Mitä kohta A.3.18 edellyttää?
Henkilötietojen suojaamiseen liittyvät organisaation tarpeet huomioon ottavat luottamuksellisuus- tai salassapitosopimukset on tunnistettava, dokumentoitava, tarkistettava säännöllisesti ja henkilöstön ja muiden asiaankuuluvien osapuolten allekirjoitettava.
Tämä ohjaus sijaitsee Jaetut suojaustoiminnot liite (A.3) ja siinä vahvistetaan perustavanlaatuinen sopimussuoja: jokaisen, jolla on pääsy henkilötietoihin, on oltava virallisesti sidottu salassapitovelvoitteisiin. Tämä luo selkeän oikeusperustan tietosuojavastuiden täytäntöönpanolle yksilötasolla.
Mitä liitteen B täytäntöönpano-ohjeissa sanotaan?
Liitteessä B (kohta B.3.18) annetaan seuraavat ohjeet:
- Varmista, että henkilötietojen käyttöoikeutta säätelevät salassapitovelvoitteet — Kaikkien henkilöiden, joilla on pääsy henkilötietoihin, tulisi olla salassapitovelvollisuuden alaisia joko työsopimuksen, erillisen salassapitosopimuksen tai vastaavan sopimuksen nojalla.
- Määritä velvoitteen kesto — Ilmoita selvästi, kuinka kauan salassapitovelvollisuudet ovat voimassa, ja ne voivat jatkua työsuhteen tai sopimuskauden päättymisen jälkeen.
- Suoritinkohtaiset vaatimukset — Tietojen käsittelijöiden osalta salassapitosopimuksen tulisi varmistaa, että työntekijät ja edustajat noudattavat organisaation tietojenkäsittely- ja tietosuojakäytäntöjä.
- Katso myös A.3.19: Tyhjä työpöytä ja selkeä näyttö asiaankuuluvia vaatimuksia varten
Ohjeistus tekee selväksi, että luottamuksellisuus ei ole vain kulttuuriin liittyvä odotus – sen on oltava dokumentoitu, allekirjoitettu sitoumus, jolla on määritelty kesto, jotta velvoitteet pysyvät voimassa myös roolinvaihdosten, työsuhteen päättymisen ja työsopimuksen päättymisen jälkeen.
Miten tämä vastaa GDPR:ää?
Kontrolli A.3.18 kohdistuu useisiin GDPR artikkeleita:
- 5 artiklan 1 kohdan f alakohta — Eheyden ja luottamuksellisuuden periaate, joka edellyttää asianmukaisia turvatoimenpiteitä, mukaan lukien suojaa luvattomalta paljastamiselta
- 28 artiklan 3 kohdan b alakohta — Käsittelijöiden on varmistettava, että henkilötietojen käsittelyyn valtuutetut henkilöt ovat sitoutuneet salassapitoon tai heillä on asianmukainen lakisääteinen salassapitovelvollisuus.
- 38(5) artikla (aiheeseen liittyvä säännös, jota ei ole virallisesti esitetty liitteessä D) — Tietosuojavastaava on sidottu salassapitovelvollisuuteen tehtäviensä suorittamisen suhteen
Artiklan 28(3)(b) on erityisen merkittävä, koska siinä salassapitositoumuksista tehdään pakollinen osa käsittelijäsopimuksia – ei valinnainen paras käytäntö.
Mikä muuttui standardista ISO 27701:2019?
Vaiheittaisen lähestymistavan löydät kohdasta Siirtymäkausi vuodesta 2019 vuoteen 2025.
Vuoden 2019 painoksessa tätä vaatimusta käsiteltiin kohdassa 6.10.2.4 (luottamuksellisuus- tai salassapitosopimukset). Vuoden 2025 painoksessa ydinvaatimukset on säilytetty kohdassa A.3.18, ja valvontalausunto ja toteutusohjeet on erotettu selkeämmin kohdassa B.3.18. Keskeistä on edelleen velvoitteiden keston määrittäminen ja käsittelijän työntekijöiden vaatimustenmukaisuuden varmistaminen. Katso Liitteen F vastaavuustaulukko koko kartoitusta varten.
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.
Mitä todisteita tilintarkastajat odottavat?
Arvioidessaan kohdan A.3.18 vaatimustenmukaisuutta tilintarkastajat etsivät tyypillisesti seuraavia seikkoja:
- NDA/salassapitosopimusrekisteri — Ylläpidetty luettelo kaikista salassapitosopimuksen allekirjoittaneista henkilöistä, mukaan lukien allekirjoituspäivämäärä, sopimuksen versio sekä voimassaolon päättymis- tai tarkistuspäivämäärä
- Allekirjoitetut sopimukset — Kopiot allekirjoitetuista sopimuksista kaikille henkilöstön jäsenille ja asianosaisille, joilla on pääsy henkilötietoihin
- Sopimuksen sisältö — Että sopimuksissa täsmennetään luottamuksellisuuden laajuus, käsiteltävien tietojen tyypit, velvoitteiden kesto ja rikkomuksen seuraukset
- Säännöllisen tarkastelun todisteet — Tiedot, jotka osoittavat, että sopimuksia tarkastellaan suunnitelluin väliajoin ja päivitetään vaatimusten muuttuessa
- Kattavuus kaikille käyttöoikeustyypeille — Sopimukset, jotka kattavat vakituisen henkilöstön, urakoitsijat, tilapäiset työntekijät, konsultit ja kaikki muut osapuolet, joilla on pääsy henkilötietoihin
Mitä asiaan liittyviä ohjausobjekteja on?
| Valvonta: | Yhteys |
|---|---|
| A.3.9 Käyttöoikeudet | Salassapitosopimukset tulee allekirjoittaa ennen henkilötietojen käyttöoikeuden myöntämistä. |
| A.3.17 Tietoisuus ja koulutus | Koulutuksen tulisi vahvistaa henkilöstön sopimuksissaan tekemiä sitoumuksia |
| A.3.10 Toimittajasopimukset | Toimittajasopimusten tulisi edellyttää, että toimittajan henkilöstö allekirjoittaa salassapitosopimukset |
| A.3.13 Lakisääteiset ja sopimusoikeudelliset vaatimukset | Luottamuksellisuusvelvoitteet voivat perustua lakisääteisiin tai sopimuksiin |
| A.3.14 Asiakirjojen suojaaminen | Allekirjoitetut sopimukset on säilytettävä turvallisesti ja asianmukaisen ajan. |
Ketä tämä valvonta koskee?
