Mitä kohta A.1.3.8 edellyttää?
Organisaation on ilmoitettava kolmansille osapuolille, joiden kanssa henkilötietoja on jaettu, kaikista jaettuihin henkilötietoihin liittyvistä muutoksista, peruutuksista tai vastalauseista ja otettava käyttöön asianmukaiset käytännöt, menettelyt tai mekanismit tämän varmistamiseksi.
Tämä ohjaus sijaitsee Velvollisuudet henkilövakuutuksen haltijaa kohtaan tavoite (A.1.3). Siinä tunnustetaan, että rekisteröidyn oikeudet ovat tehokkaita vain, jos ne ulottuvat rekisterinpitäjän ulkopuolelle. Kun korjaat, poistat tai rajoitat henkilötietoja omissa järjestelmissäsi, tietojen kopioita hallussaan pitäville kolmansille osapuolille on kerrottava samoin.
Mitä käyttöönotto-ohjeissa sanotaan?
Liitteessä B (B.1.3.8 kohta) annetaan ohjeita tehokkaiden kolmannen osapuolen ilmoitusmenettelyjen laatimiseen:
- Tietojen seuranta — Pidä kirjaa siitä, mitkä kolmannet osapuolet ovat vastaanottaneet kunkin henkilötietojen luokan. Ilman tätä et voi tietää, kenelle on ilmoitettava, kun oikeutta käytetään.
- Ilmoitusten laukaisevat tekijät — Määritä selkeät käynnistävät tekijät kolmansille osapuolille tehtäville ilmoituksille, mukaan lukien virheellisten henkilötietojen korjaaminen, henkilötietojen poistaminen, käsittelyn rajoittaminen ja suostumuksen peruuttaminen
- Ilmoitusmenettelyt — Dokumentoi, miten ilmoitukset lähetetään kolmansille osapuolille (sähköposti, API, portaali) ja odotetut aikataulut
- Toimenpiteen vahvistus — Hanki mahdollisuuksien mukaan kolmansilta osapuolilta vahvistus siitä, että ne ovat toimineet ilmoituksen johdosta
- Poikkeukset — Dokumentoi kaikki olosuhteet, joissa ilmoittaminen on mahdotonta tai vaatii kohtuutonta vaivaa, ja ilmoita siitä PII-päällikölle
- Katso myös A.1.3.2: Velvollisuudet PII-päämiehille asiaankuuluvia vaatimuksia varten
- Katso myös A.1.3.3: Henkilötietojen määrittäminen rekisterinpitäjille asiaankuuluvia vaatimuksia varten
Tämän valvonnan käytännön haaste kasvaa kolmansien osapuolten määrän ja tiedonjakojärjestelyjen monimutkaisuuden myötä. Automaattiset ilmoitusjärjestelmät ja selkeät sopimusvelvoitteet käsittelijöiden ja vastaanottajien kanssa ovat välttämättömiä organisaatioille, joilla on laaja tiedonjako.
Miten tämä vastaa GDPR:ää?
Kontrolli A.1.3.8 liittyy suoraan kohtaan GDPR Artikla 19:
- Artikla 19 — Ilmoitusvelvollisuus henkilötietojen oikaisemisesta, poistamisesta tai käsittelyn rajoittamisesta. Rekisterinpitäjän on ilmoitettava kaikista oikaisuista, poistamisista tai rajoituksista jokaiselle vastaanottajalle, jolle tietoja on luovutettu, jollei tämä osoittautu mahdottomaksi tai vaadi kohtuutonta vaivaa.
- Artiklan 19 mukaan rekisterinpitäjän on myös ilmoitettava rekisteröidylle näistä vastaanottajista, jos rekisteröity sitä pyytää.
Tämä on usein unohdettu asia GDPR velvollisuus. Valvontaviranomaiset ovat havainneet, että monet organisaatiot toteuttavat poistopyynnöt omissa järjestelmissään, mutta eivät välitä pyyntöä tiedot vastaanottaneille kolmansille osapuolille. Tehokas ilmoitusprosessi on välttämätön aidon vaatimustenmukaisuuden kannalta.
Miten tämä liittyy ISO 29100 -standardin mukaisiin yksityisyyden suojaa koskeviin periaatteisiin?
