ISO 27701 lauseke 7.3.1 – Henkilökohtaisten tunnistetietojen päämiesten velvoitteiden määrittäminen ja täyttäminen
Kohdan 7.3.1 tarkoitus
Organisaatioiden on ensin perustettava ja sitten täysin dokumentoitava omansa juridinen, sääntelyn ja liiketoiminta velvollisuudet PII-päämiehiä kohtaan.
Ohjeet lausekkeesta 7.3.1
Organisaatioiden olisi tarjottava ISO:n "sopivaksi katsomat keinot" täyttääkseen PII-päämiesten tarpeet, mukaan lukien avoimet asiakirjat ja nimetty yhteyspiste.
HUOM. Yhteydenottotapojen tulee olla identtisiä tavoilla, joilla organisaatio kerää henkilökohtaisia tunnistetietoja.
ISO 27701, lauseke 7.3.2 – Tietojen määrittäminen henkilökohtaisten tunnistetietojen päämiehille
Kohdan 7.3.2 tarkoitus
Organisaatioiden on hahmoteltava ja dokumentoitava tiedot, jotka henkilökohtaisten tunnistetietojen päämiehet saavat henkilötietojen käsittelystä.
Ohjeet lausekkeesta 7.3.2
Organisaatioiden tulee hahmotella kategorinen joukko vaatimuksia, jotka määräävät, milloin tiedot on toimitettava PII-päämiehille ja mitä nämä tiedot ovat, esimerkiksi:
- Kerättävien ja käsiteltävien henkilötietojen tarkoitus.
- Yrityksen yhteystiedot.
- Miten ja mistä henkilökohtainen tunniste on saatu.
- Sopimus- ja/tai lakisääteiset vaatimukset.
- Miten suostumus voidaan poistaa.
- PII-siirrot.
- Kuinka tehdä virallinen valitus.
- Miten henkilötietojen käsittelyä koskevat päätökset tehdään.
- Henkilökohtaisten tunnistetietojen säilytysajat.
ISO 27001 helposti
81 %:n etumatka ensimmäisestä päivästä lähtien
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään. Sinun tarvitsee vain täyttää tyhjät kohdat.
ISO 27701, lauseke 7.3.3 – Tietojen toimittaminen henkilökohtaisten tunnistetietojen päämiehille
Kohdan 7.3.3 tarkoitus
Organisaatioiden on toimitettava "selkeät ja helposti saatavilla olevat" tiedot, jotka selvittivät, kuka henkilökohtaisten tunnistetietojen valvoja on ja miten niitä käsitellään.
Ohjeet lausekkeesta 7.3.3
Kaikki tiedot on annettava virheettömästi ja kielellä, jota ihmiset, jotka osaavat lukea, ymmärtävät helposti (esim. ilman ammattikieltä, ei liian teknistä) (katso ISO 27702, kohta 7.3.2).
Asiaankuuluvat ISO 27701 -lausekkeet
- ISO 27701 7.3.2
ISO 27701, lauseke 7.3.4 – Suostumuksen muuttamis- tai peruutusmekanismin tarjoaminen
Kohdan 7.3.4 tarkoitus
Henkilökohtaisia tietoja koskeville henkilöille on tarjottava keino peruuttaa suostumus henkilökohtaisten tunnistetietojen keräämiseen tai käsittelyyn.
Ohjeet lausekkeesta 7.3.4
Perustasolla organisaatioiden on tarjottava mekanismi, joka hahmotellaan henkilökohtaisten tunnistetietojen päämiehen oikeudet, joka haluaa peruuttaa suostumuksensa, sekä ohjeet sen tekemiseen, jotka ovat yhdenmukaisia henkilötietojen keräämiseen käytettyjen menetelmien kanssa (esim. sähköposti, puhelin). .
Henkilökohtaisten tunnistetietojen päämiesten pitäisi myös pystyä "muokkaamaan" suostumusta eli rajoittamaan rekisterinpitäjää suorittamasta tiettyjä toimia, kuten henkilökohtaisten tunnistetietojen poistamista. Tällaiset pyynnöt olisi dokumentoitava suostumuksen poistamista koskevien menettelyjen mukaisesti.
Organisaatioiden tulee sitoutua julkaistuun vastausaikaan kaikkien suostumuspyyntöjen muuttamiseen tai peruuttamiseen.
