Mitä kohta A.1.2.9 edellyttää?
Organisaation on määritettävä ja ylläpidettävä turvallisesti tarvittavat tiedot henkilötietojen käsittelyyn liittyvien velvoitteidensa tueksi.
Tämä ohjaus sijaitsee Keräyksen ja käsittelyn edellytykset tavoite (A.1.2), jonka tarkoituksena on osoittaa, että käsittely on laillista, että sillä on sovellettavien lainkäyttöalueiden mukainen oikeusperusta ja että sillä on selkeästi määritellyt ja lailliset tarkoitukset. Tietojen kirjaaminen on tapa todistaa, että kaikki muu toimii.
Mitä käyttöönotto-ohjeissa sanotaan?
Liitteessä B (kohta B.1.2.9) on yksityiskohtaiset ohjeet tietojenkäsittelytietojen luokista:
- Käsittelyluokat — Henkilötietoihin kohdistuvien käsittelytoimien tyypit (kerääminen, tallentaminen, siirtäminen, poistaminen jne.)
- Käsittelyn tarkoitukset — Selkeä selvitys siitä, miksi kutakin henkilötietojen luokkaa käsitellään, linkitettynä edellytettyyn tarkoitusdokumentaatioon A.1.2.2 Tarkoituksen tunnistaminen ja dokumentointi
- Henkilötietojen ja henkilötietojen päähenkilöiden luokat — Minkä tyyppisiä henkilötietoja säilytetään ja kenestä (työntekijät, asiakkaat, verkkosivuston kävijät jne.)
- vastaanottajat — Kaikki kolmannet osapuolet tai käsittelijät, jotka vastaanottavat henkilötietoja
- Kansainväliset siirrot — Tiedot mahdollisista siirroista muille lainkäyttöalueille, mukaan lukien käytössä olevat suojatoimet
- Säilytysajat — Kuinka kauan kutakin henkilötietojen luokkaa säilytetään ennen poistamista tai anonymisointia
- Turvatoimet — Yleinen kuvaus henkilötietojen suojaavista teknisistä ja organisatorisista toimenpiteistä
- Katso myös A.1.2.4: Määritä, milloin ja miten suostumus on hankittava asiaankuuluvia vaatimuksia varten
- Katso myös A.1.2.5: Suostumuksen hankkiminen ja kirjaaminen asiaankuuluvia vaatimuksia varten
Ohjeissa korostetaan myös, että tiedot on pidettävä ajan tasalla käsittelytoimien muuttuessa ja että ne on asetettava pyynnöstä valvontaviranomaisten saataville. Tämä ei ole kertaluonteinen dokumentointitoimenpide, vaan jatkuva operatiivinen vaatimus.
Miten tämä vastaa GDPR:ää?
Kontrolli A.1.2.9 kohdistuu useisiin GDPR määräykset:
- Article 5 (2) — Vastuuvelvollisuusperiaate, joka edellyttää rekisterinpitäjiltä vaatimustenmukaisuuden osoittamista
- Article 24 (1) — Velvollisuus toteuttaa asianmukaiset toimenpiteet ja pystyä osoittamaan vaatimustenmukaisuus
- 30 artiklan 1 kohdan a alakohta — Rekisterinpitäjien ylläpitämiä käsittelytoimia koskevia selosteita koskevat yksityiskohtaiset vaatimukset
- 30 artiklan 3–5 kohta — Vaatimukset, joiden mukaan tietojen on oltava kirjallisia (myös sähköisessä muodossa) ja niiden on oltava pyynnöstä valvontaviranomaisen saatavilla, sekä poikkeukset alle 250 työntekijän organisaatioille (poikkeuksin)
Artiklaa 30 pidetään laajalti yhtenä operatiivisesti merkittävimmistä GDPR vaatimukset. Hyvin ylläpidetty käsittelytoimien selvitys (ROPA) on usein ensimmäinen asiakirja, jota valvontaviranomainen pyytää tutkinnan aikana.
