Yksityisyyden varmistaminen suunniteltuna ja yksityisyyden oletuksena ISO 27701 lausekkeessa 8.4
ISO 27701:n lauseke 8.4 varmistaa, että organisaation henkilökohtaisten tunnistetietojen keruu- ja käsittelytoiminnot rajoittavat ponnistelut vähimmäismäärään, joka vaaditaan tiettyjen tavoitteiden saavuttamiseksi.
ISO 27701 lauseke 8.4.1 – Väliaikaiset tiedostot
Kohdan 8.4.1 tarkoitus
Organisaatioiden on varmistettava, että väliaikaiset tiedostot tuhotaan kohtuullisessa ajassa virallisen säilytyspolitiikan ja selkeiden poistomenettelyjen mukaisesti.
Ohjeet lausekkeesta 8.4.1
Yksinkertainen tapa tunnistaa tällaisten tiedostojen olemassaolo on suorittaa väliaikaisten tiedostojen säännöllisiä tarkistuksia verkossa.
Organisaatioiden tulee noudattaa ns roskien keräysmenettely joka poistaa väliaikaiset tiedostot, kun niitä ei enää tarvita.
ISO 27701 lauseke 8.4.2 – Henkilökohtaisten tunnistetietojen palauttaminen, siirtäminen tai hävittäminen
Kohdan 8.4.2 tarkoitus
Organisaatioilla on oltava konkreettisia suunnitelmia, jotka ohjaavat PII:tä palautettu, siirretty or sijoitettu ja anna kaikki tällaiset käytännöt asiakkaan saataville.
Ohjeet lausekkeesta 8.4.2
On olemassa useita tilanteita, jotka edellyttävät henkilökohtaisten tunnistetietojen hävittämistä, mukaan lukien (mutta ei rajoittuen):
- Mahdollisten henkilökohtaisten tunnistetietojen palauttaminen asiakkaalle.
- PII-tietojen toimittaminen toiselle organisaatiolle.
- Tietojen tuhoaminen.
- Tunnistautuminen.
- Arkistointi.
Organisaatioiden on annettava ehdoton takeet siitä, että kaikki tarpeettomat henkilötiedot tuhotaan voimassa olevan lainsäädännön tai alueellisten ohjeiden mukaisesti.
Kaikkien hävityskäytäntöjen tulee olla asiakkaan saatavilla pyynnöstä, ja niiden on katettava aika, jonka organisaatioiden on tuhottava henkilökohtaiset tiedot sopimuksen päättämisen jälkeen.
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.
ISO 27701, lauseke 8.4.3 – PII-lähetyksen hallinta
Kohdan 8.4.3 tarkoitus
Aina kun tulee tarve välittää henkilökohtaisia tunnistetietoja tietoverkon (mukaan lukien omistettu linkki) kautta, organisaatioiden on huolehdittava siitä, että henkilötiedot saavuttavat oikeat vastaanottajat ajoissa.
Ohjeet lausekkeesta 8.4.3
Siirrettäessä henkilökohtaisia tunnistetietoja tietoverkkojen välillä organisaatioiden tulee:
- Varmista, että vain valtuutetut henkilöt voivat suorittaa siirron.
- Noudata julkaistuja menettelyjä, jotka ohjaavat henkilökohtaisten tunnistetietojen siirtoa organisaatiosta kolmannelle osapuolelle.
- Säilytä kaikki tarkastustiedot.
- Sisällytä siirtovaatimukset asiakkaan sopimukseen.
- Keskustele asiakkaan kanssa ennen siirtoa, jos kirjallisia tai sopimusehtoja ei ole.
GDPR-artikkeleita tukevat
Useita ISO 27701 lausekkeen 8.4 elementtejä sovelletaan Yhdistyneessä kuningaskunnassa GDPR lainsäädäntöä. Katso alla olevasta taulukosta vastaavia viitteitä.
| ISO 27701 -lausekkeen tunniste | ISO 27701 -lausekkeen nimi | Asiaan liittyvät GDPR-artikkelit |
|---|---|---|
| 8.4.1 | Väliaikaiset tiedostot | Artikkeli (5) |
| 8.4.2 | Henkilökohtaisten tunnistetietojen palauttaminen, siirto tai hävittäminen | Tavarat (28), (30) |
| 8.4.3 | PII-lähetyksen säätimet | Artikkeli (5) |
Miten ISMS.online auttaa
ISMS.online-alusta tarjoaa integroitua apua jokaisessa vaiheessa ja ISO 27701 -standardin 'Ota käyttöön, mukauta, lisää' -toteutustapaamme prosessin helpottamiseksi. Hyödyt myös useista aikaa säästävistä ominaisuuksista.
Olemme luoneet sisäänrakennetun riskipankin ja joukon muita käytännön työkaluja, jotka auttavat kaikissa riskinarviointi- ja hallintaprosessin osissa.
Olet valmis, kun pahin tapahtuu. Teemme rikkomusten työnkulkusi suunnittelusta ja viestimisestä helppoa sekä dokumentoimme ja opimme jokaisesta tapauksesta.
Lisätietoja: varata demo.
