Mitä kohta A.1.2.3 edellyttää?
Organisaation on määritettävä, dokumentoitava ja kyettävä osoittamaan henkilötietojen käsittelyn laillisen perusteen noudattaminen tunnistettuja tarkoituksia varten.
Tämä ohjaus sijaitsee Keräyksen ja käsittelyn edellytykset tavoite (A.1.2), jonka tarkoituksena on osoittaa, että käsittely on laillista, että sillä on sovellettavien lainkäyttöalueiden mukainen oikeusperusta ja että sillä on selkeästi määritellyt ja lailliset tarkoitukset. Vaikka A.1.2.2 Tarkoituksen tunnistaminen ja dokumentointi laatii mitä olet käsittelemässä ja miksi, A.1.2.3 määrittää oikeusperusta joka antaa sinulle luvan tehdä niin.
Mitä käyttöönotto-ohjeissa sanotaan?
Liitteessä B (kohta B.1.2.3) annetaan seuraavat ohjeet:
- Jotkin lainkäyttöalueet edellyttävät laillisen perustan vahvistamista ennen käsittely alkaa – organisaatioiden ei pitäisi olettaa, että ne voivat takautuvasti määrittää oikeudellisen perusteen
- Standardi tunnistaa kuusi yleistä laillisen perusteen luokkaa, vaikka sovellettava lainsäädäntö saattaa määritellä ne eri tavoin:
- Suostumus PII-päämiehen
- Sopimuksen toteuttaminen jossa PII-päävelvollinen on osapuolena
- Lakisääteisen velvoitteen noudattaminen jonka alainen rekisterinpitäjä on
- Tärkeät intressit PII-päämiehen tai muun luonnollisen henkilön
- Yleinen etu tai julkisen vallan käyttöä
- Perustelut intressit rekisterinpitäjän tai kolmannen osapuolen harjoittama
- Katso myös A.1.2.7: Sopimukset henkilötietojen käsittelijöiden kanssa asiaankuuluvia vaatimuksia varten
- Katso myös A.1.2.8: Yhteinen henkilötietojen rekisterinpitäjä asiaankuuluvia vaatimuksia varten
- Missä erityiset henkilötietojen luokat käsitellään (esim. terveystietoja, biometrisiä tietoja, rotu- tai etnistä alkuperää koskevia tietoja), voidaan tarvita muita oikeusperustoja – kuten nimenomainen suostumus, työlainsäädännön velvoitteiden noudattamisen välttämättömyys, elintärkeiden etujen suojaaminen tai voittoa tavoittelemattoman elimen suorittama käsittely.
- Organisaation on kyettävä osoittaa että valittu peruste on asianmukainen – pelkkä väite ei riitä
Miten tämä vastaa GDPR:ää?
Kontrolli A.1.2.3 vastaa huomattavaa joukkoa GDPR määräykset:
- 5 artikla (1) a) — Laillisuuden, oikeudenmukaisuuden ja avoimuuden periaate
- 6 artiklan 1–4 kohta — Kuusi laillista käsittelyperustetta sekä yhteensopivuustesti jatkokäsittelyä varten
- Artikla 8 — Lapsen suostumukseen sovellettavat ehdot tietoyhteiskunnan palveluihin liittyen
- Artikla 9 — Erityisten henkilötietoryhmien käsittely
- Artikla 10 — Rikostuomioihin ja rikkomuksiin liittyvien tietojen käsittely
- Artikla 17 — Oikeus poistaa tiedot (kytköksissä tähän, koska poistamisoikeus riippuu käytetystä laillisesta perusteesta)
- Artikla 18 — Oikeus käsittelyn rajoittamiseen
- Artikla 22 — Automatisoitu yksilöllinen päätöksenteko, mukaan lukien profilointi
Tämän kartoituksen laajuus heijastaa sitä tosiasiaa, että laillisen perustan valinnalla on seurauksia lähes kaikissa GDPR velvollisuus – rekisteröidyn oikeuksista säilytysaikoihin.
Miten tämä liittyy ISO 29100 -standardin mukaisiin yksityisyyden suojaa koskeviin periaatteisiin?