Miten tämä liittyy ISO 29100 -standardin mukaisiin yksityisyyden suojaa koskeviin periaatteisiin?
Tämä ohjaus tukee Vastuullisuus ISO 29100 -standardin periaate. Vastuullisuus edellyttää, että organisaatio dokumentoi ja viestii yksityisyyteen liittyvistä käytännöistään ja menettelytavoistaan, määrittää vastuun niiden toteuttamisesta ja ylläpitää näyttöä vaatimustenmukaisuudesta. Käsittelytiedot ovat ensisijainen väline vastuullisuuden osoittamiseksi käytännössä.
Vapauta itsesi laskentataulukoiden vuorten vallasta
Ota käyttöön, laajenna ja skaalaa vaatimustenmukaisuus ilman sotkua. Io antaa sinulle joustavuutta ja luottamusta kasvaa turvallisesti.
Mitä todisteita tilintarkastajat odottavat?
Arvioidessaan kohdan A.1.2.9 vaatimustenmukaisuutta tilintarkastajat etsivät tyypillisesti seuraavia seikkoja:
- Käsittelytoimien rekisteri (ROPA) — Kattava rekisteri, joka kattaa kaikki seitsemän ohjeissa lueteltua luokkaa ja josta on todisteet säännöllisestä tarkastelusta
- Versionhallinta — Todiste siitä, että tiedot päivitetään käsittelytoimien muuttuessa, ja että muutoksista on selkeä lokitietoketju
- Omistajuus ja vastuu — Nimetty henkilö tai rooli, joka vastaa käsittelytietojen ylläpidosta
- Käytettävyys: — Todiste siitä, että tiedot voidaan esittää viipymättä valvontaviranomaisille tai tarkastustarkoituksiin
- Täydellisyystarkastukset — Menettelyt sen varmistamiseksi, että uudet käsittelytoimet kirjataan rekisteriin ennen käsittelyn aloittamista
- Tietojen turvallisuus — Itse asiakirjat sisältävät arkaluonteisia tietoja ja ne tulee suojata asianmukaisesti
Mitä asiaan liittyviä ohjausobjekteja on?
| Valvonta: | Yhteys |
|---|---|
| A.1.2.2 Tarkoituksen tunnistaminen ja dokumentointi | Käyttötarkoitusdokumentaatio syötetään suoraan käsittelytietoihin |
| A.1.2.3 Oikeudellisen perustan määrittäminen | Kunkin käsittelytoimen laillinen peruste on kirjattava |
| A.1.4.2 Rajakeräys | Rekistereissä tulisi näkyä, mitä henkilötietoja todellisuudessa kerätään, ja tukea niiden minimoimista. |
| A.1.4.6 Henkilötietojen poistaminen ja anonymisointi | Tietueiden säilytysajat aseman poistoaikatauluissa |
| A.1.5.2 Henkilötietojen siirron peruste | Tähän tallennetut kansainvälisten siirtojen tiedot on laajennettu siirtokohtaisissa asetuksissa. |
| A.1.3.3 Henkilötietojen määrittäminen päämiehille | Henkilötietojen käsittelijöille toimitettujen tietojen tulee olla yhdenmukaisia käsittelytietojen kanssa. |
Mikä muuttui standardista ISO 27701:2019?
Vaiheittaisen lähestymistavan löydät kohdasta Siirtymäkausi vuodesta 2019 vuoteen 2025.
Vuoden 2019 painoksessa tämä vaatimus oli osa kohtaa 7.2.8 (Henkilökohtaisten tietojen käsittelyyn liittyvät tiedot). Sisältövaatimukset ovat samat vuonna 2025, mutta uudelleenjärjestelty muoto erottaa nyt valvontalausunnon (A.1.2.9) täytäntöönpano-ohjeista (B.1.2.9) selkeämmin. Vuoden 2025 painoksessa vahvistetaan myös tietojen ajantasaisuuden pitämistä jatkuvana velvoitteena pikemminkin kuin ajankohtaisena toimenpiteenä. Katso Liitteen F vastaavuustaulukko koko kartoitusta varten.