ISO 27701, lauseke 7.3.5 – Suostumuksen muuttamis- tai peruutusmekanismin tarjoaminen
Kohdan 7.3.5 tarkoitus
PII-päämiehille on annettava mahdollisuus vastustaa henkilötietojensa käsittelyä.
Ohjeet lausekkeesta 7.3.5
Lait vaihtelevat alueittain, mutta joillakin lainkäyttöalueilla henkilökohtaisten tunnistetietojen päämiehillä on oikeus vastustaa henkilökohtaisten tunnistetietojensa käsittelyä.
Organisaatioiden tulisi lähestyä tätä tehtävää kahdella tavalla:
- Dokumentoimalla kaikki lakisääteiset vaatimukset, jotka liittyvät PII-päämiesten esittämiin erityisiin vastalauseisiin.
- Tietojen antaminen päämiehille siitä, kuinka he voivat vastustaa.
Vapauta itsesi laskentataulukoiden vuorten vallasta
Ota käyttöön, laajenna ja skaalaa vaatimustenmukaisuus ilman sotkua. Io antaa sinulle joustavuutta ja luottamusta kasvaa turvallisesti.
ISO 27701, lauseke 7.3.6 – Pääsy, korjaus ja/tai poistaminen
Kohdan 7.3.6 tarkoitus
Organisaatioiden tulee laatia, dokumentoida ja toteuttaa menettelyjä, jotka mahdollistavat henkilötietojen välittäjien pääsy, korjata ja / tai poistaa heidän henkilökohtaisia tunnistetietojaan.
Ohjeet lausekkeesta 7.3.6
Toimenpiteisiin tulee sisältyä mekanismeja, joiden avulla PII-päällikkö voi suorittaa edellä mainitut toiminnot, mukaan lukien kuinka organisaation on ilmoitettava päämiehelle, jos korjauksia ei voida tehdä.
Organisaatioiden tulee sitoutua julkaistuun vastausaikaan kaikille pääsy-, korjaus- tai poistopyynnöille.
On erittäin tärkeää välittää kaikki tällaiset pyynnöt kolmansille osapuolille, joille on siirretty henkilökohtaisia tunnistetietoja (katso ISO 27701, kohta 7.3.7).
PII-päämiehen mahdollisuus pyytää korjauksia tai poistoja määräytyy sen lainkäyttöalueen mukaan, jolla organisaatio toimii. Näin ollen yritysten tulee pysyä ajan tasalla kaikista lainsäädännöllisistä tai säännöksistä tehdyistä muutoksista, jotka säätelevät niiden velvollisuuksia henkilökohtaisia tunnistetietoja kohtaan.
Asiaankuuluvat ISO 27701 -lausekkeet
- ISO 27701 7.3.7
ISO 27701, kohta 7.3.7 – Henkilökohtaisten tunnistetietojen valvojien velvollisuudet ilmoittaa kolmansille osapuolille
Kohdan 7.3.7 tarkoitus
Ajoittain saattaa ilmetä tarve jakaa henkilökohtaisia tunnistetietoja kolmansien osapuolten kanssa (oikeaa kanavia käyttäen).
Organisaatioiden on ilmoitettava tällaisille yrityksille kaikista jaettuihin henkilötietoihin liittyvistä muutospyynnöistä, suostumuksen peruutuksista tai vastalauseista.
Ohjeet lausekkeesta 7.3.7
Organisaatioiden tulee käyttää asianmukaisia teknisiä kanavia varmistaakseen, että kolmannet osapuolet saavat tiedot nopeasti ja tarkasti sekä alueellisten lakien tai säännösten vaatimusten mukaisesti.
Organisaatioiden tulee mahdollisuuksien mukaan siirtää tämä tehtävä erityishenkilölle ja ryhtyä toimiin varmistaakseen, että tällaiset pyynnöt on kuitattu.
ISO 27701, lauseke 7.3.8 – Kopion toimittaminen käsitellyistä henkilökohtaisista tiedoista
Kohdan 7.3.8 tarkoitus
On erittäin tärkeää, että organisaatiot pystyvät toimittamaan pyynnöstä kopion kaikista käsitellyistä henkilökohtaisista tiedoista.
Ohjeet lausekkeesta 7.3.8
ISO vaatii organisaatioita toimittamaan kopion henkilökohtaisista tiedoista käyttäjäystävällisessä muodossa, joka on helposti PII-päämiehen saatavilla.
Organisaatioiden on huolehdittava siitä, että kaikki annetut tiedot liittyvät asiaan Yksin sitä pyytäneelle PII-päällikölle.
