ISO 27701:n lausekkeen 8.2 ymmärtäminen: Laillisen tietojenkäsittelyn ehdot
ISO 27701 -standardin lausekkeen 8.2 noudattaminen varmistaa, että organisaatiot toimivat laillisesti kerätessään ja käsitellessä henkilökohtaisia tunnistetietoja ja noudattavat kaikkia voimassa olevia lakeja tai määräyksiä, missä ne käsittelevät henkilökohtaisia tunnistetietoja.
ISO 27701 lauseke 8.2.1 – Asiakassopimus
Kohdan 8.2.1 tarkoitus
Henkilötietojen käsittelystä tulee tehdä sopimuksia, joissa huomioidaan organisaation tarve auttaa asiakasta ja hänen velvollisuutensa.
Ohjeet lausekkeesta 8.2.1
Sopimuksiin tulee sisältyä:
- Käsite "suunniteltu yksityisyys" (katso ISO 27701, lausekkeet 7.4 ja 8.4).
- Miten organisaatio aikoo saavuttaa käsittelyn turvallisuuden.
- Miten rikkomuksista ilmoitetaan, mukaan lukien asiakkaat, päämiehet ja sääntelyviranomaiset.
- Miten tietosuojavaikutusten arviointeja tulee käsitellä.
- Vahvistus organisaation aikomuksesta auttaa henkilökohtaisia tunnistetietoja suojaavia viranomaisia.
Asiaankuuluvat ISO 27701 -lausekkeet
- ISO 27701 7.4
- ISO 27701 8.4
ISO 27701 lauseke 8.2.2 – Organisaation tarkoitukset
Kohdan 8.2.2 tarkoitus
Henkilökohtaisia tunnistetietoja tulee alusta alkaen käsitellä vain asiakkaan ohjeiden mukaisesti.
Ohjeet lausekkeesta 8.2.2
Sopimuksiin tulee sisältyä keskinäisiin tavoitteisiin liittyvät SLA-sopimukset ja niihin liittyvät aikataulut, joiden kuluessa ne on täytettävä.
Organisaatioiden tulee tunnustaa oikeutensa valita henkilökohtaisten tunnistetietojen käsittelyyn käytettävät erilliset menetelmät, joilla saavutetaan laillisesti asiakkaan etsimä, mutta ilman tarvetta hankkia yksityiskohtaisia lupia organisaation tekniseen käsittelyyn.
Vaatimustenmukaisuuden ei tarvitse olla monimutkaista.
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.
ISO 27701, lauseke 8.2.3 – Markkinoinnin ja mainonnan käyttö
Kohdan 8.2.3 tarkoitus
Organisaatioiden on hankittava lupa PII-periaatteesta ennen kuin ne käyttävät tietoja markkinointi- tai mainontatarkoituksiin, ja varmistettava, että tällaisen käytön hyväksyminen ei ole edellytys henkilötietojen käsittelylle.
Ohjeet lausekkeesta 8.2.3
Markkinointi- ja mainontamääräykset tulee dokumentoida selvästi kaikissa sopimuksissa tai palvelusopimuksissa edellä mainitun tarkoituksen mukaisesti.
Organisaatioiden tulisi hakea "nimenomainen suostumus", joka perustuu avoimeen ja ajantasaiseen kuvaukseen siitä, miten henkilökohtaisia tunnistetietoja tulee käyttää.
ISO 27701:n lauseke 8.2.4 – Loukkaava ohje
Kohdan 8.2.4 tarkoitus
Organisaatioiden on kerrottava äänekkäästi kaikista asiakkaan antamista käsittelyohjeista, jotka ovat lain tai määräysten vastaisia.
Ohjeet lausekkeesta 8.2.4
Organisaatioiden on ylläpidettävä perusteellista toimintaymmärrystä siitä, kuinka ohjeet voivat olla ristiriidassa sovellettavan lainsäädännön tai säännösten kanssa.
