Mitä kohta A.1.3.7 edellyttää?
Organisaation on otettava käyttöön käytännöt, menettelyt tai mekanismit täyttääkseen velvollisuutensa henkilötietojen käsittelijöitä kohtaan heidän henkilötietojensa käyttämiseksi, korjaamiseksi tai poistamiseksi.
Tämä ohjaus sijaitsee Velvollisuudet henkilövakuutuksen haltijaa kohtaan tavoite (A.1.3). Vaikka A.1.3.2 Kohdassa A.1.3.7 määritellään olemassa olevat velvoitteet. Kohdassa A.1.3.7 edellytetään, että rakennat tosiasialliset operatiiviset mekanismit, jotka täyttävät kolme useimmin käytettyä rekisteröidyn oikeutta: tiedonsaanti, oikaisu ja poistaminen.
Mitä käyttöönotto-ohjeissa sanotaan?
Liite B (kohta B.1.3.7) antaa ohjeita kunkin kolmen oikeuden täytäntöönpanoon:
Oikeus tutustua asiaan
- Anna henkilötietojen käsittelijöille mahdollisuus tarkastella heitä koskevia henkilötietoja
- Sisällytä lisätietoja, kuten käsittelyn tarkoitukset, tietoluokat, vastaanottajat, säilytysajat ja tietojen lähde
- Varmista pyytäjän henkilöllisyys ennen henkilötietojen paljastamista
Oikeus oikaisuun
- Salli henkilötietojen käsittelijöiden virheellisten henkilötietojen korjaaminen ilman aiheetonta viivytystä
- Tarjoa mekanismi puutteellisten henkilötietojen täydentämiseksi ottaen huomioon käsittelyn tarkoitukset
- Jos korjaus vaikuttaa kolmansien osapuolten kanssa jaettuihin tietoihin, ilmoita kyseisille osapuolille (katso A.1.3.8)
Oikeus poistaa
- Poista henkilötiedot, jos niitä ei enää tarvita ilmoitettuun tarkoitukseen
- Poistaa henkilötiedot, jos suostumus on peruttu eikä muuta laillista perustetta ole (katso A.1.3.5)
- Poistaa henkilötiedot, jos henkilö on vastustanut sitä eikä ole olemassa pakottavia oikeutettuja perusteita (ks. A.1.3.6)
- Poista laittomasti käsitellyt henkilötiedot
- Dokumentoi aikataulut kunkin pyyntötyypin vastaamiselle
Ohjeistus korostaa myös henkilöllisyyden varmentamisen tärkeyttä ennen pyyntöön vastaamista, jotta estetään luvaton pääsy henkilötietoihin tai niiden manipulointi.
Miten tämä vastaa GDPR:ää?
Ohjaus A.1.3.7 vastaa useita avaintoimintoja GDPR määräykset:
- 5 artiklan 1 kohdan d alakohta — Tarkkuusperiaate: henkilötietojen on oltava tarkkoja ja ajan tasalla
- Artikla 16 — Oikeus oikaisuun
- 17 artiklan 1 kohdan a alakohta — Oikeus tietojen poistamiseen (oikeus tulla unohdetuksi), mukaan lukien kuusi perustetta, joiden perusteella tiedot on poistettava
- Article 17 (2) — Velvollisuus ilmoittaa muille rekisterinpitäjille poistopyynnöistä, jos tiedot on julkistettu
- 13 artiklan 2 kohdan b alakohta ja 14 artiklan 2 kohdan c alakohta — Velvollisuus ilmoittaa rekisteröidyille heidän oikeudestaan tiedonhakuun, oikaisuun ja poistamiseen
Tietojen tarkastuspyynnöt (rekisteröidyn tiedonsaantipyynnöt tai SAR-pyynnöt) ovat jatkuvasti yleisin rekisteröityjen esittämien pyyntöjen tyyppi kaikissa lainkäyttöalueissa. Organisaatioiden tulisi odottaa käsittelevänsä näitä säännöllisesti ja niillä tulisi olla käytössä tehokkaat prosessit.
Miten tämä liittyy ISO 29100 -standardin mukaisiin yksityisyyden suojaa koskeviin periaatteisiin?
Tämä ohjaus tukee Yksilöllinen osallistuminen ja pääsy periaate standardista ISO 29100. Tämä periaate edellyttää, että henkilötietojen käsittelystä vastaavilla on mahdollisuus käyttää tietojaan, kyseenalaistaa niiden paikkansapitävyys ja tarvittaessa saada ne muutettua tai poistettua. A.1.3.7 on tämän periaatteen ensisijainen toteutuskontrolli.