Tämä ohjaus tukee Tarkoituksen oikeutus ja täsmennys periaate standardissa ISO 29100. Tämä periaate edellyttää, että henkilötietojen käsittelyn tarkoitus on sovellettavan lain mukainen ja että se perustuu sallittuun oikeusperustaan. A.1.2.3 on operatiivinen mekanismi tämän periaatteen täyttämiseksi – se muuttaa abstraktin vaatimuksen dokumentoiduksi ja osoitettavaksi vaatimustenmukaisuudeksi.
Aloita ilmainen kokeilu
Haluatko tutkia?
Rekisteröidy ilmaiseen kokeilujaksoon tänään ja pääset käyttämään kaikkia ISMS.onlinen tarjoamia yhteensopivuusominaisuuksia
Mitä todisteita tilintarkastajat odottavat?
Arvioidessaan kohdan A.1.2.3 vaatimustenmukaisuutta tilintarkastajat etsivät tyypillisesti seuraavia seikkoja:
- Oikeudellisen perusteen rekisteri — Dokumentoitu kartoitus kunkin käsittelytoimen ja sen laillisen perusteen välillä, mieluiten ristiviittauksin tarkoitusrekisteriin A.1.2.2 Tarkoituksen tunnistaminen ja dokumentointi
- Oikeutettujen etujen arvioinnit — Kun vedotaan oikeutettuihin etuihin, on tehty dokumentoituja tasapainotestejä, jotka osoittavat, että organisaation etuja on punnittu henkilötietojen suojaa koskevien päämiesten oikeuksia vastaan.
- Erityisluokkien perustelut — Erillinen dokumentoitu perustelu arkaluonteisten henkilötietojen käsittelylle, jossa mainitaan käytetty lisäoikeudellinen peruste
- Oikeudellisen tarkastelun asiakirjat — Todisteet siitä, että laillista perustetta valittaessa on pyydetty oikeudellista neuvontaa tai suoritettu sisäinen tarkastus, erityisesti monimutkaisen tai korkean riskin käsittelyn tapauksessa
- Ajoitusnäyttö — Että laillinen perusta määritettiin ennen käsittely aloitettu, ei dokumentoitu takautuvasti
- Viestintä PII-päähenkilöille — Että laillinen peruste mainitaan tietosuojaselosteissa ja muissa yksilöille annetuissa tiedoissa
Mitä asiaan liittyviä ohjausobjekteja on?
| Valvonta: | Yhteys |
|---|---|
| A.1.2.2 Tarkoituksen tunnistaminen ja dokumentointi | Tarkoitukset on ensin määritettävä – kullekin tarkoitukselle määritetään laillinen perusta |
| A.1.2.4 Suostumuksen määrittäminen | Jos suostumus on laillinen peruste, suostumusprosessi on määriteltävä virallisesti |
| A.1.2.5 Suostumuksen hankkiminen ja kirjaaminen | Suostumuksen operatiivinen täytäntöönpano, kun se on valittu oikeusperuste |
| A.1.2.6 Yksityisyydensuojaa koskevien vaikutusten arviointi | Tietojenvaihto arvioi käsittelyä dokumentoitua laillista perustetta ja tarkoitusta vasten |
| A.1.3.3 Tietoja henkilötietojen käsittelijöille | Oikeudellinen peruste on ilmoitettava henkilötietojen käsittelijöille |
| A.1.4.3 Raja-arvojen käsittely | Käsittelyn on rajoituttava siihen, minkä laillinen peruste sallii |
Mikä muuttui standardista ISO 27701:2019?
Vaiheittaisen lähestymistavan löydät kohdasta Siirtymäkausi vuodesta 2019 vuoteen 2025.
Vuoden 2019 painoksessa tämä vaatimus esiintyi osana kohtaa 7.2.2 (oikeudellisen perustan yksilöinti). Määräysvaltatarkoitus on pysynyt olennaisesti muuttumattomana vuoden 2025 painoksessa, mutta uudelleenjärjestely muotoon Taulukko A.1 tarjoaa nyt selkeämmän eron normatiivisen valvontalausunnon (A.1.2.3) ja normatiivisen täytäntöönpano-ohjeistuksen (B.1.2.3) välille. Painopiste on osoitettavuudessa – ei pelkästään perustan määrittämisessä, vaan myös siinä, että pystyy todistamaan sen noudattaminen – on säilytetty ja selkeämpi rakenne on luultavasti vahvistanut sitä. Katso Liitteen F vastaavuustaulukko koko kartoitusta varten.
