ISO 27701:n lausekkeen 8.5 ymmärtäminen: henkilökohtaisten tunnistetietojen jakaminen, siirtäminen ja paljastaminen
ISO 27701 lauseke 8.5 määrittelee organisaation tavoitteet aina, kun henkilökohtaisia tunnistetietoja on tarkoitus siirtää tai luovuttaa muille maille, organisaatioille ja alihankkijoille.
ISO 27701, lauseke 8.5.1 – henkilökohtaisten tunnistetietojen jakaminen, siirtäminen ja paljastaminen
Kohdan 8.5.1 tarkoitus
Aina kun henkilökohtaisia tunnistetietoja siirretään lainkäyttöalueiden välillä, organisaatioiden on ilmoitettava asiakkaalle taustalla olevasta tarpeesta ajoissa.
Ohjeet lausekkeesta 8.5.1
Henkilökohtaisten tunnistetietojen siirtomääräykset voivat vaihdella alueittain sen mukaan, mihin ja mistä tietoja siirretään.
Siirtokohteita voivat olla:
- Toimittajat.
- Kolmannet osapuolet.
- Eri maat.
- Kansainväliset järjestöt.
Organisaatioiden tulee ilmoittaa asiakkaalle hyvissä ajoin kaikista siirroista, jotta voidaan esittää vastalauseita ja tietyissä olosuhteissa tehdä irtisanomispyyntöjä.
Organisaatioiden ei aina tarvitse ilmoittaa asiakkaille tiedonsiirtojärjestelyjen muutoksista, mutta sopimuksissa tulee selkeästi hahmotella olosuhteet, joissa heidän on annettava ennakkovaroitus.
Siirrettäessä henkilökohtaisia tunnistetietoja toiseen maahan organisaatioiden tulee harkita virallisia mekanismeja, kuten:
- Mallisopimuslausekkeet.
- Yrityksen sitovat säännöt.
- Rajat ylittävät tietosuojasäännöt.
Hanki 81 % etumatka
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.
ISO 27701 lauseke 8.5.2 – Maat ja kansainväliset organisaatiot, joille henkilökohtaisia tunnistetietoja voidaan siirtää
Kohdan 8.5.2 tarkoitus
Organisaatioiden tulee pitää tarkkaa ja ajan tasalla olevaa luetteloa maista tai organisaatioista, joihin henkilökohtaisia tunnistetietoja voidaan siirtää.
Ohjeet lausekkeesta 8.5.2
Asiakkaiden tulee pystyä milloin tahansa tarkastelemaan luetteloa mahdollisista vastaanottajamaista ja organisaatioista, mukaan lukien loki kaikista PII-alihankinnassa mukana olevista maista (katso ISO 27701, kohta 8.5.1).
Tietyissä olosuhteissa organisaatiot eivät aina pysty paljastamaan etukäteen, mistä siirtopyynnöt ovat peräisin – etenkään rikosoikeudellisissa tapauksissa. Tämä on väistämätöntä, ja lainvalvontaoperaation eheyden ylläpitämisen tulisi olla organisaation prioriteetti (katso ISO 27701:n kohdat 7.5.1, 8.5.4 ja 8.5.5).
Asiaankuuluvat ISO 27701 -lausekkeet
- ISO 27701 7.5.1
- ISO 27701 8.5.1
- ISO 27701 8.5.4
- ISO 27701 8.5.5
ISO 27701 -lauseke 8.5.3 – Henkilökohtaisten tunnistetietojen luovuttaminen kolmansille osapuolille
Kohdan 8.5.3 tarkoitus
Organisaatioiden tulee kirjata huolellisesti kaikki tapaukset, joissa niiden on luovutettava henkilökohtaisia tunnistetietoja kolmannelle osapuolelle.
Ohjeet lausekkeesta 8.5.3
Aina kun henkilökohtaisia tunnistetietoja paljastetaan – joko osana normaalia liiketoimintarutiinia tai erityisissä olosuhteissa, kuten meneillään olevassa oikeudellisessa tai sääntelyprosessissa – organisaatioiden tulee kirjata, mitä on paljastettu, vastaanottaja ja sen taustalla oleva syy.
Vaatimustenmukaisuuden ei tarvitse olla monimutkaista.
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.
