele tapahtumanhallintamenettely, mukaan lukien se, miten tärkeistä tapahtumista tiedotetaan.
• Varmista, että henkilöstölle annetaan turvallisuustietoisuuskoulutusta.
• (Jos toimittajalla on lupa käyttää alihankkijoita) lisää vaatimuksia varmistaaksesi, että alihankkijat noudattavat samoja tietosuojatietoturvastandardeja kuin toimittaja.
• Harkitse, kuinka tavarantoimittajien henkilökuntaa seulotaan ennen kuin he ovat vuorovaikutuksessa tietosuojatietojen kanssa.
• Määritä tarve kolmannen osapuolen todistuksille, jotka koskevat toimittajan kykyä täyttää organisaation tietosuojan tietoturvavaatimukset.
• Sinulla on sopimusoikeus tarkastaa toimittajan menettelyt.
• Vaadi toimittajia toimittamaan raportteja, joissa kerrotaan heidän omien prosessiensa ja menettelyjensä tehokkuudesta.
• Keskity toimenpiteisiin, jotka vaikuttavat vikojen tai ristiriitojen oikea-aikaiseen ja perusteelliseen ratkaisemiseen.
• Varmista, että toimittajat noudattavat asianmukaista BUDR-käytäntöä henkilökohtaisten tunnistetietojen ja yksityisyyteen liittyvien resurssien eheyden ja saatavuuden suojaamiseksi.
• Vaadi toimittajapuolen muutostenhallintakäytäntöä, joka ilmoittaa organisaatiolle kaikista muutoksista, jotka voivat vaikuttaa yksityisyyden suojaan.
• Ota käyttöön fyysisiä turvatoimia, jotka ovat verrannollisia tallennettavien ja käsiteltävien tietojen herkkyyteen.
• (Mihin tietoja siirretään) pyytää toimittajia varmistamaan, että tiedot ja omaisuus on suojattu katoamiselta, vahingoittumiselta tai korruptiolta.
• Esitä luettelo toimista, jotka jommankumman osapuolen on toteutettava irtisanomisen yhteydessä.
• Pyydä toimittajaa kertomaan, kuinka hän aikoo tuhota tietosuojatiedot irtisanomisen jälkeen tai tietoja ei enää tarvita.
• Ryhdy toimenpiteisiin varmistaaksesi, että liiketoiminta keskeytyy mahdollisimman vähän luovutusjakson aikana.

Organisaatioiden tulee myös ylläpitää a sopimusrekisteri, jossa luetellaan kaikki muiden organisaatioiden kanssa tehdyt sopimukset.

Tukee ISO 27002 -säätimiä

• ISO 27002 5.10
• ISO 27002 5.12
• ISO 27002 5.13
• ISO 27002 5.20

ISO 27701 -lauseke 6.15.1.1 (Sovellettavan lainsäädännön ja sopimusvaatimusten tunnistaminen) ja EU:n GDPR:n artikla 28

Tässä osiossa puhumme GDPR-artikkeleista 28 (1), (3) (a), (3) (b), (3) (c), (3) (d), (3) (e), (3). )(f), (3(g)) ja (3(h))

Organisaatioiden tulee noudattaa lakisääteisiä, lakisääteisiä, säännöksiä ja sopimusehtoja, kun:

1. Yksityisyystietoturvamenettelyjen laatiminen ja/tai muuttaminen.
2. Tietojen luokittelu.
3. Yksityisyyden tietoturvatoimiin liittyvien riskiarviointien aloittaminen.
4. Toimittajasuhteiden luominen, mukaan lukien kaikki sopimusvelvoitteet koko toimitusketjussa.

Organisaatioiden tulee noudattaa menettelyjä, jotka mahdollistavat sen tunnistaa, analysoida ja ymmärtää lainsäädäntö- ja sääntelyvelvoitteet – erityisesti ne, jotka liittyvät yksityisyyden suojaan ja henkilökohtaisiin tietoihin – kaikkialla, missä ne toimivat.

