Mitä kohta A.1.3.9 edellyttää?
Organisaation on kyettävä toimittamaan kopio käsiteltävistä henkilötiedoista henkilötietojen käsittelystä vastaavan henkilön pyynnöstä.
Tämä ohjaus sijaitsee Velvollisuudet henkilövakuutuksen haltijaa kohtaan tavoite (A.1.3). Vaikka A.1.3.7 Tietojen saaminen, korjaaminen tai poistaminen Jos kohta A.1.3.9 kattaa laajemman tiedonsaantioikeuden, se keskittyy erityisesti henkilötietojen kopioiden käytännön toimittamiseen ja esittelee tiedon siirrettävyysvaatimukset. Tämä on valvonta, joka muuttaa abstraktin tiedonsaantioikeuden konkreettiseksi suoritteeksi.
Mitä käyttöönotto-ohjeissa sanotaan?
Liite B (kohta B.1.3.9) antaa ohjeita kopiointi- ja siirrettävyyspyyntöjen tehokkaaseen täyttämiseen:
- Rakenteinen ja koneellisesti luettava muoto — Jos se on teknisesti mahdollista, anna henkilötiedot jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa. Yleisiä muotoja ovat CSV, JSON ja XML.
- Oikeus lähettää — Harkitse henkilötietojen vastaanottajan oikeutta siirtää tietoja suoraan toiselle rekisterinpitäjälle. Tarjoa mekanismi suoraa tiedonsiirtoa varten rekisterinpitäjien välillä, jos se on teknisesti mahdollista.
- Ensimmäinen kappale ilmaiseksi — Ensimmäinen kopio tulee toimittaa maksutta. Lisäkopioista voidaan periä kohtuullinen maksu, joka perustuu hallinnollisiin kustannuksiin.
- Turvallinen toimitus — Kopiot on toimitettava turvallisesti salattuja kanavia tai suojattuja latauslinkkejä käyttäen luvattoman käytön estämiseksi lähetyksen aikana.
- Tietojen laajuus — Selvennä, mitä henkilötietoja kopiointipyyntöjen ja siirtopyyntöjen piiriin kuuluu. Siirrettävyys koskee tyypillisesti henkilötietoja, jotka henkilö on itse toimittanut ja joita käsitellään automaattisesti suostumuksen tai sopimuksen perusteella.
- Katso myös A.1.3.3: Henkilötietojen määrittäminen rekisterinpitäjille asiaankuuluvia vaatimuksia varten
- Katso myös A.1.3.6: Vastusta henkilötietojen käsittelyä asiaankuuluvia vaatimuksia varten
Ohjeistuksessa todetaan, että toimitusmuodon ja -tavan tulisi olla käytännöllisiä sekä organisaatiolle että henkilötietojen vastuuhenkilölle. Jos saatavilla on useita muotoja, henkilötietojen vastuuhenkilön tulisi voida valita haluamansa.
Miten tämä vastaa GDPR:ää?
Kontrollin A.1.3.9 kohdennus GDPR sekä kopioita että tietojen siirrettävyyttä koskevat säännökset:
- Article 15 (3) — Rekisterinpitäjän on toimitettava jäljennös käsiteltävistä henkilötiedoista. Lisäkopioista rekisterinpitäjä voi periä kohtuullisen maksun, joka perustuu hallinnollisiin kustannuksiin.
- Article 15 (4) – Oikeus saada jäljennös ei saa vaikuttaa haitallisesti muiden oikeuksiin ja vapauksiin
- Article 20 (1) — Oikeus saada henkilötiedot jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa (tietojen siirrettävyys)
- Article 20 (2) — Oikeus saada henkilötiedot siirrettyä suoraan rekisterinpitäjältä toiselle, jos se on teknisesti mahdollista
- Article 20 (3) — Siirrettävyys ei luo velvoitetta poistaa tietoja alkuperäiseltä rekisterinpitäjältä
- Article 20 (4) — Siirrettävyys ei saa vaikuttaa haitallisesti muiden oikeuksiin ja vapauksiin
Huomaa tärkeä ero: Artikla 15 (pääsy kopioon) koskee kaikkia rekisterinpitäjän käsittelemiä henkilötietoja. Artikla 20 (siirrettävyys) koskee vain henkilön toimittamia tietoja, joita käsitellään automaattisesti suostumuksen tai sopimuksen perusteella.
