ISO 27701 lauseke 7.4.1 – Limit Collection
Kohdan 7.4.1 tarkoitus
Organisaatioiden tulisi rajoittaa henkilökohtaisten tunnistetietojen keräämistä kolmen tekijän perusteella:
- Merkityksellisyys.
- Suhteellisuus.
- Välttämättömyys.
Ohjeet lausekkeesta 7.4.1
Organisaatioiden tulee kerätä henkilökohtaisia tunnistetietoja – joko suoraan tai epäsuorasti – vain edellä mainittujen tekijöiden mukaisesti ja vain niihin tarkoituksiin, jotka ovat merkityksellisiä ja tarpeellisia niiden ilmoittaman tarkoituksen kannalta.
Periaatteessa "yksityisyyttä oletusarvoisesti" tulisi noudattaa, eli kaikki valinnaiset toiminnot tulisi poistaa oletusarvoisesti käytöstä.
ISO 27701, lauseke 7.4.2 – Limit Processing
Kohdan 7.4.2 tarkoitus
ISO 27701 7.4.1 -standardin mukaisesti organisaatioiden tulee käsitellä henkilökohtaisia tunnistetietoja vain, jos se on olennaista, oikeasuhteista ja välttämätöntä tietyn tarkoituksen saavuttamiseksi.
Ohjeet lausekkeesta 7.4.2
Henkilötietojen käsittely sisältää:
- Julkistamista.
- Varastointi.
- Saavutettavuus.
Kaikki edellä mainitut toiminnot tulisi suorittaa vähimmäistasoilla, jotka vaaditaan tavoitteen saavuttamiseksi.
Organisaatioiden tulee rajoittaa henkilökohtaisten tunnistetietojen käsittelyä julkaistujen tietoturvaprosessien, -käytäntöjen ja -menettelyjen yhteydessä (katso ISO 27701, kohta 6.2).
Asiaankuuluvat ISO 27701 -lausekkeet
- ISO 27701 6.2
Hanki 81 % etumatka
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.
ISO 27701, lauseke 7.4.3 – Tarkkuus ja laatu
Kohdan 7.4.3 tarkoitus
Organisaatioiden tulee ryhtyä toimiin varmistaakseen, että henkilökohtaisia tietoja on tarkka, täydellinen ja ajanmukainen, koko sen elinkaaren ajan.
Ohjeet lausekkeesta 7.4.3
Organisaation tietoturvakäytäntöjen ja teknisten konfiguraatioiden tulee sisältää vaiheita, jotka pyrkivät minimoimaan virheet koko PII-käsittelyn aikana, mukaan lukien säädöt, joilla epätarkkuuksiin reagoidaan.
ISO 27701, lauseke 7.4.4 – Henkilökohtaisten tunnistetietojen minimointitavoitteet
Kohdan 7.4.4 tarkoitus
Organisaatioiden on luotava "tietojen minimointi" -menettelyjä, mukaan lukien mekanismit, kuten tunnistamisen poistaminen.
Ohjeet lausekkeesta 7.4.4
Tietojen minimointia tulisi käyttää sen varmistamiseksi, että henkilökohtaisten tunnistetietojen kerääminen ja käsittely rajoitetaan kunkin toiminnon "tunnistettuun tarkoitukseen" (katso ISO 27701, kohta 7.2.1).
Suuri osa tästä prosessista sisältää sen dokumentoimisen, missä määrin henkilökohtaisten tunnistetietojen päämiestietojen pitäisi olla suoraan luettavissa heille ja kuinka minimointi on saavutettava useilla käytettävissä olevilla menetelmillä.
Organisaatioiden tulee hahmotella erityiset tekniikat, joita käytetään henkilökohtaisten tunnistetietojen päämiesten tunnistamiseen, kuten:
- Satunnaistaminen.
- Melun lisäys.
- Yleistys.
- Attribuutin poisto.
Asiaankuuluvat ISO 27701 -lausekkeet
- ISO 27701 7.2.1
ISO 27701, lauseke 7.4.5 – henkilökohtaisten tunnistetietojen poistaminen ja poistaminen käsittelyn lopussa
Kohdan 7.4.5 tarkoitus
Organisaatioiden on joko tuhottava kokonaan kaikki henkilötiedot, jotka eivät enää täytä tarkoitusta, tai muutettava niitä tavalla, joka estää kaikenlaisen pääasiallisen tunnistamisen.
Ohjeet lausekkeesta 7.4.5
Heti kun organisaatio on todennut, että henkilökohtaisia tunnistetietoja ei tarvitse käsitellä jatkossa, tiedot tulee toimittaa Poistetaan or de-identifioituolosuhteiden mukaan.
Vaatimustenmukaisuuden ei tarvitse olla monimutkaista.
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.
ISO 27701 lauseke 7.4.6 – Väliaikaiset tiedostot
Kohdan 7.4.6 tarkoitus
Väliaikaisia tiedostoja luodaan useista teknisistä syistä henkilötietojen käsittelyn ja keräämisen elinkaaren aikana useissa sovelluksissa, järjestelmissä ja suojausalustoissa.
