Mitä kohta A.2.5.6 edellyttää?
Organisaation on hylättävä kaikki henkilötietojen luovutuspyynnöt, jotka eivät ole oikeudellisesti sitovia, kuultava vastaavaa asiakasta ennen henkilötietojen luovuttamista ja hyväksyttävä kaikki sopimuksella sovitut henkilötietojen luovutuspyynnöt, jotka vastaava asiakas on valtuuttanut.
Tämä ohjaus sijaitsee PII-käsittelijän hallintalaitteet liite (A.2) ja vahvistaa selkeän päätöksentekokehyksen henkilötietojen luovutuspyyntöjen käsittelyä varten. Se luo hierarkian: hylätään pyynnöt, joilla ei ole oikeudellista voimaa, rekisterinpitäjän kanssa konsultoidaan ennen tietojen luovuttamista ja noudatetaan sopimuksessa sovittuja luovutuksia, joihin asiakas on antanut luvan. Tämä estää käsittelijöitä luovuttamasta henkilötietoja ilman asianmukaista valtuutusta.
Mitä liitteen B täytäntöönpano-ohjeissa sanotaan?
Liitteessä B (kohta B.2.5.6) annetaan seuraavat ohjeet:
- Sopimustiedot — Asiakassopimukseen voidaan sisällyttää tiedot siitä, miten tiedonantopyyntöjä käsitellään.
- Pyyntöjen lähteet — Tietojen luovuttamispyyntöjä voivat esittää tuomioistuimet, lainkäyttöelimet, hallintoviranomaiset tai muut toimivaltaiset elimet.
- Katso myös A.2.5.3: Maat ja kansainväliset järjestöt henkilötietojen siirtoa varten asiaankuuluvia vaatimuksia varten
- Katso myös A.2.5.7: Henkilötietojen käsittelyyn käytettyjen alihankkijoiden paljastaminen asiaankuuluvia vaatimuksia varten
Ohjeistus on tarkoituksella ytimekäs, koska itse valvonta on erittäin ohjaileva. Kolmiosainen velvoite on selkeä: hylätä sitomattomat pyynnöt, konsultoida asiakasta sitovista pyynnöistä ja hyväksyä asiakkaan valtuuttamat pyynnöt. Sopimuksessa tulisi määritellä kunkin skenaarion menettelytavat, mukaan lukien se, miten käsittelijä määrittää, onko pyyntö oikeudellisesti sitova, miten asiakkaan konsultointi tapahtuu ja mihin ennakkoon valtuutettuihin luovutuksiin asiakas on suostunut.
Miten tämä vastaa GDPR:ää?
Kontrolli A.2.5.6 vastaa seuraavaa GDPR artikkeli:
- Artikla 48 — Kolmannen maan tuomioistuimen tai muun lainkäyttöelimen tuomio ja hallintoviranomaisen päätös, jossa rekisterinpitäjää tai henkilötietojen käsittelijää vaaditaan siirtämään tai luovuttamaan henkilötietoja, voidaan tunnustaa tai panna täytäntöön vain, jos se perustuu pyynnön esittäneen kolmannen maan ja unionin tai jäsenvaltion välillä voimassa olevaan kansainväliseen sopimukseen, kuten keskinäistä oikeusapua koskevaan sopimukseen.
GDPR Artikla 48 on erityisen merkityksellinen kansainvälisesti toimiville henkilötietojen käsittelijöille. Siinä vahvistetaan, että ulkomaisten tuomioistuinten määräykset ja hallinnolliset päätökset eivät yksinään voi velvoittaa henkilötietojen luovuttamiseen, ellei ole olemassa kansainvälistä sopimusta. Tämä vahvistaa käsittelijän velvollisuutta hylätä sitomattomat pyynnöt ja tarkistaa oikeusperusta ennen luovuttamista.
Mikä muuttui standardista ISO 27701:2019?
Vaiheittaisen lähestymistavan löydät kohdasta Siirtymäkausi vuodesta 2019 vuoteen 2025.
