Mitä kohta A.1.4.6 edellyttää?
Organisaation on joko poistettava henkilötiedot tai muutettava ne muotoon, joka ei mahdollista henkilötietojen käsittelijöiden tunnistamista tai uudelleentunnistamista heti, kun alkuperäisiä henkilötietoja ei enää tarvita tunnistettuihin tarkoituksiin.
Tämä ohjaus sijaitsee Henkilökohtaisten tietojen minimointi tavoite (A.1.4) ja edustaa elinkaaren lopun velvoitetta. Kun henkilötietojen keräämisen ja käsittelyn tarkoitus on täytetty eikä lakisääteistä säilytysvaatimusta ole, tietoja ei pitäisi säilyttää tunnistettavassa muodossa. Tämä valvonta toimii rinnakkain A.1.4.8 (säilytys) ja A.1.4.9 (hävitys) varmistaakseen, että henkilötiedot eivät vanhene ja että niiden tarkoitus ei vanhene.
Mitä käyttöönotto-ohjeissa sanotaan?
Liitteessä B (kohta B.1.4.6) annetaan seuraavat ohjeet:
- Määritä toiminnan laukaisevat tekijät — Tunnista tapahtumat, joiden tulisi laukaista tunnistamattomuus tai poisto, mukaan lukien: tarkoituksen täyttyminen, suostumuksen peruuttaminen, säilytysajan päättyminen tai henkilötietojen pääasiallisen pyynnön esittäminen
- Varmista luotettava tunnistamattomaksi tekeminen — Jos poistamisen sijaan valitaan anonymisointi, käytettyjen menetelmien on oltava sellaisia, että uudelleentunnistusta ei voida tehdä. Pelkkä nimien poistaminen ei välttämättä riitä, jos muut datapisteet mahdollistavat tunnistamisen yhdistämällä tietoja.
- Dokumentoi prosessi — Tunnistautumisanomuksen tekemisen ja poistamisen menettelyt tulee dokumentoida, mukaan lukien käytetyt menetelmät, sovelletut laukaisevat tekijät ja varmennusvaiheet.
- Varmista tehokkuus — Tunnistautumisen poistamisen tai anonymisoinnin jälkeen organisaation tulisi varmistaa, että toimenpide oli tehokas ja että henkilötietoja ei voida palauttaa tai tunnistaa uudelleen.
- Viite ISO/IEC 20889 — Ohjeissa viitataan nimenomaisesti standardiin ISO/IEC 20889 (yksityisyyttä parantavat tietojen anonymisointitekniikat) anonymisointimenetelmien lähteenä.
- Katso myös A.1.4.3: Raja-arvojen käsittely asiaankuuluvia vaatimuksia varten
- Katso myös A.1.4.4: Tarkkuus ja laatu asiaankuuluvia vaatimuksia varten
Nämä kaksi vaihtoehtoa (poisto tai anonymisointi) antavat organisaatioille joustavuutta. Jos pohjana olevalla tiedolla on analyyttistä arvoa, mutta yksilöiden ei enää tarvitse olla tunnistettavissa, anonymisointi mahdollistaa tietojen jatkuvan käytön. Jos tietoja ei enää käytetä, poistaminen on siistimpi lähestymistapa.
Miten tämä vastaa GDPR:ää?
Kontrolli A.1.4.6 kohdistuu useisiin GDPR määräykset:
- 5 artiklan 1 kohdan c alakohta — Tietojen minimoinnin periaate
- 5 artiklan 1 kohdan e alakohta — Säilytysrajoitus: tietoja tulisi säilyttää tunnistettavassa muodossa vain niin kauan kuin on tarpeen
- 6 artiklan 4 kohdan e alakohta — Tarkastelee asianmukaisten suojatoimien, joihin voi sisältyä salaus tai pseudonymisointi, olemassaoloa arvioidessaan jatkokäsittelyn yhteensopivuutta
- Article 11 (1) — Jos käyttötarkoitukset eivät enää edellytä tunnistamista, rekisterinpitäjällä ei ole velvollisuutta säilyttää tunnistetietoja
- 32 artikla (1) a) — Pseudonymisointi ja salaus asianmukaisina teknisinä toimenpiteinä
Täydellinen GDPR:n ja ISO 27701 -standardin välinen vastaavuus on lueteltu alla. GDPR-vaatimustenmukaisuusopas.