ISO 27701, lauseke 8.5.4 – Ilmoitus henkilökohtaisten tunnistetietojen paljastamispyynnöistä
Kohdan 8.5.4 tarkoitus
Aina kun organisaatiolle esitetään laillisesti sitova pyyntö paljastaa henkilökohtaisia tunnistetietoja, jos se on sallittua, organisaation tulee ilmoittaa pyynnöstä PII-päällikölle.
Ohjeet lausekkeesta 8.5.4
Organisaatioiden tulee laatia menettely, joka ohjaa tapaa, jolla PII-päämiehille ilmoitetaan laillisesti sitovista kolmansien osapuolien tietopyynnöistä, mukaan lukien kohtuullinen aikaraja ja sopimusehto, joka hahmottaa koko prosessin.
Ennen kaikkea organisaatiot tarvitsevat noudattaa lainvalvontaviranomaisten pyyntöjä, joilla on oikeus pyytää, ettei asiakkaalle ilmoiteta mistään pyynnöstä, ja varmistaa, että he eivät riko lakeja ilmoittamalla asiakkaalle vahingossa tai tahallaan.
ISO 27701, lauseke 8.5.5 – Laillisesti sitovat henkilökohtaisten tunnistetiedot
Kohdan 8.5.5 tarkoitus
Organisaatioiden tulee välittömästi vastustaa kaikkia henkilökohtaisten tunnistetietojen paljastamispyyntöjä, jotka ovat vastoin voimassa olevia tietoturvalakeja tai eivät ole millään tavalla oikeudellisesti sitovia.
PII-päämiehiä tulee kuulla, ennen kuin organisaatio paljastaa henkilökohtaisiin tunnistetietoihin liittyviä tietoja, ja organisaatioiden tulee noudattaa sopimusehtoja, jotka määrittelevät, mitkä tiedot ovat sallittuja asiakkaan näkökulmasta.
Ohjeet lausekkeesta 8.5.5
Sopimuksissa on oltava tarkkoja sen suhteen, mitä ne pitävät laillisina pyyntöinä asiakkaan valtuuttamien pyyntöjen lisäksi, mukaan lukien ne, jotka ovat peräisin:
- Tuomioistuimet.
- Työtuomioistuimet.
- Työriidat.
- Sääntely-/hallintoviranomaiset.
ISO 27701, lauseke 8.5.6 – Laillisesti sitovat henkilökohtaisten tunnistetiedot
Kohdan 8.5.6 tarkoitus
Ennen kuin se ottaa yhteyttä alihankkijoihin, jotka ovat velvollisia käsittelemään henkilökohtaisia tunnistetietoja, organisaation tulee ensin paljastaa suhteen yksityiskohdat, ennen kuin se antaa alihankkijan suorittaa tehtävänsä.
Ohjeet lausekkeesta 8.5.6
Kaikki alihankkijoiden käyttöä koskevat määräykset tulee luetella sellaisinaan SLA-/asiakassopimuksessa.
Alihankkijoita koskevien tietojen tulee sisältää:
- Alihankkijoiden nimi.
- Kaikki maat, joihin alihankkija voi siirtää tietoja (katso ISO 27701 kohta 8.5.2), jotta asiakas voi ilmoittaa siitä kaikille PII-päämiehille.
- Miten alihankkijan odotetaan täyttävän organisaation tarpeet (ks. ISO 27701 kohta 8.5.7).
NDA:t tulisi laatia paljastamaan kaikki tiedot, jotka aiheuttaisivat kohonneen turvallisuusriskin, jos ne julkistetaan.
Asiaankuuluvat ISO 27701 -lausekkeet
- ISO 27701 8.5.2
- ISO 27701 8.5.7
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia
ja määräykset, mikä antaa sinulle yhden
alusta kaikkiin vaatimustenmukaisuustarpeisiisi.
ISO 27701, lauseke 8.5.7 – Alihankkijan sitouttaminen henkilötietojen käsittelyyn
Kohdan 8.5.7 tarkoitus
Ainoa kerta, kun henkilötietojen käsittelytoimia voidaan teettää alihankintana, on sopimusehtojen ohella.
Ohjeet lausekkeesta 8.5.7
Organisaatioiden on hankittava kirjallinen lupa asiakkailtaan, ennen kuin kolmannen osapuolen organisaatio käsittelee henkilökohtaisia tunnistetietoja.
Alihankkijoilla on oltava sitova sopimus (yleensä kirjallisena), jolla varmistetaan, että alihankkijat ymmärtävät velvollisuutensa ISO 27701 -standardin liitteessä B lueteltujen tarkastusten toteuttamisessa.
