Mitä kohta A.3.14 edellyttää?
Henkilötietojen käsittelyyn liittyvät tiedot on suojattava katoamiselta, tuhoutumiselta, väärentämiseltä, luvattomalta käytöltä ja luvattomalta luovuttamiselta.
Tämä ohjaus sijaitsee Jaetut suojaustoiminnot liite (A.3) ja käsittelee perustavanlaatuista hallintovaatimusta: yksityisyyden suojaa koskevien vaatimusten noudattamista osoittavien tietojen on oltava suojattuja. Jos tiedot voidaan kadottaa, muuttaa tai niihin voidaan päästä käsiksi ilman lupaa, ne menettävät arvonsa vaatimustenmukaisuuden todisteena.
Mitä liitteen B täytäntöönpano-ohjeissa sanotaan?
Liitteessä B (kohta B.3.14) annetaan seuraavat ohjeet:
- Historiallinen politiikan katsaus — Sekä nykyisten että aiempien käytäntöjen tarkastelu voi olla tarpeen tietyissä tilanteissa, kuten asiakasriitojen ratkaisemisessa tai valvontaviranomaisten tutkimuksiin vastaamisessa.
- Säilytä kopiot tietosuoja-asiakirjoista — Säilytä kopioita tietosuojakäytännöistä ja -menettelyistä organisaation säilytysaikataulussa määritellyn ajan, mukaan lukien aiemmat versiot käytäntöjen päivitysten yhteydessä
Ohjeistus korostaa, että asiakirjojen suojaaminen ei koske pelkästään ajankohtaisia asiakirjoja. Organisaatioiden on ehkä osoitettava, mitä käytäntöjä oli käytössä tiettynä ajankohtana – esimerkiksi osoittaakseen, että tietomurron tapahtuessa oli olemassa riittävät suojatoimet, tai vastatakseen rekisteröidyn valitukseen, jossa viitataan aiempaan käsittelyyn.
Miten tämä vastaa GDPR:ää?
Kontrollin A.3.14 kohdennus GDPR Artikla 5(2) (vastuuvelvollisuusperiaate) ja artikla 24(2) (asianmukaisten tietosuojakäytäntöjen täytäntöönpano). Vastuuvelvollisuusperiaate edellyttää, että rekisterinpitäjät pystyvät osoittamaan vaatimustenmukaisuuden, mikä riippuu täysin luotettavien ja suojattujen tietojen olemassaolosta. Jos tiedot katoavat tai niitä käsitellään väärin, organisaatio ei voi täyttää tätä velvoitetta.
Mikä muuttui standardista ISO 27701:2019?
Vaiheittaisen lähestymistavan löydät kohdasta Siirtymäkausi vuodesta 2019 vuoteen 2025.
Vuoden 2019 painoksessa tätä vaatimusta käsiteltiin kohdassa 6.15.1.3 (asiakirjojen suojaus). Vuoden 2025 painoksessa ydinvaatimukset on säilytetty kohdassa A.3.14, ja valvontalausunto ja toteutusohjeet on erotettu toisistaan selkeämmin kohdassa B.3.14. Tietosuojakäytäntöjen historiallisten versioiden säilyttämisen painottaminen on edelleen ohjeistuksen keskeinen piirre. Katso Liitteen F vastaavuustaulukko koko kartoitusta varten.
Aloita ilmainen kokeilu
Haluatko tutkia?
Rekisteröidy ilmaiseen kokeilujaksoon tänään ja pääset käyttämään kaikkia ISMS.onlinen tarjoamia yhteensopivuusominaisuuksia
Mitä todisteita tilintarkastajat odottavat?
Arvioidessaan kohdan A.3.14 vaatimustenmukaisuutta tilintarkastajat etsivät tyypillisesti seuraavia seikkoja:
- Asiakirjojen säilytyskäytäntö — Dokumentoitu käytäntö, jossa määritellään, kuinka kauan henkilötietojen käsittelytietoja säilytetään, mukaan lukien eri tietueluokkien vähimmäissäilytysajat
- Versionhallinta — Todiste siitä, että tietosuojakäytäntöjen, menettelyjen ja käsittelytietojen aiemmat versiot säilytetään ja ovat saatavilla selkeällä versionumeroinnilla ja päivämäärällä varustettuina
- Kulunvalvonta — Rajoitukset sille, kuka voi käyttää, muokata ja poistaa tietosuojatietoja, ja muutokset kirjataan lokiin
- Varmuuskopiointi ja palautus — Todiste siitä, että tiedot varmuuskopioidaan ja että ne voidaan palauttaa järjestelmävian tai tietojen menetyksen sattuessa
- Rehellisyyden valvonta — Mekanismit tietueiden väärentämisen havaitsemiseksi ja estämiseksi, kuten tarkastuslokit, digitaaliset allekirjoitukset tai väärentämisen paljastava tallennus
Mitä asiaan liittyviä ohjausobjekteja on?