Organisaatioiden tulee olla jatkuvasti tietoisia yksityisyyden suojaa koskevista velvoitteistaan, kun ne tekevät uusia sopimuksia kolmansien osapuolten, tavarantoimittajien ja urakoitsijoiden kanssa.

Ottaessaan käyttöön salausmenetelmiä yksityisyyden suojan ja henkilökohtaisten tunnistetietojen turvaamiseksi, organisaatioiden tulee:

• Noudata kaikkia lakeja, jotka säätelevät sellaisten laitteistojen tai ohjelmistojen tuontia ja vientiä, jotka voivat suorittaa salaustoiminnon.
• Tarjoa pääsy salattuihin tietoihin sen lainkäyttöalueen lakien mukaisesti, jolla he toimivat.
• Käytä kolmea salauksen avainelementtiä:
1. Digitaaliset allekirjoitukset.
2. Tiivisteet.
3. Digitaaliset sertifikaatit.

Tukee ISO 27002 -säätimiä

• ISO 27002 5.20

ISO 27701 -lauseke 7.2.6 (sopimukset henkilökohtaisten tunnistetietojen käsittelijöiden kanssa) ja EU:n GDPR:n artikla 28(3)(e) ja 28(9)

Organisaatioiden on esitettävä yksityiskohdat kaikista yhteisistä henkilökohtaisten tunnistetietojen käsittelyjärjestelyistä mukana tulevan henkilötietojen rekisterinpitäjän kanssa – tämä sisältää yleiset suojatoimenpiteet ja kaikki niihin liittyvät turvallisuusvaatimukset.

Roolien ja vastuiden on oltava selkeitä ja yksiselitteisiä, ja ne on määriteltävä oikeudellisesti sitovassa asiakirjassa (jota joskus kutsutaan "tiedonjakosopimukseksi").

Sopimukset voivat sisältää (muiden toimenpiteiden ohella):

• Miksi henkilökohtaisia ​​tunnistetietoja jaetaan.
• Tietoluokat.
• Yleiskatsaus henkilökohtaisten tunnistetietojen käsittelystä.
• Kaikki asiaankuuluvat roolit ja vastuut.
• Kuinka yksityisyyden tietoturvaa tulee hallita.
• Mihin toimiin tulee ryhtyä tietoturvaloukkauksen sattuessa.
• Kuinka henkilötiedot säilytetään ja tuhotaan, kun niitä ei enää tarvita.
• Mitä tapahtuu, jos jompikumpi osapuoli rikkoo sopimusta.
• Mitkä ovat jommankumman osapuolen velvollisuudet PII-päämiehiä kohtaan?
• Mitä mekanismeja on käytössä, jotta PII-päämiehille voidaan toimittaa yhteisen sopimuksen sovellettavat tiedot?
• Kuinka henkilökohtaisten tunnistetietojen päälliköt voivat tehdä virallisia pyyntöjä ja kuinka muotoilla ja toimittaa vastaus.
• Yhteyspisteet – sekä sisäisesti että PII-päämiehille hyödynnettävissä.

ISO 27701 -lauseke 8.2.1 (asiakassopimus) ja EU:n GDPR-artikkeli 28

Tässä osiossa puhumme GDPR:n artiklasta 28 (3) (e) ja 28 (3) (f) ja 28 (9)

Asiakassopimusten tulee sisältää:

• Käsite "suunniteltu yksityisyys" (katso ISO 27701, lausekkeet 7.4 ja 8.4).
• Miten organisaatio aikoo saavuttaa käsittelyn turvallisuuden.
• Miten rikkomuksista ilmoitetaan, mukaan lukien asiakkaat, päämiehet ja sääntelyviranomaiset.
• Miten Tietosuojavaikutusten arvioinnit on käsiteltävä.
• Vahvistus organisaation aikomuksesta auttaa henkilökohtaisia ​​tunnistetietoja suojaavia viranomaisia.

Tukee ISO 27701 -lausekkeita

• ISO 27701 7.4
• ISO 27701 8.4

ISO 27701:n lauseke 8.2.2 (Organisation tavoitteet) ja EU:n GDPR:n artikla 28 (3(a))

Sopimuksiin tulee sisältyä keskinäisiin tavoitteisiin liittyvät SLA-sopimukset ja niihin liittyvät aikataulut, joiden kuluessa ne on täytettävä.

