Mitä kohta A.2.5.5 edellyttää?
Organisaation on ilmoitettava asiakkaalle kaikista oikeudellisesti sitovista henkilötietojen luovuttamista koskevista pyynnöistä.
Tämä ohjaus sijaitsee PII-käsittelijän hallintalaitteet liite (A.2) ja käsittelee tärkeää avoimuusvelvoitetta. Kun henkilötietojen käsittelijä saa oikeudellisesti sitovan pyynnön henkilötietojen luovuttamisesta (esimerkiksi lainvalvontaviranomaiselta, tuomioistuimelta tai sääntelyviranomaiselta), rekisterinpitäjälle on ilmoitettava siitä. Näin rekisterinpitäjä voi ymmärtää vaikutuksen tietoihinsa, hakea tarvittaessa oikeudellista neuvontaa ja täyttää omat velvollisuutensa rekisteröityjä kohtaan.
Mitä liitteen B täytäntöönpano-ohjeissa sanotaan?
Liitteessä B (kohta B.2.5.5) annetaan seuraavat ohjeet:
- Pyyntöjen luonne — Organisaatio voi saada oikeudellisesti sitovia tiedonantopyyntöjä esimerkiksi oikeusviranomaisilta
- Ilmoitusmenettely — Asiakkaalle on ilmoitettava sovitussa aikataulussa ja sovittua menettelyä noudattaen, mikä voidaan määritellä sopimuksessa.
- Ilmoituskielto — Joissakin oikeudellisesti sitovissa pyynnöissä on ilmoituskielto, esimerkiksi rikoslain säännösten nojalla, joiden tarkoituksena on säilyttää tutkinnan luottamuksellisuus.
- Katso myös A.2.5.3: Maat ja kansainväliset järjestöt henkilötietojen siirtoa varten asiaankuuluvia vaatimuksia varten
- Katso myös A.2.5.7: Henkilötietojen käsittelyyn käytettyjen alihankkijoiden paljastaminen asiaankuuluvia vaatimuksia varten
Ohjeistus tunnistaa ristiriidan käsittelijän velvollisuuden ilmoittaa asiakkaalle ja tilanteiden välillä, joissa ilmoittaminen on lain mukaan kielletty. Jos tuomioistuimen määräys tai lainvalvontapyyntö sisältää salassapitolausekkeen (joskus kutsutaan vaientamismääräykseksi), käsittelijä ei välttämättä pysty ilmoittamaan asiakkaalle rikkomatta lakia. Tällaisissa tapauksissa käsittelijän tulisi noudattaa lakisääteistä kieltoa ja ilmoittaa asiakkaalle heti, kun kielto on poistettu.
Miten tämä vastaa GDPR:ää?
Kontrolli A.2.5.5 vastaa seuraavaa GDPR artikkeli:
- 28 artikla (3) a) — Käsittelijä käsittelee henkilötietoja ainoastaan rekisterinpitäjän dokumentoitujen ohjeiden mukaisesti, ellei unionin lainsäädäntö tai jäsenvaltion lainsäädäntö, jonka alainen käsittelijä on, edellytä käsittelyä; tällaisessa tapauksessa käsittelijän on ilmoitettava rekisterinpitäjälle tästä lakisääteisestä vaatimuksesta ennen käsittelyä, ellei kyseinen lainsäädäntö kiellä tällaista ilmoittamista tärkeän yleisen edun vuoksi.
GDPR Artiklan 28(3)(a) mukaan henkilötietojen käsittelijöiden on ilmoitettava rekisterinpitäjille, kun heidän on lain mukaan käsiteltävä (mukaan lukien luovutettava) henkilötietoja. Poikkeuksena on tapaukset, joissa laki itsessään kieltää ilmoittamisen yleisen edun perusteella. Tämä heijastaa liitteessä B olevia ohjeita ilmoituskielloista rikosoikeudellisissa yhteyksissä.
Mikä muuttui standardista ISO 27701:2019?