Miten tämä liittyy ISO 29100 -standardin mukaisiin yksityisyyden suojaa koskeviin periaatteisiin?
Tämä ohjaus tukee kahta ISO 29100 periaatteet:
- Tietojen minimointi — Tunnistamattomuuden poistaminen vähentää henkilötietoja mahdollisimman pieneksi tunnistettavaksi.
- Käyttö-, säilytys- ja luovutusrajoitukset — Poistaminen tai tunnistamattomaksi tekeminen käsittelyn lopussa valvoo suoraan säilytysrajoituksia
Aloita ilmainen kokeilu
Haluatko tutkia?
Rekisteröidy ilmaiseen kokeilujaksoon tänään ja pääset käyttämään kaikkia ISMS.onlinen tarjoamia yhteensopivuusominaisuuksia
Mitä todisteita tilintarkastajat odottavat?
Arvioidessaan kohdan A.1.4.6 vaatimustenmukaisuutta tilintarkastajat etsivät tyypillisesti seuraavia seikkoja:
- Tunnistamattomuuden poistamis- ja poistomenettelyt — Dokumentoidut menettelyt, joissa määritellään käytetyt menetelmät, vastuuhenkilöt ja miten tehokkuus varmennetaan
- Triggerien määritelmät — Selkeä dokumentaatio siitä, mitkä tapahtumat käynnistävät tunnistamattomuuden tai poistamisen kunkin henkilötietojen luokan osalta
- Suoritustietueet — Lokit tai tiedot, jotka osoittavat, että tunnistamattomaksi tekemiseen ja poistamiseen liittyvät toimet on suoritettu aikataulun mukaisesti
- Tehokkuustestaus — Todisteet siitä, että henkilöllisyyden poistamista on testattu uudelleentunnistamisen vastustuskyvyn osalta, erityisesti korkeamman riskin tietojoukkojen osalta
- Teknisen menetelmän dokumentointi — Kuvaus käytetyistä anonymisointitekniikoista (k-anonymiteetti, differentiaalinen yksityisyys, tokenisointi jne.) ja niiden valintaperusteet
- Poikkeusten käsittely — Dokumentaatio kaikista tapauksista, joissa henkilötietoja on säilytetty alkuperäisen tarkoituksen ulkopuolella, perusteluineen (esim. lakisääteinen pidätysvelvollisuus, sääntelyyn perustuva säilytysvaatimus)
Mitä asiaan liittyviä ohjausobjekteja on?
| Valvonta: | Yhteys |
|---|---|
| A.1.4.5 Henkilötietojen minimointitavoitteet | Tunnistamattomuus on keskeinen mekanismi minimointistrategiassa |
| A.1.4.8 Säilytys | Säilytysajat määrittävät, milloin tunnistamattomuus tai poistaminen tulisi käynnistää. |
| A.1.4.9 Hävittäminen | Hävitysmenettelyt täydentävät fyysisten tallennusvälineiden poistomenettelyjä |
| A.1.4.7 Väliaikaiset tiedostot | Myös henkilötietoja sisältävät väliaikaiset tiedostot on poistettava. |
| A.1.4.2 Rajakeräys | Vähemmän kerättyä tietoa tarkoittaa vähemmän dataa, joka vaatii käsittelyä elinkaaren lopussa |
| A.1.2.2 Tarkoituksen tunnistaminen ja dokumentointi | Käyttötarkoitusdokumentaatio määrittelee, milloin henkilötietoja ei enää tarvita |
Mikä muuttui standardista ISO 27701:2019?
Vaiheittaisen lähestymistavan löydät kohdasta Siirtymäkausi vuodesta 2019 vuoteen 2025.
Vuoden 2019 painoksessa tunnistamisen anonymisointia ja poistamista käsiteltiin kohdassa 7.4.5 (Henkilökohtaisten tietojen tunnistamisen anonymisointi ja poistaminen käsittelyn lopussa). Vuoden 2025 valvonta on sisällöltään sama, ja siinä on samat kaksi vaihtoehtoa (poista tai tunnistamisen anonymisointi). Toteutusohjeissa on nyt selkeämpi viittaus standardiin ISO/IEC 20889 tunnistamisen anonymisointitekniikoiden osalta ja niissä painotetaan enemmän tunnistamisen anonymisoinnin tehokkuuden varmentamista. Katso Liitteen F vastaavuustaulukko koko kartoitusta varten.
