ISO 27701:n lausekkeen 7.2 ymmärtäminen: Henkilötietojen laillisen käsittelyn ehdot
ISO 27701:n lauseke 7.2 (Keräyksen ja käsittelyn ehdot) sisältää ohjeita siitä, miten voidaan todistaa ja dokumentoida, että organisaation henkilötietojen käsittelytoimet ovat laillisia ja toimivat asianmukaisten laillisten rajojen sisällä.
Tässä on yhteenveto ISO:n lausekohtaisista ohjeista sekä vastaava Yhdistynyt kuningaskunta GDPR lainaukset (sivun alareunassa linkitetyt lainaukset).
Huomaa, että GDPR-viitteet ovat vain ohjeellisia. Organisaatioiden tulee tutkia lainsäädäntöä ja tehdä omat arvionsa siitä, mitä lain osia niihin sovelletaan.
ISO 27701, lauseke 7.2.1 – Tunnista ja dokumentoi tarkoitus
Kohdan 7.2.1 tarkoitus
Organisaatioiden on ensin tunnistettava ja sitten kirjattava tarkat syyt käyttämiensä henkilökohtaisten tunnistetietojen käsittelyyn.
Ohjeet lausekkeesta 7.2.1
PII-päämiesten on oltava täysin perillä kaikista eri syistä, miksi heidän henkilökohtaisia tunnistetietojaan käsitellään.
Organisaation vastuulla on välittää nämä syyt PII-päämiehille sekä "selkeä lausunto" siitä, miksi heidän on käsiteltävä tietojaan.
Kaikkien asiakirjojen on oltava selkeitä, kattavia ja helposti ymmärrettäviä kaikkien niitä lukevien henkilökohtaisten tunnistetietojen päämiesten – mukaan lukien kaiken suostumukseen liittyvän – sekä kopiot sisäisistä menettelyistä (katso ISO 27701:n kohdat 7.2.3, 7.3.2 ja 7.2.8).
Asiaankuuluvat ISO 27701 -lausekkeet
- ISO 27701 7.2.3
- ISO 27701 7.3.2
- ISO 27701 7.2.8
Hanki 81 % etumatka
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.
ISO 27701 lauseke 7.2.2 – Tunnista laillinen perusta
Kohdan 7.2.2 tarkoitus
Lainkäyttöalueesta riippuen organisaatiot voivat joutua todistaa, että heidän henkilötietojen käsittelytoimintansa on laillista ennen kuin ne alkavat.
Ohjeet lausekkeesta 7.2.2
Luodakseen oikeusperustan henkilökohtaisten tunnistetietojen käsittelylle organisaatioiden tulee:
- Pyydä lupa PII-päämiehiltä.
- Laadi sopimus.
- Noudata monia muita lakisääteisiä velvoitteita.
- Suojaa eri PII-päämiesten "tärkeitä etuja".
- Varmista, että suoritettavat tehtävät ovat yleisen edun mukaisia.
- Vahvista, että henkilötietojen käsittely on oikeutettu etu.
Organisaatioiden tulee pystyä tarjoamaan dokumentoitu vahvistus jokaisesta edellä mainitusta kohdasta.
Organisaatioiden on myös otettava huomioon niiden organisaatioon liittyvät PII-erikoisluokat niiden tietojen luokitusjärjestelmässä (katso ISO 27701, kohta 7.2.8) (luokitukset voivat vaihdella alueittain).
Jos organisaatiot kokevat muutoksia henkilökohtaisten tunnistetietojen käsittelyn taustalla olevissa syissä, tämän tulee välittömästi näkyä niiden dokumentoidussa oikeusperustassa.
Asiaankuuluvat ISO 27701 -lausekkeet
- ISO 27701 7.2.8
ISO 27701 lauseke 7.2.3 – Määritä, milloin ja miten suostumus on hankittava
Kohdan 7.2.3 tarkoitus
Organisaatioiden on pystyttävä osoittamaan tämä suostumus käsittelyyn on saatu laillisesti PII-päämiehiltä.
Ohjeet lausekkeesta 7.2.3
Organisaatioiden tulee pystyä dokumentoimaan syyt suostumuksen hakemiseen ja miten se hankitaan.