Organisaatioiden tulee tunnustaa oikeutensa valita henkilökohtaisten tunnistetietojen käsittelyyn käytettävät erilliset menetelmät, joilla saavutetaan laillisesti asiakkaan etsimä, mutta ilman tarvetta hankkia yksityiskohtaisia ​​lupia organisaation tekniseen käsittelyyn.

ISO 27701:n lauseke 8.2.4 (loukkaavat ohjeet) ja EU:n GDPR:n 28 artiklan 3 kohdan h alakohta

Organisaatioiden on ylläpidettävä perusteellista toimintaymmärrystä siitä, kuinka ohjeet voivat olla ristiriidassa sovellettavan lainsäädännön tai säännösten kanssa.

Rikkomukset tapahtuvat yleensä kolmen tekijän ympärillä.

1. Miten tekniikkaa käytetään.
2. Ohjeen lähtökohta.
3. Kaikki sopimusvelvoitteet.

ISO 27701:n lauseke 8.2.5 (asiakkaan velvoitteet) ja EU:n GDPR:n artiklan 28 (3) h)

Organisaatioiden tulee pystyä tarjoamaan asiakkailleen riittävästi tietoa, jotta asiakkaat voivat täyttää velvoitteensa kulloinkin.

Vaadittu tieto voi sisältää monenlaisia ​​toimintoja, mutta yleensä liittyy sisäisiin auditointeihin ja organisaation rooliin niiden edistämisessä tiedon toimittamisen kautta.

ISO 27701:n lauseke 8.3.1 (PII-päämiehiä koskevat velvollisuudet) ja EU:n GDPR:n artiklan 28 (3) h kohta

Rekisterinpitäjien velvollisuuksia säätelee kolme tekijää:

1. Lainsäädäntö.
2. Säätö.
3. Sopimukset.

Sopimuksiin tulee sisältyä mikä tahansa tiedot or tekniset toiminnot jotka antavat organisaatiolle mahdollisuuden täyttää velvollisuutensa rekisterinpitäjänä.

ISO 27701 -lauseke 8.4.2 (henkilökohtaisten tunnistetietojen palauttaminen, siirto tai hävittäminen) ja EU:n GDPR:n artikla 28 (3) (g)

On olemassa useita tilanteita, jotka edellyttävät henkilökohtaisten tunnistetietojen hävittämistä, mukaan lukien (mutta ei rajoittuen):

• Mahdollisten henkilökohtaisten tunnistetietojen palauttaminen asiakkaalle.
• PII-tietojen toimittaminen toiselle organisaatiolle.
• Tietojen tuhoaminen.
• Tunnistautuminen.
• Arkistointi.

Organisaatioiden on annettava ehdoton takeet siitä, että kaikki tarpeettomat henkilötiedot tuhotaan voimassa olevan lainsäädännön tai alueellisten ohjeiden mukaisesti.

Kaikkien hävityskäytäntöjen tulee olla asiakkaan saatavilla pyynnöstä, ja niiden on katettava aika, jonka organisaatioiden on tuhottava henkilökohtaiset tiedot sopimuksen päättämisen jälkeen.

ISO 27701:n lauseke 8.5.4 (Ilmoitus henkilökohtaisista tunnistetietojen paljastamispyynnöistä) ja EU:n GDPR:n artiklan 28 (3) a alakohta

Organisaatioiden tulee laatia menettely, joka ohjaa tapaa, jolla PII-päämiehille ilmoitetaan laillisesti sitovista kolmansien osapuolien tietopyynnöistä, mukaan lukien kohtuullinen aikaraja ja sopimusehto, joka hahmottaa koko prosessin.

Ennen kaikkea organisaatiot tarvitsevat noudattaa lainvalvontaviranomaisten pyyntöjä, joilla on oikeus pyytää, ettei asiakkaalle ilmoiteta mistään pyynnöstä, ja varmistaa, että he eivät riko lakeja ilmoittamalla asiakkaalle vahingossa tai tahallaan.