Aloita ilmainen kokeilu
Haluatko tutkia?
Rekisteröidy ilmaiseen kokeilujaksoon tänään ja pääset käyttämään kaikkia ISMS.onlinen tarjoamia yhteensopivuusominaisuuksia
Mitä todisteita tilintarkastajat odottavat?
Arvioidessaan kohdan A.1.3.7 vaatimustenmukaisuutta tilintarkastajat etsivät tyypillisesti seuraavia seikkoja:
- Rekisteröidyn pyyntökäytäntö — Kattava käytäntö, joka kattaa tiedonsaanti-, oikaisu- ja poistomenettelyt, mukaan lukien roolit, vastuut ja aikataulut
- Pyynnön imumekanismi — Dokumentoitu ja helppokäyttöinen prosessi pyyntöjen vastaanottamiseksi (verkkolomake, sähköposti, henkilökohtainen tapaaminen)
- Henkilöllisyyden varmennusmenettelyt — Dokumentoidut vaiheet pyynnön esittäjien henkilöllisyyden varmentamiseksi ennen toimimista, oikeasuhteisesti tietojen arkaluonteisuuteen nähden
- Vastauspohjat — Vakiomuotoiset mallit pyyntöjen hyväksymistä, täyttämistä ja hylkäämistä varten, oikeudellisesti pätevillä kieliasuilla
- Pyyntöloki — Rekisteri kaikista vastaanotetuista pyynnöistä, jotka sisältävät päivämäärät, tyypit, päätökset ja valmistumispäivät, jotka osoittavat aikataulujen noudattamisen
- Vapautusasiakirjat — Jos pyynnöt hylätään (kokonaan tai osittain), on dokumentoitava perustelu, jossa mainitaan sovellettava poikkeus
- Järjestelmän kyky — Todisteet siitä, että järjestelmät pystyvät paikantamaan, poimimaan, korjaamaan ja poistamaan henkilötietoja kaikista asiaankuuluvista tietovarastoista
Mitä asiaan liittyviä ohjausobjekteja on?
| Valvonta: | Yhteys |
|---|---|
| A.1.3.9 Käsiteltyjen henkilötietojen kopion toimittaminen | Laajentaa käyttöoikeutta erityisillä muotoa ja siirrettävyyttä koskevilla vaatimuksilla |
| A.1.3.10 Pyyntöjen käsittely | Tarjoaa operatiivisen kehyksen kaikkien henkilötietojen pääasiallisten pyyntöjen hallintaan |
| A.1.3.8 Velvollisuus ilmoittaa kolmansille osapuolille | Kun tietoja korjataan tai poistetaan, siitä on ilmoitettava kolmansille osapuolille. |
| A.1.3.5 Suostumuksen muuttaminen tai peruuttaminen | Suostumuksen peruuttaminen voi aiheuttaa A.1.3.7 kohdan mukaiset poistovelvollisuudet |
| A.1.3.6 Vastusta henkilötietojen käsittelyä | Hyväksytyt vastalauseet voivat johtaa A.1.3.7 kohdan mukaisiin poistovelvoitteisiin |
| A.1.2.9 Henkilötietojen käsittelyyn liittyvät tiedot | Tietojen käsittely auttaa paikantamaan kaikki asiaankuuluvat henkilötiedot, kun käyttö- tai poistopyyntöjä täytetään |
Mikä muuttui standardista ISO 27701:2019?
Vuoden 2019 painoksessa näitä oikeuksia käsiteltiin kohdissa 7.3.6 (Pääsy tietoihin, oikaisu ja/tai poistaminen). Vuoden 2025 painoksessa nämä on yhdistetty kohtaan A.1.3.7 ja laajennettu ohjeistus on kohdassa B.1.3.7. Ydinvaatimukset ovat sisällöltään samat, mutta vuoden 2025 muoto tarjoaa selkeämmän rakenteen auditointia varten. Kohdan 7.3.6 (Päätöslauseke) lisääminen A.1.3.9 (kopion tarjoaminen) erillisenä hallintana terävöittää myös eroa saatavuuden ja siirrettävyyden välillä. Katso Liitteen F vastaavuustaulukko koko kartoitusta varten.
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.