Henkilökohtaisia tunnistetietoja koskevat määräykset vaihtelevat alueittain, joten organisaatioiden on oltava jatkuvasti tietoisia kaikista paikallisista ja/tai kansallisista lakeista ja määräyksistä, jotka voivat ohjata suostumuksen saamista, sekä tiettyihin tietotyyppeihin (esim. lapset) liittyvät erityisehdot.
ISO 27701, lauseke 7.2.4 – Hanki ja kirjaa suostumus
Kohdan 7.2.4 tarkoitus
Kun organisaatiot ovat todenneet, että suostumus vaaditaan, sen on hankittava suostumus yksilöllisten vaatimustensa mukaisesti.
Ohjeet lausekkeesta 7.2.4
Organisaatioiden on kerättävä suostumus tavalla, jonka avulla henkilökohtaisten tunnistetietojen kohteiden on helppo pyytää tietoja siitä, miten se on saatu (aikaleimat, kuka pyysi jne.) (katso ISO 27701, kohta 7.3.3).
Suostumus perustuu kolmeen oikeudelliseen määräykseen: sen on oltava tarjotaan vapaasti, jotka liittyvät käsittelyn syy ja tarkoituksessaan selvä.
Vaatimustenmukaisuuden ei tarvitse olla monimutkaista.
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.
ISO 27701, lauseke 7.2.5 – Tietosuojavaikutusten arviointi
Kohdan 7.2.5 tarkoitus
Tietosuojavaikutusten arvioinnin avulla organisaatiot voivat mitata tietoturvavaikutuksia uusien henkilökohtaisten tunnistetietojen käsittelyn tai olemassa olevien tietojen käsittelytavan muuttamisen yhteydessä.
Ohjeet lausekkeesta 7.2.5
Henkilötietojen käsittely on riskialtis liiketoimintatoiminto, joka on arvioitava perusteellisesti, jotta voidaan varmistaa käsiteltävien tietojen eheys, aitous ja laillisuus.
Lainkäyttöalueesta riippuen joidenkin organisaatioiden on noudatettava kategorista luetteloa skenaarioista, joissa vaaditaan tietosuojavaikutusten arviointi, kuten:
- Automaattinen päätöksenteko.
- Yritystason erityisten PII-luokkien käsittely.
- Suurten julkisten alueiden valvonta.
Organisaatioiden on määritettävä, mikä on riittävä vaikutustenarviointi, mukaan lukien (mutta ei rajoittuen):
- Millaisia henkilökohtaisia tunnistetietoja tallennetaan.
- Missä sitä säilytetään.
- Mihin se voidaan siirtää.
ISO 27701 lauseke 7.2.6 – Sopimukset henkilökohtaisten tunnistetietojen prosessorien kanssa
Kohdan 7.2.6 tarkoitus
Organisaatioiden on tehtävä kirjalliset, sitovat sopimukset kaikkien käyttämiensä ulkoisten henkilötietojen käsittelijöiden kanssa.
Ohjeet lausekkeesta 7.2.6
Kaikissa sopimuksissa on varmistettava, että henkilötietojen käsittelijä toteuttaa kaikki vaaditut ISO 27701 -standardin liitteen B sisältämät tiedot, kiinnittäen erityistä huomiota riskinarvioinnin valvontaan (ISO 27701:n kohta 5.4.1.2) ja käsittelytoimintojen yleiseen laajuuteen (katso ISO 27701 -standardin kohta 6.12). )
Organisaatioiden on kyettävä perustelemaan liitteeseen B sisältyvien hallintatoimintojen pois jättäminen suhteessaan henkilötietojen prosessoriin (katso ISO 27701, kohta 5.4.1.3).
ISO 27701, lauseke 7.2.7 – Yhteinen PII-ohjain
Kohdan 7.2.7 tarkoitus
Organisaatioiden on esitettävä yksityiskohdat kaikista yhteisistä henkilökohtaisten tunnistetietojen käsittelyjärjestelyistä mukana tulevan henkilötietojen rekisterinpitäjän kanssa – tämä sisältää yleiset suojatoimenpiteet ja kaikki niihin liittyvät turvallisuusvaatimukset.
Ohjeet lausekkeesta 7.2.7
Roolien ja vastuiden on oltava selkeitä ja yksiselitteisiä, ja ne on määriteltävä oikeudellisesti sitovassa asiakirjassa (jota joskus kutsutaan "tiedonjakosopimukseksi").