Henkilökohtaisten tunnistetietojen tunnistamista koskevat lait vaihtelevat alueittain, mutta jos henkilökohtaisten tunnistetietojen tunnistaminen on poistettu, organisaatioiden ei tule yrittää tunnistautua uudelleen, ellei laki sitä vaadi.
Organisaatioiden tulisi myös selvittää tapoja siirtää henkilökohtaisia tunnistetietoja suoraan toiselle organisaatiolle pyydettäessä.
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.
ISO 27701, lauseke 7.3.9 – Käsittelypyynnöt
Kohdan 7.3.9 tarkoitus
Organisaatioiden on noudatettava konkreettisia menettelyjä, jotka säätelevät, kuinka niiden tulee vastata henkilökohtaisten tunnistetietojen päämiesten pyyntöihin.
Ohjeet lausekkeesta 7.3.9
Pyynnöt voivat vaihdella (mutta ei rajoittuen) PII-kopiosta tai valituksen jättämisestä, ja ne tulee käsitellä julkaistun vastausajan kuluessa, jossa otetaan huomioon pyynnön luonne.
Lainkäyttöalueesta riippuen organisaatiot voivat periä myös käsittelymaksun, mutta tämä rajoittuu yleensä liiallisiin tai toistuviin pyyntöihin.
ISO 27701, lauseke 7.3.10 – Automatisoitu päätöksenteko
Kohdan 7.3.10 tarkoitus
Organisaatioiden tulee kohdistaa kaikki lailliset velvoitteet henkilökohtaisten tunnistetietojen päättäjiin, jotka liittyvät henkilötietojen automaattiseen käsittelyyn.
Ohjeet lausekkeesta 7.3.10
Organisaatioiden tulisi ottaa huomioon lainkäyttövallan vaihtelut henkilökohtaisia tunnistetietoja koskevassa automatisoidussa päätöksenteossa – tarkemmin sanottuna sallimalla PII-päämiesten vastustaa ja pyytämällä ihmisen väliintuloa automaattisten menettelyjen sijaan.
GDPR-artikkeleita tukevat
Useita ISO 27701 lausekkeen 7.3 elementtejä sovelletaan Yhdistyneessä kuningaskunnassa GDPR lainsäädäntöä. Katso alla olevasta taulukosta vastaavia viitteitä.
| ISO 27701 -lausekkeen tunniste | ISO 27701 -lausekkeen nimi | Asiaan liittyvät GDPR-artikkelit |
|---|---|---|
| 7.3.1 | PII-päämiehiä koskevien velvollisuuksien määrittäminen ja täyttäminen | Artikkeli (12) |
| 7.3.2 | Tietojen määrittäminen PII-päämiehille | Tavarat (11), (13), (14), (15), (18), (21) |
| 7.3.3 | Tietojen antaminen henkilökohtaisten tunnistetietojen päämiehille | Tavarat (11), (12), (13), (21) |
| 7.3.4 | Suostumuksen muuttamis- tai peruutusmekanismin tarjoaminen | Tavarat (7), (13), (14), (18) |
| 7.3.5 | Mekanismin tarjoaminen henkilökohtaisten tunnistetietojen käsittelyyn | Tavarat (13), (14), (21) |
| 7.3.6 | Pääsy, korjaus ja/tai poisto | Tavarat (5), (13), (14), (16), (17) |
| 7.3.7 | Henkilökohtaisten tunnistetietojen valvojien velvollisuudet ilmoittaa kolmansille osapuolille | Artikkeli (19) |
| 7.3.8 | Toimitetaan kopio käsitellyistä henkilökohtaisista tunnisteista | Tavarat (15), (20) |
| 7.3.9 | Pyyntöjen käsittely | Tavarat (12), (15) |
| 7.3.10 | Automatisoitu päätöksenteko | Tavarat (13), (14), (22) |
Miten ISMS.online auttaa
ISMS.online-alusta tarjoaa integroitua apua jokaisessa vaiheessa ja ISO 27701 -standardin 'Ota käyttöön, mukauta, lisää' -toteutustapaamme prosessin helpottamiseksi.
Hyödyt myös useista aikaa säästävistä ominaisuuksista.
Jos jostain syystä koet itseluottamuksen, kyvyn tai halun puuttua matkallasi kohti ISO 27701 -standardia, voimme tarjota oman asiantuntijatiimimme saataville tai suositella jotakin luotetuista kumppaneistamme tehostamaan työtäsi.
Lisätietoja: varata demo.