Vaiheittaisen lähestymistavan löydät kohdasta Siirtymäkausi vuodesta 2019 vuoteen 2025.
Vuoden 2019 painoksessa tätä vaatimusta käsiteltiin laajemman lausekerakenteen sisällä. Vuoden 2025 painoksessa A.2.5.5 on oma erillisenä säännöksenään, ja sen täytäntöönpano-ohjeistuksessa B.2.5.5 käsitellään nimenomaisesti ilmoitusaikarajoja, sopimusmenettelyjä ja ilmoituskieltojen haasteita rikosoikeudessa. Katso Liitteen F vastaavuustaulukko koko kartoitusta varten.
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.
Mitä todisteita tilintarkastajat odottavat?
Arvioidessaan kohdan A.2.5.5 vaatimustenmukaisuutta tilintarkastajat etsivät tyypillisesti seuraavia seikkoja:
- Ilmoitusmenettely — Dokumentoitu menettelytapa asiakkaille ilmoittamiseksi, kun ne vastaanottavat oikeudellisesti sitovia tiedonantopyyntöjä, mukaan lukien ilmoitusaikataulu ja viestintäkanava
- Pyydä rekisteriä — Rekisteri vastaanotettujen oikeudellisesti sitovien tiedonantopyyntöjen osalta, johon kirjataan pyynnön esittänyt viranomainen, vastaanottopäivämäärä, pyynnön laajuus, ilmoituspäivämäärä ja mahdolliset ilmoituskiellot
- Asiakasilmoitukset — Asiakkaille lähetettyjen ilmoitusten tiedot, mukaan lukien lähetyspäivämäärä ja annetut tiedot
- Sopimusmääräykset — Sopimuslausekkeet, joissa täsmennetään ilmoitusmenettely, aikataulut ja asiakkaan ensisijaisesti käyttämä viestintäkanava tiedonantoilmoituksia varten
- Kieltojen käsittely — Dokumentoidut menettelyt tilanteiden käsittelemiseksi, joissa ilmoittaminen on lain mukaan kielletty, mukaan lukien kiellon seuranta ja asiakkaalle ilmoitetaan kiellon poistamisesta
Mitä asiaan liittyviä ohjausobjekteja on?
| Valvonta: | Yhteys |
|---|---|
| A.2.5.6 Oikeudellisesti sitovat henkilötietojen luovutukset | Määrittelee, miten käsittelijä käsittelee tiedonannon itse ilmoituksen jälkeen |
| A.2.5.4 Henkilötietojen luovutusten tiedot | Kaikki oikeudellisesti sitovista pyynnöistä johtuvat luovutukset on kirjattava |
| A.2.2.2 Asiakassopimus | Sopimuksessa tulisi määritellä ilmoitusmenettely ja aikataulut |
| A.2.2.6 Asiakkaan velvollisuudet | Tietojenantopyyntöjen ilmoittaminen auttaa asiakkaita osoittamaan vaatimustenmukaisuuden |
| A.2.5.2 Henkilötietojen siirron peruste | Lakisääteiset luovutukset voivat sisältää rajat ylittäviä siirtoja |
Ketä tämä valvonta koskee?
A.2.5.5 koskee yksinomaan PII-käsittelijätKun käsittelijä vastaanottaa oikeudellisesti sitovan tiedonantopyynnön, rekisterinpitäjällä on suora intressi saada siitä tietoa. Rekisterinpitäjän on ehkä ilmoitettava rekisteröidyille, haettava oikeudellista neuvontaa, riitautettava pyyntö tai päivitettävä omia tietojaan. Ilman käsittelijän ilmoitusta rekisterinpitäjä ei tiedä, että hänen tietojaan on pyydetty, eikä voi ryhtyä asianmukaisiin toimiin.
Aloita helposti henkilökohtaisella tuote-esittelyllä
Yksi perehdytysasiantuntijoistamme opastaa sinua alustamme läpi ja auttaa sinua alkuun luottavaisin mielin.