Tämä ohjaus tukee Yksilöllinen osallistuminen ja pääsy periaate standardista ISO 29100. Periaate edellyttää, että yksilöt voivat kiistää tietojensa paikkansapitävyyden ja saada ne muutettua tai poistettua. Jotta tällä oikeudella olisi merkitystä, muutosten ja poistot on sovellettava kaikkiin tietoja hallussaan pitäviin osapuoliin, ei vain alkuperäiseen rekisterinpitäjään.
Vapauta itsesi laskentataulukoiden vuorten vallasta
Ota käyttöön, laajenna ja skaalaa vaatimustenmukaisuus ilman sotkua. Io antaa sinulle joustavuutta ja luottamusta kasvaa turvallisesti.
Mitä todisteita tilintarkastajat odottavat?
Arvioidessaan kohdan A.1.3.8 vaatimustenmukaisuutta tilintarkastajat etsivät tyypillisesti seuraavia seikkoja:
- Tietojen luovutusrekisteri — Ylläpidetty rekisteri siitä, mitkä kolmannet osapuolet ovat vastaanottaneet henkilötietoja, linkitettynä tietoluokkiin ja henkilötietojen periaatteisiin
- Ilmoitusmenettelyt — Dokumentoidut menettelyt siitä, miten ja milloin kolmansille osapuolille ilmoitetaan korjauksista, poistoista, rajoituksista ja vastalauseista
- Ilmoitustietueet — Todiste siitä, että ilmoitukset on todella lähetetty, sekä päivämäärät, sisältö ja vastaanottajan tiedot
- Vahvistuksen seuranta — Kolmansien osapuolten vahvistus siitä, että ne ovat toimineet ilmoituksen johdosta, jos se on saatu
- Sopimusmääräykset — Tietojenkäsittelysopimukset tai tietojen yhteiskäyttösopimukset, jotka velvoittavat kolmannet osapuolet toimimaan ilmoituksen johdosta
- Poikkeusdokumentaatio — Jos ilmoittaminen ei ollut mahdollista, dokumentoidut perustelut ja todisteet siitä, että PII-päävelvollinen oli saanut tiedon
Mitä asiaan liittyviä ohjausobjekteja on?
| Valvonta: | Yhteys |
|---|---|
| A.1.3.7 Tietojen saaminen, korjaaminen tai poistaminen | Korjaukset ja poistot, jotka on tehty A.1.3.7 Tietojen saaminen, korjaaminen tai poistaminen laukaisee ilmoitusvelvollisuuden |
| A.1.3.5 Suostumuksen muuttaminen tai peruuttaminen | Jaettuihin henkilötietoihin vaikuttava suostumuksen peruuttaminen käynnistää ilmoituksen kolmannelle osapuolelle |
| A.1.3.6 Vastusta henkilötietojen käsittelyä | Jaettuihin henkilötietoihin liittyvien vastalauseiden vahvistaminen käynnistää ilmoituksen kolmannelle osapuolelle |
| A.1.2.9 Henkilötietojen käsittelyyn liittyvät tiedot | Käsittelytietojen tulisi dokumentoida vastaanottajat, mikä tukee tässä tarvittavaa tiedonantojen seurantaa. |
| A.1.5.2 Henkilötietojen siirron peruste Maat ja kansainväliset järjestöt siirtävät | Kansainvälisten siirtojen tiedot auttavat tunnistamaan kolmannen osapuolen vastaanottajat muissa lainkäyttöalueissa |
| A.1.3.10 Pyyntöjen käsittely | Kolmannen osapuolen ilmoitus tulisi integroida pyyntöjen käsittelyn työnkulkuun |
Mikä muuttui standardista ISO 27701:2019?
Vaiheittaisen lähestymistavan löydät kohdasta Siirtymäkausi vuodesta 2019 vuoteen 2025.
Vuoden 2019 painoksessa tämä vaatimus oli osa kohtaa 7.3.7 (Rekisterinpitäjien velvollisuus ilmoittaa kolmansille osapuolille). Vuoden 2025 painoksessa säilytetään kohdan A.1.3.8 mukainen ydinvelvoite ja ohjeita kohdassa B.1.3.8. Keskeistä on edelleen tiedonantotietojen ylläpito ja dokumentoitujen ilmoitusmenettelyjen noudattaminen. Uudelleen jäsennelty muoto tarjoaa selkeämmän tarkastuspisteen tälle erityisvelvollisuudelle. Katso Liitteen F vastaavuustaulukko koko kartoitusta varten.