Sopimukset voivat sisältää (muiden toimenpiteiden ohella):
- Miksi henkilökohtaisia tunnistetietoja jaetaan.
- Tietoluokat.
- Yleiskatsaus henkilökohtaisten tunnistetietojen käsittelystä.
- Kaikki asiaankuuluvat roolit ja vastuut.
- Kuinka yksityisyyden tietoturvaa tulee hallita.
- Mihin toimiin tulee ryhtyä tietoturvaloukkauksen sattuessa.
- Kuinka henkilötiedot säilytetään ja tuhotaan, kun niitä ei enää tarvita.
- Mitä tapahtuu, jos jompikumpi osapuoli rikkoo sopimusta.
- Mitkä ovat jommankumman osapuolen velvollisuudet PII-päämiehiä kohtaan?
- Mitä mekanismeja on käytössä, jotta PII-päämiehille voidaan toimittaa yhteisen sopimuksen sovellettavat tiedot?
- Kuinka henkilökohtaisten tunnistetietojen päälliköt voivat tehdä virallisia pyyntöjä ja kuinka muotoilla ja toimittaa vastaus.
- Yhteyspisteet – sekä sisäisesti että PII-päämiehille hyödynnettävissä.
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia
ja määräykset, mikä antaa sinulle yhden
alusta kaikkiin vaatimustenmukaisuustarpeisiisi.
ISO 27701, lauseke 7.2.8 – Henkilökohtaisten tunnistetietojen käsittelyyn liittyvät tietueet
Kohdan 7.2.8 tarkoitus
Organisaatioiden on ylläpidettävä perusteellisia tietueita, jotka tukevat sen toimia ja velvollisuuksia henkilötietojen käsittelijänä.
Ohjeet lausekkeesta 7.2.8
Tietueilla (tunnetaan myös nimellä "varastoluettelot") tulee olla valtuutettu omistaja, ja ne voivat sisältää:
- Operatiivinen – suoritettavan henkilötietojen käsittelyn tyyppi.
- Perustelut – miksi henkilökohtaisia tunnistetietoja käsitellään.
- Kategorinen – luettelot henkilökohtaisten tunnistetietojen vastaanottajista, mukaan lukien kansainväliset järjestöt.
- Turvallisuus – yleiskatsaus henkilökohtaisten tunnistetietojen suojaamiseen.
- Yksityisyys – eli tietosuojavaikutusten arviointiraportti.
GDPR-artikkeleita tukevat
ISO 27701 -standardin lausekkeen 7.2 eri osia sovelletaan Yhdistyneen kuningaskunnan GDPR-lainsäädännössä. Katso alla olevasta taulukosta vastaavia viitteitä.
| ISO 27701 -lausekkeen tunniste | ISO 27701 -lausekkeen nimi | Asiaan liittyvät GDPR-artikkelit |
|---|---|---|
| 7.2.1 | Tunnista ja dokumentoi tarkoitus | Tavarat (5), (32) |
| 7.2.2 | Tunnista laillinen perusta | Tavarat (5), (6), (8), (9), (10), (17), (18), (22) |
| 7.2.3 | Päätä, milloin ja miten suostumus on hankittava | Artikkeli (8) |
| 7.2.4 | Hanki ja kirjaa suostumus | Tavarat (7)(9) |
| 7.2.5 | Tietosuojavaikutusten arviointi | Tavarat (35), (36) |
| 7.2.6 | Sopimukset henkilötietojen käsittelijöiden kanssa | Tavarat (5), (28) |
| 7.2.7 | Yhteinen PII-ohjain | Artikkeli (26) |
| 7.2.8 | Henkilökohtaisten tunnistetietojen käsittelyyn liittyvät tietueet | Tavarat (5), (24), (30) |
Miten ISMS.online auttaa
ISO 27701:n käyttöönottoprosessi voi olla haastava, varsinkin jos et ole koskaan aiemmin ryhtynyt vastaavaan projektiin. ISMS.online voi auttaa sinua!
ISO 27701 -kehysten avulla yrityksesi voi osoittaa noudattavansa ISO 27701 -standardia.
Tietoturva-asiantuntijamme voivat auttaa sinua luomaan loogisen toteutusmenettelyn, joka noudattaa viitekehystä.
Lisätietoja: varata demo.
Hyppää aiheeseen