Miten tämä liittyy ISO 29100 -standardin mukaisiin yksityisyyden suojaa koskeviin periaatteisiin?
Tämä ohjaus tukee Yksilöllinen osallistuminen ja pääsy periaate standardista ISO 29100. Pääsyllä ei ole merkitystä, jos henkilö ei voi saada käyttökelpoista kopiota tiedoistaan. Periaate edellyttää käytännöllistä ja tehokasta pääsyä, ja kohta A.1.3.9 varmistaa, että pääsy muuttuu toimitettavaksi tuotokseksi, jonka henkilötietojen hallinnan vastuuhenkilö voi tarkistaa, varmistaa ja tarvittaessa siirtää toiselle palveluntarjoajalle.
Aloita ilmainen kokeilu
Haluatko tutkia?
Rekisteröidy ilmaiseen kokeilujaksoon tänään ja pääset käyttämään kaikkia ISMS.onlinen tarjoamia yhteensopivuusominaisuuksia
Mitä todisteita tilintarkastajat odottavat?
Arvioidessaan kohdan A.1.3.9 vaatimustenmukaisuutta tilintarkastajat etsivät tyypillisesti seuraavia seikkoja:
- Muotoiludokumentaatio — Dokumentoidut tiedostomuodot henkilötietojen kopioiden toimittamiseen (CSV, JSON, XML, PDF) perusteluineen jokaiselle
- Tekniset valmiudet — Todisteet siitä, että järjestelmät pystyvät poimimaan henkilötietoja dokumentoituihin muotoihin ilman manuaalisia kiertoteitä, jotka aiheuttaisivat virhe- tai puuteriskiä
- Turvalliset toimitusmekanismit — Dokumentoidut menettelyt henkilötietojen kopioiden turvalliseen lähettämiseen pyytäjille (salattu sähköposti, suojattu portaali, salattu tiedostonsiirto)
- Maksukäytäntö — Jos lisäkopioista peritään maksu, on laadittava dokumentoitu ja kohtuullinen maksutaulukko, joka perustuu hallinnollisiin kustannuksiin
- Siirrettävyyden arviointi — Dokumentaatio, joka yksilöi, mitkä henkilötiedot kuuluvat siirrettävyysvaatimusten piiriin (yksilön toimittamat tiedot, automaattisesti käsitellyt tiedot, suostumuksen tai sopimuksen perusteella)
- Valmistuneiden pyyntöjen esimerkkejä — Täytetyt pyynnöt, joista käy ilmi toimitetut tiedot, käytetty muoto ja turvallinen toimitustapa
Mitä asiaan liittyviä ohjausobjekteja on?
| Valvonta: | Yhteys |
|---|---|
| A.1.3.7 Tietojen saaminen, korjaaminen tai poistaminen | A.1.3.7 Tietojen saaminen, korjaaminen tai poistaminen määrittää oikeuden saada tietoja; A.1.3.9 määrittää, miten kopio toimitetaan |
| A.1.3.10 Pyyntöjen käsittely | Kopiopyyntöjä hallitaan laajemman pyyntöjen käsittelykehyksen sisällä. |
| A.1.3.2 Velvollisuudet henkilövakuutuksen haltijaa kohtaan | Oikeus kopioon ja siirrettävyyteen ovat tunnistettavien velvoitteiden joukossa |
| A.1.3.4 Tietojen toimittaminen henkilötietojen suojauspäälliköille | Henkilötietojen käsittelijöille on ilmoitettava heidän oikeudestaan saada kopio tiedoistaan. |
| A.1.2.9 Henkilötietojen käsittelyyn liittyvät tiedot | Käsittelytietueiden avulla voidaan tunnistaa kopiointipyyntöön vastaukseen sisällytettävien tietojen laajuus. |
| A.3 Jaetut tietoturvakontrollit | Henkilötietojen kopioiden turvallinen toimitus edellyttää asianmukaisia teknisiä toimenpiteitä |
Mikä muuttui standardista ISO 27701:2019?
Vaiheittaisen lähestymistavan löydät kohdasta Siirtymäkausi vuodesta 2019 vuoteen 2025.