Sopimuksissa tulee ottaa huomioon erilaiset riskinarviointiprosessit (ks. ISO 27701 kohta 5.4.1.2) ja koko organisaation PII-käsittelyn laajuus (ks. ISO 27701 kohta 6.12). Kuten edellä, kaikkia liitteessä B lueteltuja valvontatoimia on noudatettava, lukuun ottamatta lueteltuja puutteita ja perusteluja.
Asiaankuuluvat ISO 27701 -lausekkeet
- ISO 27701 5.4.1.2
- ISO 27701 6.12
ISO 27701 lauseke 8.5.8 – Prosessin PII:n alihankkijan vaihto
Kohdan 8.5.8 tarkoitus
Aina kun tulee tarve muuttaa tapaa, jolla organisaatio ulkoistaa jonkin PII-käsittelynsä osan, asiakkaille tulee tiedottaa muutoksista hyvissä ajoin, jotta heillä on aikaa kyseenalaistaa tai vastustaa muutoksia.
Ohjeet lausekkeesta 8.5.8
Sopimuksiin tulee sisältyä lausekkeita, jotka edellyttävät asiakkaan kirjallista lupaa muuttaa muutosta ennen henkilökohtaisten tunnistetietojen käsittelyä.
Organisaatiot voivat myös hakea hyväksyntää muutoksiin ad hoc -kirjallisissa sopimuksissa, sopimusehtojen ulkopuolella.
GDPR-artikkeleita tukevat
Useita ISO 27701 lausekkeen 8.5 elementtejä sovelletaan Yhdistyneessä kuningaskunnassa GDPR lainsäädäntöä. Katso alla olevasta taulukosta vastaavia viitteitä.
| ISO 27701 -lausekkeen tunniste | ISO 27701 -lausekkeen nimi | Asiaan liittyvät GDPR-artikkelit |
|---|---|---|
| 8.5.1 | Perusteet henkilökohtaisten tunnistetietojen siirtämiselle lainkäyttöalueiden välillä | Tavarat (44), (46), (48), (49) |
| 8.5.2 | Maat ja kansainväliset organisaatiot, joille henkilökohtaisia tunnistetietoja voidaan siirtää | Artikkeli (30) |
| 8.5.3 | Tiedot henkilökohtaisten tunnistetietojen luovuttamisesta kolmansille osapuolille | Artikkeli (30) |
| 8.5.4 | Ilmoitus henkilökohtaisten tunnistetietojen paljastamispyynnöistä | Artikkeli (28) |
| 8.5.5 | Laillisesti sitovat henkilökohtaisten tunnistetiedot | Artikkeli (48) |
| 8.5.6 | Henkilötietojen käsittelyssä käytettyjen alihankkijoiden paljastaminen | Artikkeli (28) |
| 8.5.7 | Alihankkijan sitouttaminen henkilötietojen käsittelyyn | Artikkeli (28) |
| 8.5.8 | Prosessin PII:n alihankkijan vaihto | Artikkeli (28) |
Miten ISMS.online auttaa
ISMS.online-sivustolla helpotamme organisaatiosi tietosuojatietojen hallintajärjestelmän dokumentointia. Tarjoamme sinulle loogisen, käyttökelpoisen, pilvipohjaisen tiedonhallintarajapinnan, joka auttaa organisaatiotasi tarkistamaan tietosuojaprosessinsa ja edistymään ISO 27701 / PIMS-standardin mukaisesti.
Pilvipohjaisen alustamme avulla voit käyttää kaikkia PIMS-resurssejasi yhdessä paikassa.
Helppokäyttöisen alustamme avulla voit dokumentoida kaiken, mitä tarvitset osoittaaksesi, että täytät ISO 27701 -standardin vaatimukset. Assured Results Method (ARM) -menetelmämme tekee selväksi ISO 27701 -standardin vaatimukset ja antaa sinulle luottamusta edistyessäsi kohti ISO XNUMX -standardin saavuttamista. sertifiointi.
Meillä on sisäinen tietoturva-asiantuntijoiden tiimi, joka voi antaa ohjeita ja vastata kysymyksiin auttaakseen sinua matkallasi ISO 27701 -sertifiointiin.
Lisätietoja: varata demo.
Hyppää aiheeseen