Miksi valita ISMS.online tiedonantopyyntöjen hallintaa varten?
ISMS.online tarjoaa käytännön työkaluja oikeudellisesti sitovien tiedonantopyyntöjen hallintaan:
- Pyydä seurantaa — Kirjaa ja seuraa oikeudellisesti sitovia tiedonantopyyntöjä jäsenneltyjen kenttien avulla, jotka koskevat pyynnön esittämistä viranomaista, laajuutta, vastaanottopäivämäärää ja ilmoituksen tilaa
- Ilmoitusten työnkulut — Käynnistää automatisoidut asiakasilmoitusprosessit, kun tiedonantopyyntö vastaanotetaan, konfiguroitavilla aikaväleillä ja viestintäkanavilla
- Kieltojen hallinta — Merkitse pyyntöihin ilmoituskieltoja, aseta tarkistuspäivät kiellon vanhenemiselle ja käynnistä automaattisesti viivästetyt ilmoitukset
- Tarkastusrata — Ylläpidä täydellistä tarkastusketjua jokaisesta tiedonantopyynnöstä, ilmoituksesta ja vastauksesta, valmiina viranomais- tai asiakastarkastusta varten
- Sopimuskytkentö — Yhdistä tiedonantomenettelyt asiaankuuluviin asiakassopimusmääräyksiin varmistaen johdonmukaisen noudattamisen
UKK
Mitä voidaan pitää oikeudellisesti sitovana tiedonantopyyntönä?
Oikeudellisesti sitova tiedonantopyyntö on pyyntö, jota käsittelijällä on laillinen velvollisuus noudattaa. Tähän sisältyvät tuomioistuimen määräykset, haasteet, pidätysmääräykset, sääntelyyn liittyvät tutkintavaatimukset ja lakisääteiset tiedonantovelvollisuudet. Viranomaisten epäviralliset pyynnöt (joiden noudattaminen on vapaaehtoista) käsitellään erikseen kohdassa A.2.5.6 Oikeudellisesti sitovat tiedonannotKeskeinen ero on se, onko käsittelijällä lakisääteinen velvollisuus luovuttaa tietoja, ei se, tuleeko pyyntö viranomaiselta.
Entä jos käsittelijää kielletään ilmoittamasta asiakkaalle?
Joissakin oikeudellisesti sitovissa pyynnöissä on salassapitoehto, joka kieltää käsittelijää ilmoittamasta pyynnöstä kenellekään. Tämä on yleistä rikostutkinnassa, jossa ilmoittaminen voi vaarantaa tutkinnan. Tällaisissa tapauksissa käsittelijän on noudatettava kieltoa. Käsittelijän on kuitenkin seurattava kieltoa, tarkistettava, onko se kumottu vai vanhentunut, ja ilmoitettava siitä asiakkaalle heti, kun se on lain mukaan sallittua. Käsittelijän menettelytapojen tulisi dokumentoida, miten tällaisia tilanteita käsitellään.
Kuinka nopeasti asiakkaille tulisi ilmoittaa?
Standardissa ei määritellä ilmoitusaikaa, vaan todetaan, että asiakkaille tulee ilmoittaa sopimuksen mukaisissa "sovituissa aikatauluissa". Käytännössä ilmoituksen tulisi olla riittävän nopea, jotta asiakas ehtii ryhtyä toimiin ennen tiedonantoa, jos mahdollista. Monet sopimukset edellyttävät ilmoitusta 24–72 tunnin kuluessa pyynnön vastaanottamisesta. Tarkan aikataulun tulisi olla tasapainossa pyynnön kiireellisyyden, asiakkaan vastaustarpeen ja mahdollisten lakisääteisten määräaikojen välillä.
Yhtiömme tarkastusevidenssivaatimusten opas kattaa tilintarkastajien edellyttämät tiedonantoasiakirjat.
Katso toimittajien arviointiopas siitä, miten asiakkaat arvioivat käsittelijän tiedonantokäytäntöjä.