Organisaatioiden on varmistettava, että nämä tiedostot tuhotaan kohtuullisessa ajassa virallisen säilytyspolitiikan mukaisesti.
Ohjeet lausekkeesta 7.4.6
Yksinkertainen tapa tunnistaa tällaisten tiedostojen olemassaolo on suorittaa väliaikaisten tiedostojen säännöllisiä tarkistuksia verkossa. Väliaikaiset tiedostot sisältävät usein:
- Tietokannan päivitystiedostot.
- Välimuistissa olevat tiedot.
- Sovellusten ja räätälöityjen ohjelmistopakettien luomat tiedostot.
Organisaatioiden tulee noudattaa ns roskien keräysmenettely joka poistaa väliaikaiset tiedostot, kun niitä ei enää tarvita.
ISO 27701, lauseke 7.4.7 – Säilyttäminen
Kohdan 7.4.7 tarkoitus
On elintärkeää, että organisaatiot tunnustavat velvollisuutensa poistaa ja/tai hävittää henkilökohtaisia tunnistetietoja, jotka eivät ole enää tarpeellisia määritellyn tarkoituksen saavuttamiseksi.
Ohjeet lausekkeesta 7.4.7
Organisaatioiden tulee laatia ja noudattaa kategorisia säilytysaikatauluja, joissa määritellään tarkka ajanjakso, jonka PII-päälliköt voivat odottaa tietojensa säilyttävän.
Säilytysaikataulut tulee räätälöidä kaikkien lakisääteisten, lakisääteisten tai sopimusperusteisten vaatimusten mukaisesti, jotka määräävät, kuinka kauan henkilökohtaisia tunnistetietoja tulee säilyttää tietyllä alustalla.
ISO 27701, kohta 7.4.8 – Hävittäminen
Kohdan 7.4.8 tarkoitus
Organisaatioilla on oltava selkeät käytännöt ja menettelyt, jotka ohjaavat henkilötietojen hävittämistä.
Ohjeet lausekkeesta 7.4.8
Tietojen hävittäminen on laaja-alainen aihe, joka sisältää joukon erilaisia muuttujia, jotka perustuvat vaadittavaan hävitystekniikkaan ja hävitettävän tiedon luonteeseen.
Organisaatioiden on otettava huomioon:
- Mitä henkilökohtainen tunniste sisältää.
- Kaikki jäljellä olevat metatiedot, jotka on poistettava päätietojen rinnalla.
- Tallennusvälineen tyyppi, jolla henkilökohtaisia tunnistetietoja säilytetään.
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia
ja määräykset, mikä antaa sinulle yhden
alusta kaikkiin vaatimustenmukaisuustarpeisiisi.
ISO 27701, lauseke 7.4.9 – PII-lähetyksen hallinta
Kohdan 7.4.9 tarkoitus
Kaikki henkilökohtaiset tiedot, jotka on asetettu siirrettäväksi kolmannen osapuolen organisaatiolle, tulee tehdä mahdollisimman huolellisesti lähetettävän tiedon suhteen turvallisia keinoja käyttäen.
Ohjeet lausekkeesta 7.4.9
Organisaatioiden on varmistettava, että vain valtuutetut henkilöt pääsevät käsiksi siirtojärjestelmiin, ja he tekevät sen helposti auditoitavalla tavalla, ja ainoana tarkoituksena on saada tiedot sinne minne ne on mentävä ilman tapauksia.
GDPR-artikkeleita tukevat
Useita ISO 27701 lausekkeen 7.4 elementtejä sovelletaan Yhdistyneessä kuningaskunnassa GDPR lainsäädäntöä. Katso alla olevasta taulukosta vastaavia viitteitä.
| ISO 27701 -lausekkeen tunniste | ISO 27701 -lausekkeen nimi | Asiaan liittyvät GDPR-artikkelit |
|---|---|---|
| 7.4.1 | Limit Collection | Artikkeli (5) |
| 7.4.2 | Rajoita käsittelyä | Artikkeli (25) |
| 7.4.3 | Tarkkuus ja laatu | Artikkeli (5) |
| 7.4.4 | PII-minimointitavoitteet | Artikkeli (5) |
| 7.4.5 | Henkilökohtaisten tunnistetietojen poistaminen ja poistaminen käsittelyn lopussa | Tavarat (5), (6), (11), (32) |
| 7.4.6 | Väliaikaiset tiedostot | Artikkeli (5) |
| 7.4.7 | Säilyttäminen | Tavarat (13), (14) |
| 7.4.8 | hävittäminen | Artikkeli (5) |
| 7.4.9 | PII-lähetyksen säätimet | Artikkeli (5) |
Miten ISMS.online auttaa
ISMS.online-alusta tarjoaa integroitua apua jokaisessa vaiheessa ja ISO 27701 -standardin 'Ota käyttöön, mukauta, lisää' -toteutustapaamme prosessin helpottamiseksi.
Hyödyt myös useista aikaa säästävistä ominaisuuksista.
Jos jostain syystä koet itseluottamuksen, kyvyn tai halun puuttua matkallasi kohti ISO 27701 -standardia, voimme tarjota oman asiantuntijatiimimme saataville.
Lisätietoja: varata demo.
Hyppää aiheeseen
