Mitä kohta A.1.2.2 edellyttää?
Organisaation on yksilöitävä ja dokumentoitava henkilötietojen käsittelyn erityistarkoitukset.
Tämä ohjaus sijaitsee Keräyksen ja käsittelyn edellytykset tavoite (A.1.2), jonka tarkoituksena on osoittaa, että käsittely on laillista, sillä on sovellettavien lainkäyttöalueiden mukainen oikeusperusta ja selkeästi määritellyt ja lailliset tarkoitukset.
Mitä käyttöönotto-ohjeissa sanotaan?
Liitteessä B (kohta B.1.2.2) annetaan seuraavat ohjeet:
- Organisaation tulisi varmistaa, että henkilötietojen käsittelystä vastaavat henkilöt ymmärtävät, mihin tarkoitukseen heidän henkilötietojaan käsitellään.
- Organisaation vastuulla on dokumentoida tämä selkeästi ja viestiä siitä henkilötietojen käsittelystä vastaaville vastuuhenkilöille.
- Ilman selkeää tarkoituksen ilmaisua suostumusta ja valintaa ei voida antaa asianmukaisesti
- Tarkoitusten dokumentoinnin tulee olla riittävän selkeää ja yksityiskohtaista, jotta se tukee henkilötietojen suojaa koskeville päämiehille annettuja tietoja (ks. A.1.3.3 Tietoja henkilötietojen käsittelijöille)
- Tarkoitusdokumentaatioon tulee sisällyttää suostumuksen saamiseksi tarvittavat tiedot (ks. A.1.2.4 Suostumuksen määrittäminen) ja dokumentoitua tietoa käytännöistä ja menettelyistä (ks. A.1.2.9 Henkilötietojen käsittelyä koskevat tiedot)
- Katso myös A.1.2.5: Suostumuksen hankkiminen ja kirjaaminen asiaankuuluvia vaatimuksia varten
- Katso myös A.1.3.5: Suostumuksen muuttaminen tai peruuttaminen asiaankuuluvia vaatimuksia varten
Ohjeissa todetaan myös, että standardin ISO/IEC 19944-1 taksonomia ja määritelmät voivat olla hyödyllisiä kuvattaessa käsittelytarkoituksia pilvipalveluympäristöissä.
Miten tämä vastaa GDPR:ää?
Kontrollin A.1.2.2 kohdennus GDPR Artiklan 5(1)(b) kohta (käyttötarkoituksen rajoittamisen periaate) ja artiklan 32(4) kohta (jolla varmistetaan, että viranomaisen alaisuudessa toimivat henkilöt käsittelevät tietoja ainoastaan ohjeiden mukaisesti). GDPR edellyttää, että henkilötietoja kerätään tiettyä, nimenomaista ja laillista tarkoitusta varten, eikä niitä käsitellä myöhemmin tavalla, joka ei ole yhteensopiva näiden tarkoitusten kanssa.
Miten tämä liittyy ISO 29100 -standardin mukaisiin yksityisyyden suojaa koskeviin periaatteisiin?
Tämä ohjausobjekti tukee kahta ISO 29100 -standardin mukaista tietosuojaperiaatetta:
- Suostumus ja valinta — Selkeä käyttötarkoituksen dokumentointi mahdollistaa merkityksellisen suostumuksen
- Tarkoituksen oikeutus ja täsmennys — Vastaa suoraan tiettyjen, laillisten tarkoitusten vaatimukseen
Vapauta itsesi laskentataulukoiden vuorten vallasta
Ota käyttöön, laajenna ja skaalaa vaatimustenmukaisuus ilman sotkua. Io antaa sinulle joustavuutta ja luottamusta kasvaa turvallisesti.
Mitä todisteita tilintarkastajat odottavat?
Arvioidessaan kohdan A.1.2.2 vaatimustenmukaisuutta tilintarkastajat etsivät tyypillisesti seuraavia seikkoja:
- Käsittelytarkoitusrekisteri — Dokumentoitu luettelo kaikista henkilötietojen käsittelytoimista ja niiden ilmoitetuista tarkoituksista
- Tietosuojailmoitukset — Todiste siitä, että käyttötarkoitukset on ilmoitettu henkilötietojen suojaamisesta vastaaville selkeällä ja ymmärrettävällä kielellä.