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.
Miksi valita ISMS.online henkilötietojen anonymisoinnin ja poistamisen hallintaan?
ISMS.online tarjoaa työkalut elinkaaren lopun velvoitteiden hallintaan, joita tilintarkastajat tarkastelevat tarkasti:
- Säilytystriggerin hallinta — Määrittele käsittelytarkoituksiin liittyvät tunnistamattomuuden ja poistamisen laukaisevat tekijät ja anna automaattiset hälytykset, kun laukaisevat tekijät saavutetaan
- Hävitys- ja tunnistamattomaksi tekemisen lokit — Kirjaa jokainen tunnistamattomaksi tekeminen ja poistaminen aikaleimoineen, käytettyine menetelmineen ja varmennustuloksineen
- Tekniikan dokumentointi — Dokumentoi kuhunkin tietoluokkaan sovelletut anonymisointimenetelmät ja perustele tekniikan valinta
- Poikkeusten seuranta — Kirjaa ja perustele kaikki tapaukset, joissa henkilötietoja säilytetään alkuperäisen tarkoituksen ulkopuolella, varmistaen, että lakisääteiset säilytysvaatimukset ja sääntelyvaatimukset dokumentoidaan asianmukaisesti
- Vaatimustenmukaisuusraportointi — Luo elinkaaren loppuraportteja, jotka osoittavat, että tunnistamattomaksi tekemisen ja poistamisen velvoitteet täyttyvät kaikissa henkilötietojen luokissa
UKK
Milloin sinun pitäisi valita anonymisointi poistamisen sijaan?
Tunnistautumisen anonymisointi on tarkoituksenmukaista, kun taustalla olevilla tiedoilla on arvoa toissijaisiin tarkoituksiin (kuten tilastolliseen analyysiin, tutkimukseen tai trendiraportointiin), mutta yksilöiden ei enää tarvitse olla tunnistettavissa. Poisto on tarkoituksenmukaista, kun tiedoille ei ole enää käyttöä. Valinta tulee dokumentoida ja tunnistautumisen anonymisointimenetelmän on oltava riittävän luotettava uudelleentunnistuksen estämiseksi, erityisesti ottaen huomioon tietojen arkaluontoisuuden.
Miten varmistat, että henkilöllisyyden poistaminen on tehokasta?
Todentamisessa testataan, voidaanko anonymisoitu tietojoukko yhdistää uudelleen yksilöihin käyttämällä itse tietoa tai yhdessä muiden saatavilla olevien tietolähteiden kanssa. Tekniikoita ovat motivoitunut tunkeutumistestaus, k-anonymiteetin arviointi ja sen tarkastelu, voidaanko kvasi-tunnisteet (kuten syntymäaika yhdistettynä postinumeroon) mahdollistaa uudelleentunnistaminen. ISO/IEC 20889 -standardi tarjoaa yksityiskohtaisia ohjeita anonymisointitekniikoista ja niiden arvioinnista.
Entä varmuuskopioissa olevat henkilötiedot alkuperäisten tietojen poistamisen jälkeen?
Varmuuskopioissa olevat henkilötiedot pysyvät säädöksen piirissä. Organisaatioilla tulisi olla strategia varmuuskopioissa olevien henkilötietojen käsittelemiseksi, johon voi sisältyä: varmuuskopioiden salaaminen, jotta poistettuihin tietoihin ei voida päästä käsiksi, vaikka ne olisivat edelleen olemassa; säilytyskäytäntöjen soveltaminen varmuuskopiointisykleihin, jotta vanhat varmuuskopiot korvataan; tai varmuuskopioissa olevien henkilötietojen jäännösriskin hyväksyminen ja dokumentointi asianmukaisin käyttöoikeuksien hallinnoilla. Valittu lähestymistapa tulisi dokumentoida ja puolustaa.
Katso tarkastusevidenssivaatimusten opas tarkastajien odottamaa erityistä evidenssiä tiedon laadun ja minimoinnin kontrollien osalta.
Tallenna tämä ohjausobjekti muistiisi Ilmoitus soveltuvuudesta perusteluineen sen sovellettavuudelle.