A.3.18 on jaettu hallinta tämä koskee sekä henkilötietojen rekisterinpitäjiä että käsittelijöitä. Rekisterinpitäjien on varmistettava, että heidän omaa henkilöstöään ja kolmansia osapuolia sitoo salassapitovelvollisuus. Käsittelijöillä on lisävelvollisuus GDPR 28(3)(b) artiklan mukaisesti sen varmistamiseksi, että kaikki henkilötietojen käsittelyyn valtuutetut henkilöt ovat sitoutuneet luottamuksellisuuteen, mikä tekee tästä valvonnasta sopimusperusteisen vaatimuksen, ei pelkästään parhaan käytännön.
Aloita helposti henkilökohtaisella tuote-esittelyllä
Yksi perehdytysasiantuntijoistamme opastaa sinua alustamme läpi ja auttaa sinua alkuun luottavaisin mielin.
Miksi valita ISMS.online salassapitosopimusten hallintaan?
ISMS.online tarjoaa käytännön työkaluja salassapitosopimusten ylläpitämiseen koko organisaatiossasi:
- Sopimusrekisteri — Ylläpidä keskitettyä rekisteriä kaikista salassapito- ja salassapitosopimuksista, jotka sisältävät allekirjoittajan tiedot, päivämäärät, versiot ja tarkistusaikataulut
- Digitaalisen allekirjoituksen työnkulut — Myönnä, seuraa ja kerää allekirjoitetut sopimukset sähköisesti ja lähetä automaattisia muistutuksia keskeneräisistä allekirjoituksista
- Versioiden hallinta — Kun sopimuspohjia päivitetään, seuraa, ketkä henkilöstöstä käyttävät uusinta versiota, ja käynnistä uudelleenallekirjoitukset tarvittaessa
- Vanhenemis- ja tarkistushälytykset — Automaattiset ilmoitukset, kun sopimusten tarkistuspäivämäärä lähestyy tai salassapitoajat ovat päättymässä
- Linkitetty käyttöoikeuksien hallintaan — Liitä salassapitosopimukset käyttöoikeusrekisteriisi, jotta henkilötietoihin pääsy myönnetään vasta, kun sopimukset on tehty.
UKK
Kuinka kauan salassapitovelvollisuuksien tulisi olla voimassa?
Täytäntöönpano-ohjeissa edellytetään organisaatioilta velvoitteiden keston määrittämistä. Monissa tapauksissa salassapitovelvollisuudet jatkuvat työsuhteen tai sopimuskauden päättymisen jälkeen – usein kahdesta viiteen vuotta tai erityisen arkaluonteisten tietojen osalta määräämättömäksi ajaksi. Keston tulisi olla oikeassa suhteessa henkilötietojen arkaluontoisuuteen ja niiden paljastamisesta mahdollisesti aiheutuvaan haittaan. Oikeudellista neuvontaa voidaan tarvita täytäntöönpanokelpoisuuden varmistamiseksi asiaankuuluvilla lainkäyttöalueilla.
Voivatko työsopimuslausekkeet korvata erilliset salassapitosopimukset?
Kyllä, edellyttäen, että työsopimus sisältää riittävän yksityiskohtaiset salassapitomääräykset, jotka kattavat erityisesti henkilötiedot, joissa mainitaan velvoitteiden kesto ja jotka ovat yksilön roolin kannalta asianmukaisia. Monet organisaatiot sisällyttävät työsopimuksiin yleisen salassapitolausekkeen ja täydentävät sitä yksityiskohtaisemmalla, erityisesti henkilötietoja koskevalla sopimuksella riskialttiissa tehtävissä työskenteleville henkilöstölle. Keskeistä on, että velvoitteet dokumentoidaan ja allekirjoitetaan asiakirjan muodosta riippumatta.
Mitä tapahtuu, jos henkilö kieltäytyy allekirjoittamasta salassapitosopimusta?
Jos henkilö kieltäytyy allekirjoittamasta ja hänen työtehtävänsä edellyttää henkilötietojen käyttöoikeutta, hänelle ei tule myöntää käyttöoikeutta ennen kuin sopimus on tehty. Uusien työntekijöiden kohdalla salassapitosopimuksen allekirjoittamisen tulisi olla työsuhteen ehto tai ainakin ehto henkilötietojen käyttöoikeuksien saamiselle. Nykyisten työntekijöiden osalta organisaation tulisi tehdä yhteistyötä henkilöstöhallinnon ja lakiosaston kanssa tilanteen ratkaisemiseksi, mikä voi edellyttää henkilön uudelleensijoittamista rooliin, joka ei vaadi henkilötietojen käyttöoikeutta.
Dokumentoi salassapitosopimuksen vaatimukset Ilmoitus soveltuvuudesta.
Katso tarkastusevidenssivaatimusten opas mitä luottamuksellisuutta koskevia todisteita tilintarkastajat odottavat.