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.
Miksi valita ISMS.online kolmannen osapuolen ilmoitusten hallintaan?
ISMS.online auttaa sinua seuraamaan tietojen luovutuksia ja siirtämään rekisteröityjen oikeudet kolmansille osapuolille tehokkaasti:
- Kolmannen osapuolen tiedonantorekisteri — Kirjaa kaikki kolmansille osapuolille tehdyt henkilötietojen luovutukset päivämäärineen, luokkineen ja tarkoituksineen, jotta tiedät aina, kenelle on ilmoitettava
- Automatisoidut ilmoitusprosessit — Kun korjaus, poisto tai rajoitus suoritetaan, luo automaattisesti ilmoitustehtäviä kullekin asianomaiselle kolmannelle osapuolelle
- Vahvistuksen seuranta — Kirjaa, milloin kolmannet osapuolet kuittaavat ilmoitukset ja toimivat niiden perusteella, luoden täydellisen todisteketjun pyynnöstä ratkaisuun
- Sopimuskytkentö — Yhdistä kolmansien osapuolten suhteet tietojenkäsittelysopimuksiin, jotka sisältävät ilmoitusvelvoitteita ja varmistavat sopimustuen operatiivisille menettelyille
- Suhteeton työmääräloki — Jos ilmoittaminen ei ole mahdollista, dokumentoi perustelut jäsennellyssä muodossa, joka täyttää sääntelyviranomaisten tarkastuksen vaatimukset.
UKK
Miten seuraatte, mitkä kolmannet osapuolet ovat vastaanottaneet tiettyjä henkilötietoja?
Tämä edellyttää tiedonantolokia tai rekisteriä, johon kirjataan jokainen kerta, kun henkilötietoja jaetaan kolmannen osapuolen kanssa, mukaan lukien päivämäärä, jaettujen henkilötietojen luokka, vastaanottajan henkilöllisyys ja tarkoitus. Jatkuvassa tai massatiedon jakamisessa (kuten käsittelijöiden kanssa) tietue voi olla luokkatasolla yksittäisen tietueen tason sijaan. Keskeistä on, että kun henkilötietojen haltija käyttää oikeuttaan, kaikki tiedot hallussaan pitävät kolmannet osapuolet voidaan tunnistaa nopeasti.
Mikä ilmoituksen tekemisessä katsotaan "kohtuuttomaksi vaivaksi"?
Tämä arvioidaan tapauskohtaisesti. Tekijöitä ovat vastaanottajien lukumäärä, ilmoituksen kustannukset, tietojen ikä, tietojen luonne ja mahdollinen vaikutus henkilötietojen vastuuhenkilöön. Esimerkiksi ilmoittaminen pienelle määrälle tunnettuja liikekumppaneita ei todennäköisesti ole suhteetonta. Satojen tuntemattomien internetin käyttäjien, jotka ovat käyttäneet julkisesti saatavilla olevia tietoja, ilmoittaminen saattaa olla. Organisaation on dokumentoitava perustelunsa ja ilmoitettava henkilötietojen vastuuhenkilölle, jos ilmoitusta ei voida suorittaa.
Onko henkilötietojen suojan pääasiallisella henkilöllä oikeus tietää, keitä kolmannet osapuolet ovat?
Kyllä. GDPR:n 19 artiklan mukaan rekisterinpitäjän on ilmoitettava rekisteröidylle vastaanottajista, jos rekisteröity sitä pyytää. Tämä tarkoittaa, että sinun tulee olla valmis antamaan luettelo kolmansista osapuolista, jotka ovat vastaanottaneet henkilön henkilötietoja. Tämä korostaa entisestään tarkkojen tietojen ylläpidon tärkeyttä. Tietosuojaselosteessa sinun tulisi jo luetella vastaanottajien luokat, mutta pyynnöstä sinun on ehkä annettava tiettyjä henkilöllisyyksiä.
Yhtiömme tarkastusevidenssivaatimusten opas yksityiskohdat, joita dokumentaation tarkastajat odottavat rekisteröityjen oikeuksien valvonnalta.
Näitä velvoitteita hallinnoivien tietosuojavastaavien tulisi lukea opas tietosuojavastaaville saadaksesi täydellisen yleiskatsauksen.