ISO 27701 -lauseke 8.5.6 (henkilökohtaisten tunnistetietojen käsittelyyn käytettyjen alihankkijoiden ilmoittaminen) ja EU:n GDPR:n artiklat 28 (2) ja (28) (4)

Kaikki alihankkijoiden käyttöä koskevat määräykset tulee luetella sellaisinaan SLA-/asiakassopimuksessa.

Alihankkijoita koskevien tietojen tulee sisältää:

• Alihankkijoiden nimi.
• Kaikki maat, joihin alihankkija pystyy siirtämään tietoja (katso ISO 27701 kohta 8.5.2), jotta asiakas voi ilmoittaa siitä kaikille PII-päämiehille.
• Miten alihankkijan odotetaan täyttävän organisaation tarpeet (ks. ISO 27701 kohta 8.5.7).

NDA:t tulisi laatia paljastamaan kaikki tiedot, jotka aiheuttaisivat kohonneen turvallisuusriskin, jos ne julkistetaan.

Tukee ISO 27701 -lausekkeita

• ISO 27701 8.5.2
• ISO 27701 8.5.7

ISO 27701 -lauseke 8.5.7 (Alihankkijan sitouttaminen henkilötietojen käsittelyyn) ja EU:n GDPR:n artikla 28 (2) ja 28 (3) (d)

Organisaatioiden on hankittava kirjallinen lupa asiakkailtaan, ennen kuin kolmannen osapuolen organisaatio käsittelee henkilökohtaisia ​​tunnistetietoja.

Alihankkijoilla on oltava sitova sopimus (yleensä kirjallisena), jolla varmistetaan, että alihankkijat ymmärtävät velvollisuutensa ISO 27701 -standardin liitteessä B lueteltujen tarkastusten toteuttamisessa.

Sopimuksissa tulee ottaa huomioon erilaiset riskinarviointiprosessit (ks. ISO 27701 kohta 5.4.1.2) ja koko organisaation PII-käsittelyn laajuus (katso ISO 27701 kohta 6.12). Kuten edellä, kaikkia liitteessä B lueteltuja valvontatoimia on noudatettava, lukuun ottamatta lueteltuja puutteita ja perusteluja.

Tukee ISO 27701 -lausekkeita

• ISO 27701 5.4.1.2
• ISO 27701 6.12

ISO 27701:n lauseke 8.4 (alihankkijan vaihtaminen prosessin henkilötietoihin) ja EU:n GDPR GDPR:n artikla 28 (2)

Aina kun tulee tarve muuttaa tapaa, jolla organisaatio ulkoistaa jonkin PII-käsittelynsä osan, asiakkaille tulee tiedottaa muutoksista hyvissä ajoin, jotta heillä on aikaa kyseenalaistaa tai vastustaa muutoksia.

Sopimuksiin tulee sisältyä lausekkeita, jotka edellyttävät asiakkaan kirjallista lupaa muuttaa muutosta ennen henkilökohtaisten tunnistetietojen käsittelyä.

Organisaatiot voivat myös hakea hyväksyntää muutoksiin ad hoc -kirjallisissa sopimuksissa, sopimusehtojen ulkopuolella.

Tukee ISO 27701 -lausekkeita ja ISO 27002 -säätimiä

Miten ISMS.online auttaa

Rakennettu ISO 27701 -standardin mukaisesti, linjassa muiden määräysten kanssa.

ISO 27701 -standardin avulla voit luoda tietosuojatietojen hallintajärjestelmän, joka on useimpien tietosuojasäännösten mukainen. Tämä sisältää EU:n Yleinen tietosuojadirektiivi, BS 10012 ja Etelä-Afrikan POPIA.

Voit helposti seurata kansainvälistä standardia yksinkertaistetulla, suojatulla ja kestävällä ohjelmistollamme.

Tarjoamamme all-in-one-alusta varmistaa, että tietosuojatyösi on ISO 27701 -standardin mukainen ja täyttää sen vaatimukset.

Lisätietoja: varata lyhyt 30 minuutin demo.