Miksi valita ISMS.online käyttöoikeuden, korjaamisen ja poistamisen hallintaan?
ISMS.online tarjoaa kokonaisvaltaista tukea toiminnallisesti vaativimmille rekisteröityjen oikeuksille:
- Rekisteröidyn pyyntöportaali — Brändätty vastaanottolomake, joka tallentaa pyyntötyypin, varmistaa henkilöllisyyden ja kirjaa pyynnön automaattisesti määräaikojen seurannalla
- Työnkulun moottori — Ohjaa pyynnöt oikeille tiimeille automatisoitujen tehtävien määritysten, eskalointien ja määräaikamuistutusten avulla, jotta mikään ei jää huomaamatta.
- Tietojen kartoituksen integrointi — Yhdistä tietovarastoosi tunnistaaksesi nopeasti kaikki pyynnön esittäjän henkilötietoja sisältävät järjestelmät, mikä lyhentää käyttö- ja poistopyyntöjen hakuaikaa.
- Vapautusten hallinta — Jäsennellyt mallit sovellettujen poikkeusten dokumentointiin ja perustelemiseen, mikä luo sääntelyviranomaisille perusteltavan asiakirjan
- Suorituskykyraportointi — Kojelauta, joka näyttää pyyntöjen määrät, vastausajat, valmistumisasteet ja trendit, auttaen sinua tunnistamaan pullonkaulat ennen kuin niistä tulee vaatimustenmukaisuusongelmia
- Kolmannen osapuolen ilmoitus — Kun korjaukset tai poistot on tehty, lähetä ilmoituksia kolmansille osapuolille A.1.3.8
UKK
Miten henkilöllisyys tulisi varmistaa ennen pyynnön täyttämistä?
Vahvistamisen tulisi olla oikeassa suhteessa tietojen arkaluontoisuuteen ja riskiin, että tiedot paljastuvat väärälle henkilölle. Nykyisten asiakkaiden kohdalla voit varmistaa henkilöllisyyden heidän tilitietojensa avulla. Toisten kohdalla voit pyytää kopion valokuvallisesta henkilöllisyystodistuksesta tai pyytää heitä vahvistamaan tietoja, jotka vain he tietävät. Tärkeintä on olla varma pyytäjän henkilöllisyydestä luomatta kuitenkaan kohtuutonta taakkaa, joka lannistaisi ihmisiä käyttämästä oikeuksiaan.
Onko olemassa perusteita kieltäytyä poistopyynnöstä?
Kyllä. Oikeus tietojen poistamiseen ei ole absoluuttinen. Yleisiä poikkeuksia ovat käsittely, joka on tarpeen lakisääteisen velvoitteen noudattamiseksi, julkisen vallan käyttämiseksi, kansanterveyteen liittyvistä syistä, yleisen edun mukaisesta arkistoinnista sekä oikeudellisten vaatimusten laatimiseksi, esittämiseksi tai puolustamiseksi. Jokainen kieltäytyminen on dokumentoitava ja ilmoitettava kyseinen poikkeus, johon on vedottu, ja henkilötietojen käsittelystä vastaavalle henkilölle on ilmoitettava kieltäytymisestä ja hänen oikeudestaan tehdä valitus valvontaviranomaiselle.
Mitä aikarajoja pyyntöihin vastaamiselle sovelletaan?
Alle GDPRmääräaika on yksi kuukausi pyynnön vastaanottamisesta. Tätä voidaan pidentää kahdella kuukaudella monimutkaisten tai lukuisten pyyntöjen tapauksessa, edellyttäen, että henkilötietojen käsittelystä vastaavalle vastuuhenkilölle ilmoitetaan asiasta ensimmäisen kuukauden kuluessa. Muissa lainkäyttöalueissa voidaan määrittää eri aikataulut. Lakisääteisestä vähimmäisajasta riippumatta organisaatioiden tulisi dokumentoida tavoitevasteaikansa ja seurata suoriutumistaan niitä vasten. Lyhyempien sisäisten tavoitteiden johdonmukainen saavuttaminen osoittaa tilintarkastajille vahvaa toimintakykyä.
Yhtiömme tarkastusevidenssivaatimusten opas yksityiskohdat, joita dokumentaation tarkastajat odottavat rekisteröityjen oikeuksien valvonnalta.
Näitä velvoitteita hallinnoivien tietosuojavastaavien tulisi lukea opas tietosuojavastaaville saadaksesi täydellisen yleiskatsauksen.