- Käsittelytoimien tiedot — Dokumentoidut tiedot, jotka osoittavat kunkin käsitellyn henkilötietojen luokan tarkoitukset
- Muutoksen hallinta — Todisteet siitä, että uudet käsittelytarkoitukset arvioidaan ja dokumentoidaan ennen käsittelyn aloittamista
- Yhteensopivuus suostumustietueiden kanssa — Että suostumuslomakkeissa dokumentoidut tarkoitukset vastaavat tosiasiallisesti suoritettavaa käsittelyä
Mitä asiaan liittyviä ohjausobjekteja on?
| Valvonta: | Yhteys |
|---|---|
| A.1.2.3 Oikeudellisen perustan määrittäminen | Kun tarkoitukset on määritelty, on tunnistettava kunkin tarkoituksen laillinen perusta. |
| A.1.2.4 Suostumuksen määrittäminen | Suostumusprosessit riippuvat selkeästi dokumentoiduista tarkoituksista |
| A.1.2.9 Henkilötietojen käsittelyä koskevat tiedot | Tarkoitusdokumentaatio syötetään käsittelytietoihin |
| A.1.3.3 Tietoja henkilötietojen käsittelijöille | Tarkoitukset on ilmoitettava henkilötietojen käsittelijöille |
| A.1.3.4 Tietojen antaminen | Selkeät ja helposti ymmärrettävät käyttötarkoitusten kuvaukset tietosuojaselosteissa |
| A.1.4.3 Raja-arvojen käsittely | Käsittelyn on rajoituttava siihen, mikä on tarpeen dokumentoitujen tarkoitusten kannalta. |
Mikä muuttui standardista ISO 27701:2019?
Vaiheittaisen lähestymistavan löydät kohdasta Siirtymäkausi vuodesta 2019 vuoteen 2025.
Vuoden 2019 painoksessa tämä vaatimus oli osa kohtaa 7.2.1 (tarkoituksen tunnistaminen ja dokumentointi). Kontrollin sisältö on sisällöltään sama vuonna 2025, mutta se sijaitsee nyt kohdassa Taulukko A.1 selkeämmällä erolla toisistaan valvontalausunto (A.1.2.2) ja toteutusohjeet (B.1.2.2). Katso Liitteen F vastaavuustaulukko koko kartoitusta varten.
Miksi valita ISMS.online käsittelyn hallintatarkoituksiin?
ISMS.online tarjoaa käytännön työkaluja käsittelyn dokumentointiin ja hallintaan:
- Käsittelytoimintarekisteri — Dokumentoi jokainen käsittelytoimi sen ilmoitetulla tarkoituksella, henkilötietojen luokilla ja oikeusperustalla
- Tietosuojailmoituksen hallinta — Ylläpidä versiohallittuja tietosuojailmoituksia, jotka liittyvät käsittelytarkoituksiin
- Muutosten seuranta — Kirjaa käyttötarkoitusten lisääminen, muuttaminen tai poistaminen täydellisellä lokitiedostolla
- Ristiviittaus — Yhdistä käyttötarkoitukset suostumustietueisiin, yksityisyydensuojaa koskevien vaikutustenarviointien ja rekisteröityjen pyyntöihin
- Tarkastusevidenssi — Vientitarkoituksen dokumentointi osana vaatimustenmukaisuustodistuspakettiasi
UKK
Kuinka yksityiskohtaista käyttötarkoituksen dokumentoinnin tulisi olla?
Riittävän selkeä ja yksityiskohtainen, jotta sitä voidaan käyttää osana henkilötietojen käsittelystä vastaaville annettavia tietoja ja suostumuksen hankkimisen perusteena. Epämääräiset tarkoitukset, kuten "liiketoiminta" tai "palveluiden parantaminen", eivät todennäköisesti täytä vaatimusta. Kunkin tarkoituksen tulisi kuvata käsittelyn erityinen tulos.
Mitä tapahtuu, jos käyttötarkoitukset muuttuvat keräämisen jälkeen?
Kaikki uudet tarkoitukset on dokumentoitava ja arvioitava niiden yhteensopivuuden varmistamiseksi alkuperäisen tarkoituksen kanssa. Jos uusi tarkoitus ei ole yhteensopiva, vaaditaan yleensä lisäsuostumus tai erillinen laillinen peruste. Muutoksen tulisi näkyä päivitetyissä tietosuojaselosteissa ja käsittelytietueissa.
Koskeeko tämä myös PII-käsittelijöitä?
A.1.2.2 on PII-ohjaimen ohjaus. PII-käsittelijöillä on asiaankuuluva mutta erilainen velvoite A.2.2.3 Organisaation tarkoitus (Organisaation tarkoitukset), mikä edellyttää heiltä henkilötietojen käsittelyä vain asiakkaan ohjeissa dokumentoituihin tarkoituksiin.
Dokumentoi, miten tämä valvonta koskee organisaatiotasi Ilmoitus soveltuvuudesta.
Katso tarkastusevidenssivaatimusten opas mitä tilintarkastajat odottavat tätä kontrollia arvioidessaan.