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.
Miksi valita ISMS.online henkilötietojen käsittelyrekistereitä varten?
ISMS.online tarjoaa tarkoitukseen rakennettuja työkaluja kattavien ja auditoitavien käsittelytietojen ylläpitoon:
- Valmiiksi rakennetut ROPA-mallit — Aloita jäsennellyllä rekisterillä, joka kattaa kaikki seitsemän kohdan B.1.2.9 edellyttämää luokkaa, jotta et unohda yhtäkään pakollista kenttää
- Automaattinen versionhallinta — Jokainen käsittelytietueen muutos seurataan aikaleimoilla, käyttäjätiedoilla ja muutoskuvauksilla, mikä luo tilintarkastajien odottaman lokipolun.
- Yhdistetty näyttö — Yhdistä käsittelytietueet asiaankuuluviin käytäntöihin, suostumustietueisiin, tietosuojaa koskeviin vaikutustenarviointeihin ja siirtomekanismeihin yhdessä integroidussa järjestelmässä
- Valvontaviranomaisen vienti — Luo täydellinen ROPA-vienti sääntelyviranomaisten pyyntöihin soveltuvissa muodoissa, käyttövalmis yhdellä napsautuksella
- Muistutusten tarkastelu — Aseta tarkistusjaksot kullekin käsittelytoiminnolle, jotta tiedot pysyvät ajan tasalla toimintasi kehittyessä
- Roolipohjainen pääsy — Varmista, että käsittelytietueet ovat valtuutetun henkilöstön saatavilla ja että ne ovat suojassa luvattomilta muutoksilta
UKK
Pitääkö pienten organisaatioiden ylläpitää käsittelyrekistereitä?
Kyllä. Vaikka GDPR:n artikla 30(5) tarjoaa rajoitetun poikkeuksen alle 250 työntekijän organisaatioille, tätä poikkeusta ei sovelleta, jos käsittely todennäköisesti aiheuttaa riskin yksilöiden oikeuksille, ei ole satunnaista tai sisältää erityisiä tietoryhmiä. Käytännössä useimpien henkilötietoja järjestelmällisesti käsittelevien organisaatioiden on ylläpidettävä tietoja koosta riippumatta. ISO 27701 -standardi itsessään ei sisällä kokoon perustuvaa poikkeusta.
Kuinka usein käsittelyasiakirjoja tulisi tarkistaa?
Rekisterit tulee tarkistaa aina, kun käsittelytoiminnot muuttuvat, ja vähintään osana säännöllistä johdon arviointisykliä. Monet organisaatiot asettavat neljännesvuosittaisia tai puolivuotisia tarkastuspäiviä koko rekisterille, ja uusia käsittelytoimintoja, olemassa olevien prosessien muutoksia tai organisaatiomuutoksia, kuten uusia järjestelmiä tai kolmansien osapuolten suhteita, koskevat satunnaiset päivitykset.
Voiko taulukkolaskentaohjelma täyttää tämän vaatimuksen?
Teknisesti kyllä, mutta laskentataulukoista puuttuu versionhallinta, käyttöoikeusrajoitukset ja automaattiset tarkistusmuistutukset. Käsittelytoiminnan kasvaessa laskentataulukoiden ylläpito tarkkuudella vaikeutuu ja ne ovat alttiita virheille. Erillinen vaatimustenmukaisuusalusta tarjoaa rakenteen, auditoitavuuden ja ristiviittaukset, joita tarvitaan standardin täyttämiseen johdonmukaisesti ajan kuluessa.
Dokumentoi, miten tämä valvonta koskee organisaatiotasi Ilmoitus soveltuvuudesta.
Katso tarkastusevidenssivaatimusten opas mitä tilintarkastajat odottavat tätä kontrollia arvioidessaan.