Vuoden 2019 painoksessa tätä vaatimusta käsiteltiin laajemman lausekerakenteen sisällä. Vuoden 2025 painoksessa A.2.5.6 on omana erillisenä ehtonaan, ja sen toteutusohjeissa B.2.5.6 selvennetään tiedonantopyyntöjen lähteitä (tuomioistuimet, hallintoviranomaiset, hallintoviranomaiset) ja asiakassopimuksen roolia. Katso Liitteen F vastaavuustaulukko koko kartoitusta varten.
Aloita helposti henkilökohtaisella tuote-esittelyllä
Yksi perehdytysasiantuntijoistamme opastaa sinua alustamme läpi ja auttaa sinua alkuun luottavaisin mielin.
Mitä todisteita tilintarkastajat odottavat?
Arvioidessaan kohdan A.2.5.6 vaatimustenmukaisuutta tilintarkastajat etsivät tyypillisesti seuraavia seikkoja:
- Tietojen julkistamista koskeva päätöksentekomenettely — Dokumentoitu menettely tiedonantopyyntöjen arvioimiseksi, mukaan lukien se, miten organisaatio määrittää, onko pyyntö oikeudellisesti sitova
- Hylkäystietueet — Hylättyjen sitomattomien tiedonantopyyntöjen tiedot, mukaan lukien hylkäämisen perusteet ja mahdollinen kirjeenvaihto pyynnön esittäneen osapuolen kanssa
- Asiakaskonsultaatioiden tiedot — Todisteet asiakaskonsultoinnista ennen tietojen luovuttamista, mukaan lukien viestintä, asiakkaan vastaus ja tehty päätös
- Ennakkoon valtuutetut luovutukset — Sopimuslausekkeet, joissa määritellään asiakkaan etukäteen hyväksymät tiedonannot, mikä poistaa tarpeen tapauskohtaiselle konsultaatiolle
- Oikeudellinen arviointikyky — Todiste siitä, että organisaatiolla on pääsy oikeudelliseen neuvontaan sen arvioimiseksi, ovatko pyynnöt oikeudellisesti sitovia, erityisesti ulkomaisilta lainkäyttöalueilta tulevien pyyntöjen osalta
Mitä asiaan liittyviä ohjausobjekteja on?
| Valvonta: | Yhteys |
|---|---|
| A.2.5.5 Tietojen luovuttamispyynnöistä ilmoittaminen | Ilmoittaminen on ensimmäinen vaihe; tämä valvonta ohjaa päätöstä julkistamisesta tai hylkäämisestä |
| A.2.5.4 Henkilötietojen luovutusten tiedot | Kaikki ilmoitukset (ja hylkäämiset) tulee kirjata. |
| A.2.2.2 Asiakassopimus | Sopimuksessa määritellään tiedonantopäätösmenettely ja ennakkoon hyväksytyt tiedonannot. |
| A.2.5.2 Henkilötietojen siirron peruste | Lakisääteisesti edellytettävillä luovutuksilla ulkomaisille viranomaisille on oltava pätevä siirtoperuste |
| A.2.2.4 Markkinoinnin ja mainonnan käyttö | Markkinointitarkoituksiin tapahtuvat tiedonannot edellyttävät asiakkaan erityistä suostumusta |
Ketä tämä valvonta koskee?
A.2.5.6 koskee yksinomaan PII-käsittelijätKäsittelijät toimivat rekisterinpitäjien puolesta, eivätkä he saa itsenäisesti päättää henkilötietojen luovuttamisesta kolmansille osapuolille. Tämä valvonta varmistaa, että käsittelijät luovuttavat henkilötietoja vain, jos siihen on joko laillisesti sitova velvollisuus tai asiakkaan nimenomainen valtuutus. Vapaaehtoinen luovuttaminen ilman asiakkaan suostumusta tai laillista pakkoa ei ole sallittua.
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.
Miksi valita ISMS.online julkistamispäätösten hallintaa varten?