Rikkomukset tapahtuvat yleensä kolmen tekijän ympärillä.
- Miten tekniikkaa käytetään.
- Ohjeen lähtökohta.
- Kaikki sopimusvelvoitteet.
ISO 27701, kohta 8.2.5 – Asiakkaan velvollisuudet
Kohdan 8.2.5 tarkoitus
Organisaatioiden tulee pystyä tarjoamaan asiakkailleen riittävästi tietoa, jotta asiakkaat voivat täyttää velvoitteensa kulloinkin.
Ohjeet lausekkeesta 8.2.5
Vaadittu tieto voi sisältää monenlaisia toimintoja, mutta yleensä liittyy sisäisiin auditointeihin ja organisaation rooliin niiden edistämisessä tiedon toimittamisen kautta.
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia
ja määräykset, mikä antaa sinulle yhden
alusta kaikkiin vaatimustenmukaisuustarpeisiisi.
ISO 27701, lauseke 8.2.6 – Henkilökohtaisten tunnistetietojen käsittelyyn liittyvät tietueet
Kohdan 8.2.6 tarkoitus
Organisaatioiden tulee säilyttää tarkkoja ja ajantasaisia tietoja, joiden avulla ne voivat milloin tahansa todistaa henkilötietojen käsittelyyn liittyvien sopimusvelvoitteiden noudattamisen.
Ohjeet lausekkeesta 8.2.6
Lainkäyttöalueesta riippuen tietueet saattavat edellyttää:
- Kategoriset käsittelyluettelot asiakaskohtaisesti.
- Kaikki tiedonsiirrot muihin maihin tai kansainvälisiin järjestöihin.
- Tekniset turvatarkastukset.
GDPR-artikkeleita tukevat
Useita ISO 27701 lausekkeen 8.2 elementtejä sovelletaan Yhdistyneessä kuningaskunnassa GDPR lainsäädäntöä. Katso alla olevasta taulukosta vastaavia viitteitä.
| ISO 27701 -lausekkeen tunniste | ISO 27701 -lausekkeen nimi | Asiaan liittyvät GDPR-artikkelit |
|---|---|---|
| 8.2.1 | Asiakassopimus | Tavarat (28), (35) |
| 8.2.2 | Organisaation tavoitteet | Tavarat (5), (28), (29), (32) |
| 8.2.3 | Markkinoinnin ja mainonnan käyttö | Artikkeli (7) |
| 8.2.4 | Loukkaava ohje | Artikkeli (28) |
| 8.2.5 | Asiakkaan velvollisuudet | Artikkeli (28) |
| 8.2.6 | Henkilökohtaisten tunnistetietojen käsittelyyn liittyvät tietueet | Artikkeli (30) |
Miten ISMS.online auttaa
ISMS.online-alusta tarjoaa integroitua apua jokaisessa vaiheessa ja ISO 27701 -standardin 'Ota käyttöön, mukauta, lisää' -toteutustapaamme prosessin helpottamiseksi. Hyödyt myös useista aikaa säästävistä ominaisuuksista.
Teemme tietojen kartoittamisesta yksinkertaisen tehtävän. Kaiken tallentaminen ja tarkistaminen on helppoa, kun lisäät organisaatiosi tiedot valmiiksi määritettyyn dynaamiseen Records of Processing Activity -työkaluun.
Sinun on osoitettava, kuinka hyvin hallitset Data Subject Rights Requests (DRR) -pyyntöjä. Suojattu DRR-tilamme pitää kaiken yhdessä paikassa ja tukee sitä automaattisella raportoinnilla ja oivalluksilla.
Erilaisia tietosuoja-arviointeja on helppo määrittää ja suorittaa tietosuojavaikutusten arvioinneista sääntelyyn tai vaatimustenmukaisuusvalmiuksiin.
Lisätietoja: varata demo.
Hyppää aiheeseen