Vuoden 2019 painoksessa henkilötietojen kopion toimittamista käsiteltiin kohdassa 7.3.8 (Käsiteltyjen henkilötietojen kopion toimittaminen). Vuoden 2025 painoksessa tälle annetaan oma valvontanumero (A.1.3.9) ja siihen liittyy erityisohjeita kohdassa B.1.3.9. Erottelu laajemmasta käyttöoikeudesta kohdassa A.1.3.7 Tietojen saaminen, korjaaminen tai poistaminen mahdollistaa kohdennetumman tiedonsiirtokyvyn auditoinnin. Painopiste on edelleen jäsennellyissä, koneellisesti luettavissa muodoissa ja turvallisessa toimituksessa. Katso Liitteen F vastaavuustaulukko koko kartoitusta varten.
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.
Miksi valita ISMS.online henkilötietojen kopiointi- ja siirtopyyntöjen hallintaan?
ISMS.online virtaviivaistaa henkilötietojen kopioiden toimitusta säilyttäen samalla turvallisuuden ja auditoitavuuden:
- Monimuotoinen vienti — Luo henkilötietoja koskevia kopioita jäsennellyissä muodoissa (CSV, JSON, PDF) tietorekisteristäsi varmistaen koneellisen luettavuuden tarvittaessa
- Suojattu toimitusportaali — Tarjoa henkilötietojen kopioita suojatun, ajallisesti rajoitetun latauslinkin kautta, mikä poistaa riskin lähettää arkaluonteisia tietoja salaamattoman sähköpostin kautta
- Soveltamisalan tunnistaminen — Käytä datakartoitusta tunnistaaksesi nopeasti, mitkä tiedot kuuluvat kopiointipyynnön ja mitkä siirrettävyyspyynnön piiriin, varmistaen tarkat ja täydelliset vastaukset.
- Pyydä seurantaa — Kirjaa jokainen kopiopyyntö toimitetulla muodossa, käytetyllä toimitustavalla ja vastaanottovahvistuksella, jotta voimme rakentaa luotettavan tarkastusketjun
- Palkkion hallinta — Jos kopioinnista peritään lisämaksuja, seuraa kuluja ja anna PII-pääasialliselle selkeä kustannuserittely
UKK
Mitä eroa on käyttöoikeuskopiolla ja tiedon siirrettävyydellä?
Käyttöoikeuskopio (GDPR Artikla 15) kattaa kaikki rekisterinpitäjän käsittelemät henkilötiedot riippumatta siitä, miten tiedot on hankittu tai mikä on laillinen peruste. Tietojen siirrettävyys (artikla 20) on suppeampi: se koskee vain henkilötietoja, jotka henkilö on itse toimittanut ja käsitellyt automaattisesti suostumuksen tai sopimuksen perusteella. Siirrettävyys sisältää myös oikeuden siirtää tiedot suoraan toiselle rekisterinpitäjälle. Käytännössä sinun on ehkä toimitettava eri tietokokonaisuuksia riippuen siitä, mitä oikeutta käytät.
Missä muodossa henkilötietojen kopiot tulisi toimittaa?
Käyttöoikeuskopioiden osalta mikä tahansa selkeä ja luettava muoto, mukaan lukien PDF, on hyväksyttävä. Siirrettävyyspyyntöjen osalta tietojen on oltava jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa. CSV ja JSON ovat yleisimmin hyväksytyt vaihtoehdot. Tarjoa henkilötietojen käsittelijälle mahdollisuuksien mukaan valittavana muoto. Muodon tulisi mahdollistaa tietojen uudelleenkäyttö tai tuominen toiseen järjestelmään ilman erikoistyökaluja.
Voiko henkilötietojen kopion toimittamisesta periä maksun?
Ensimmäisen kopion on oltava maksuton. Samojen tietojen lisäkopioista voit periä kohtuullisen maksun hallinnollisten kustannusten perusteella. Maksun on oltava oikeasuhteinen ja dokumentoitu. Et saa käyttää maksuja pelotteena estääksesi yksilöitä käyttämästä oikeuksiaan. Jos perit maksun, sinun on ilmoitettava maksun määrä henkilötietojen käsittelystä vastaavalle pääasialliselle taholle ennen jatkamista.
Yhtiömme tarkastusevidenssivaatimusten opas yksityiskohdat, joita dokumentaation tarkastajat odottavat rekisteröityjen oikeuksien valvonnalta.
Näitä velvoitteita hallinnoivien tietosuojavastaavien tulisi lukea opas tietosuojavastaaville saadaksesi täydellisen yleiskatsauksen.