ISMS.online tarjoaa käytännön työkaluja henkilötietojen luovutuspäätösten hallintaan:
- Päätöksenteon työnkulut — Jäsennellyt työnkulut tiedonantopyyntöjen arviointiin, haarautuva logiikka oikeudellisesti sitoville, ei-sitoville ja asiakkaan valtuuttamille pyynnöille
- Oikeudellisen arvioinnin seuranta — Kirjaa oikeudelliset arviot siitä, ovatko pyynnöt sitovia, mukaan lukien lainkäyttöalue, viitatut oikeudelliset säännökset ja saadut oikeudelliset neuvot
- Asiakasneuvonta — Hallinnoi asiakaskonsultaatioita alustalla, seuraa pyyntöjä, viestintää, vastauksia ja lopullista päätöstä
- Hylkäysten hallinta — Dokumentoi hylätyt pyynnöt hylkäyksen perusteluineen, jolloin syntyy puolustettava asiakirja sääntelyyn tai lakiin perustuvaa tarkastelua varten
- Sopimusintegraatio — Yhdistä tiedonantomenettelyt asiakassopimusten määräyksiin varmistaen, että ennalta valtuutetut tiedonannot tunnistetaan ja käsitellään johdonmukaisesti
UKK
Miten käsittelijä määrittää, onko pyyntö oikeudellisesti sitova?
Käsittelijän tulisi arvioida, onko pyynnön esittäneellä viranomaisella laillinen valta vaatia tietojen luovuttamista ja onko pyyntö esitetty asianmukaisesti sovellettavan lain nojalla. Tämä edellyttää tyypillisesti oikeudellista neuvontaa, erityisesti ulkomaisten lainkäyttöalueiden pyyntöjen osalta. Keskeisiä tekijöitä ovat: viittaako pyyntö tiettyyn lakiin; onko sen esittänyt tuomioistuin, muu tuomioistuin tai hallintoviranomainen, jolla on asianmukainen toimivalta; ja täyttääkö se sovellettavan lain muodolliset vaatimukset. Epäviralliset pyynnöt, vapaaehtoiset yhteistyöpyynnöt ja pyynnöt, joilla ei ole laillista perustaa, olisi hylättävä.
Voiko käsittelijä luovuttaa henkilötietoja kuulematta asiakasta?
Vain rajoitetuissa olosuhteissa. Jos asiakassopimus sisältää ennalta valtuutettuja luovutuksia (esimerkiksi luovutuksen valtuuttaminen vastauksena voimassa oleviin tuomioistuimen määräyksiin tietyllä lainkäyttöalueella), käsittelijä voi edetä ilman tapauskohtaista kuulemista. Lisäksi, jos ilmoittaminen on laissa kielletty (kuten kohdassa A.2.5.5 Henkilötietojen luovutuspyynnöt) käsittelijän on ehkä luovutettava tiedot ennen kuin se voi ilmoittaa niistä asiakkaalle. Kaikissa muissa tapauksissa tämä valvonta edellyttää asiakkaan kuulemista ennen luovuttamista.
Entä ulkomaisten tuomioistuinten tai viranomaisten pyynnöt?
GDPR:n 48 artikla säätää, että ulkomaisten tuomioistuinten tuomiot ja hallinnolliset päätökset ovat täytäntöönpanokelpoisia vain, jos ne perustuvat kansainväliseen sopimukseen, kuten keskinäistä oikeusapua koskevaan sopimukseen. Tämä tarkoittaa, että pelkkä ulkomaisen tuomioistuimen määräys ei välttämättä ole EU-lainsäädännön mukainen "oikeudellisesti sitova" pyyntö. Henkilötietojen käsittelijän on hankittava oikeudellista neuvontaa ennen henkilötietojen luovuttamista vastauksena ulkomaisten viranomaisten pyyntöihin ja kuultava asiakasta. Jos kansainvälistä sopimusta ei ole, pyyntö olisi yleensä hylättävä, ellei muita GDPR:n siirtomekanismeja voida soveltaa.
Yhtiömme tarkastusevidenssivaatimusten opas kattaa tilintarkastajien edellyttämät tiedonantoasiakirjat.
Katso toimittajien arviointiopas siitä, miten asiakkaat arvioivat käsittelijän tiedonantokäytäntöjä.