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.
Miksi valita ISMS.online laillisen perustan dokumentaation hallintaan?
ISMS.online antaa sinulle työkalut laillisten perusteidesi luotettavaan dokumentointiin, seurantaan ja osoittamiseen:
- Oikeudellisen perustan kartoitus — Yhdistä jokainen käsittelytoimi sen oikeusperusteeseen jäsennellyssä rekisterissä, jonka tilintarkastajat voivat tarkistaa yhdellä silmäyksellä
- Oikeutettujen etujen arviointimallit — Valmiiksi rakennetut LIA-pohjat opastavat sinua tasapainotustestissä kehotteiden ja pisteytyksen avulla, joten mikään ei jää huomaamatta
- Erikoiskategorian liput — Merkitsee automaattisesti arkaluonteisia henkilötietoja sisältävät käsittelytoimet ja pyytää tarvittavia lisäperusteita
- Versio-ohjattu todistusaineisto — Jokainen laillisen perustan dokumentaatioon tehty muutos aikaleimataan, mikä luo tarkastusketjun, joka todistaa päätösten tekoajankohdan.
- Integroidut tietosuojailmoitukset — Yhdistä lainmukaisia perusteita koskevat tietueesi suoraan tietosuojailmoituksiin, jotka välittävät ne henkilötietojen käsittelijöille
- Kehysten välinen kartoitus — Katso, miten laillisen perustan dokumentointi täyttää samanaikaisesti ISO 27701 -standardin, GDPR:n ja muut viitekehykset
UKK
Voimmeko muuttaa laillista perustettamme käsittelyn alettua?
Oikeudellisen perustan vaihtaminen takautuvasti on yleensä ongelmallista. Useimmat yksityisyyden suojan puitteet edellyttävät, että oikeusperuste määritetään ennen käsittelyn aloittamista. Jos olosuhteet muuttuvat, sinun tulee dokumentoida muutosten perustelut, ilmoittaa tarvittaessa henkilötietojen käsittelijöille ja harkita, onko olemassa olevia tietoja käsiteltävä uudelleen uuden perustan nojalla vai onko ne poistettava. Keskeinen vaatimus on osoitettavuus – sinun on kyettävä osoittamaan, että peruste oli pätevä käsittelyn ajankohtana.
Miten laillinen peruste vaikuttaa rekisteröidyn oikeuksiin?
Oikeudellinen peruste, johon vedot, määrää suoraan, mitä rekisteröidyn oikeuksia sovelletaan. Esimerkiksi GDPR:n mukaan oikeus tietojen siirrettävyyteen koskee vain tapauksia, joissa käsittely perustuu suostumukseen tai sopimuksen täytäntöönpanoon. Vastustamisoikeus koskee erityisesti käsittelyä, joka perustuu oikeutettuihin etuihin tai yleiseen etuun. Siksi oikean laillisen perusteen valitseminen alusta alkaen on ratkaisevan tärkeää – se muokkaa jatkuvia velvoitteitasi koko tietojen elinkaaren ajan.
Entä jos samaan käsittelyyn voitaisiin soveltaa useita laillisia perusteita?
Sinun tulee tunnistaa ja dokumentoida ensisijainen laillinen peruste, johon käytät kutakin käsittelytoimintoa. Vaikka teoriassa useampi kuin yksi peruste voi soveltua, yhden ensisijaisen perusteen valitseminen selkeyttää henkilötietojen käsittelyperiaatteita ja yksinkertaistaa vaatimustenmukaisuuden hallintaa. Useisiin perusteisiin samanaikaisesti turvautuminen voi aiheuttaa hämmennystä – varsinkin jos yksi peruste (kuten suostumus) myöhemmin peruutetaan ja yrität turvautua toiseen.
Dokumentoi, miten tämä valvonta koskee organisaatiotasi Ilmoitus soveltuvuudesta.
Katso tarkastusevidenssivaatimusten opas mitä tilintarkastajat odottavat tätä kontrollia arvioidessaan.