| Valvonta: | Yhteys |
|---|---|
| A.3.9 Käyttöoikeudet | Tietosuojaselosteiden käyttöoikeus on rajoitettava valtuutetulle henkilöstölle |
| A.3.12 Tapahtumaan reagointi | Tietomurtotietojen on oltava suojattuja osana organisaation asiakirjojen hallintaa. |
| A.3.13 Lakisääteiset ja sopimusoikeudelliset vaatimukset | Säilytysajat voivat olla lakisääteisten velvoitteiden määräämiä |
| A.3.15 Riippumaton arviointi | Tilintarkastajien on päästävä käsiksi historiallisiin tietoihin varmistaakseen jatkuvan vaatimustenmukaisuuden |
| A.3.16 Käytäntöjen noudattaminen | Asiakirjojen suojauskäytännöt tulisi varmistaa vaatimustenmukaisuustarkastusten aikana. |
Ketä tämä valvonta koskee?
A.3.14 on jaettu hallinta Tämä koskee sekä henkilötietojen rekisterinpitäjiä että käsittelijöitä. Rekisterinpitäjien on suojattava tietoja, jotka osoittavat heidän noudattavansa tietosuojalakeja, mukaan lukien käsittelytiedot, suostumustiedot ja yksityisyyden suojaa koskevien vaikutustenarviointien tiedot. Käsittelijöiden on suojattava tietoja rekisterinpitäjien puolesta suoritetuista käsittelytoimista, tietoturvaloukkauksista ja sopimusasiakirjoista.
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.
Miksi valita ISMS.online henkilötietojen käsittelytietojen suojaamiseksi?
ISMS.online tarjoaa käytännön työkaluja turvallisten ja auditoitavien tietosuojatietojen ylläpitoon:
- Versiohallittu dokumenttienhallinta — Jokainen käytäntö, menettelytapa ja tietue on versiohallittu ja sisältää täydellisen muutoshistorian, joten voit aina hakea voimassa olleen version milloin tahansa
- Roolipohjaiset käyttöoikeudet — Rajoita pääsyä tietosuojatietoihin roolin mukaan varmistaen, että vain valtuutettu henkilöstö voi tarkastella, muokata tai viedä arkaluonteisia asiakirjoja
- Väärinkäytösten paljastava tarkastusketju — Kaikki tietueiden muutokset kirjataan aikaleimoilla ja käyttäjätunnuksilla varustettuina, mikä osoittaa niiden eheyden.
- Automatisoitu säilytyshallinta — Aseta säilytysajat erityyppisille tietueille hälytyksillä ennen vanhenemista varmistaaksesi säilytysaikataulusi noudattamisen
- Suojattu pilvitallennustila — Tiedostot tallennetaan salattuina sekä säilytystilassa että siirron aikana, ja varmuuskopiot ja palautus tehdään automaattisesti.
UKK
Miksi on tärkeää säilyttää tietosuojakäytäntöjen aiemmat versiot?
Valvontaviranomaisten tai tuomioistuinten on ehkä tarkistettava tiettynä ajankohtana voimassa olleet käytännöt – esimerkiksi silloin, kun tietomurto tapahtui, kun rekisteröidyn henkilötietoja käsiteltiin tai kun valitus tehtiin. Ilman historiallisia versioita organisaatio ei voi osoittaa, mitä suojatoimia oli käytössä. Kaikkien tietosuoja-asiakirjojen päivättyjen ja versiohallittujen kopioiden säilyttäminen on olennaista vastuullisuuden kannalta.
Kuinka kauan henkilötietojen käsittelytietoja tulisi säilyttää?
Standardi ei määrää tiettyä säilytysaikaa. Tämä tulisi määritellä organisaation säilytysaikataulussa sovellettavien lakisääteisten vaatimusten, sopimusvelvoitteiden ja liiketoiminnan tarpeiden perusteella. GDPR ei määritä tarkkoja säilytysaikoja vaatimustenmukaisuustietueille, mutta organisaatioiden tulisi säilyttää ne riittävän kauan, jotta ne voivat vastata valvontaviranomaisten tutkimuksiin ja rekisteröityjen valituksiin, joita voi syntyä useita vuosia käsittelyn jälkeen.
Minkä tyyppisiä asiakirjoja tämä valvonta kattaa?
Tämä kattaa kaikki henkilötietojen käsittelyyn liittyvät tiedot, mukaan lukien: käsittelytoimintaa koskevat tiedot, tietosuojakäytännöt ja -menettelyt, suostumustiedot, tietosuojan vaikutustenarvioinnit, tietoturvaloukkauksia koskevat raportit, rekisteröityjen pyyntölokit, toimittajasopimukset, koulutustiedot ja tarkastusraportit. Yhteisenä periaatteena on, että kaikkia yksityisyyden suojaan liittyviä tietoja, joita käytetään osoittamaan niiden noudattamista, tulisi suojata tällä tavalla.
Yhtiömme tarkastusevidenssivaatimusten opas kartoittaa tarkat tiedot, joita tilintarkastajat odottavat kullekin lausekkeelle ja kontrollialueelle.
