Hvad kræver kontrol A.1.2.2?
Organisationen skal identificere og dokumentere de specifikke formål, hvortil de personoplysninger behandles.
Denne kontrol ligger inden for Betingelser for indsamling og behandling mål (A.1.2), som har til formål at påvise, at behandlingen er lovlig, med et retsgrundlag i henhold til gældende jurisdiktioner og med klart definerede og legitime formål.
Hvad siger implementeringsvejledningen?
Bilag B (afsnit B.1.2.2) indeholder følgende vejledning:
- Organisationen bør sikre, at personoplysninger, der er ansvarlige for personoplysninger, forstår formålet med behandlingen af deres personoplysninger
- Det er organisationens ansvar tydeligt at dokumentere og kommunikere dette til PII-ledere.
- Uden en klar formålserklæring kan samtykke og valg ikke gives på passende vis
- Dokumentation af formål bør være tilstrækkelig klar og detaljeret til at understøtte de oplysninger, der gives til PII-hovedpersoner (se A.1.3.3 Information til PII-principaler)
- Formålsdokumentation bør indeholde de oplysninger, der er nødvendige for at indhente samtykke (se A.1.2.4 Fastlæg samtykke) og dokumenteret information om politikker og procedurer (se A.1.2.9 Registrering af behandling af personoplysninger)
- Se også A.1.2.5: Indhentning og registrering af samtykke for relaterede krav
- Se også A.1.3.5: Ændring eller tilbagetrækning af samtykke for relaterede krav
Vejledningen bemærker også, at taksonomien og definitionerne i ISO/IEC 19944-1 kan være nyttige til at beskrive behandlingsformål i cloud computing-sammenhænge.
Hvordan relaterer dette sig til GDPR?
Kontrol A.1.2.2 knytter sig til GDPR Artikel 5(1)(b) (princippet om formålsbegrænsning) og artikel 32(4) (sikring af, at personer, der handler under fuldmagt, kun handler efter instruks). GDPR kræver, at personoplysninger indsamles til udtrykkeligt angivne og legitime formål og ikke behandles yderligere på en måde, der er uforenelig med disse formål.
Hvordan hænger dette sammen med ISO 29100-principperne for privatlivsbeskyttelse?
Denne kontrol understøtter to ISO 29100-privatlivsprincipper:
- Samtykke og valg — Tydelig formålsdokumentation muliggør meningsfuldt samtykke
- Formålets legitimitet og specifikation — Omhandler direkte kravet om specificerede, legitime formål
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
Hvilken dokumentation forventer revisorer?
Ved vurdering af overholdelse af A.1.2.2 vil revisorer typisk se efter:
- Register over behandlingsformål — En dokumenteret liste over alle PII-behandlingsaktiviteter med deres angivne formål
- Privatlivsmeddelelser — Dokumentation for, at formålene kommunikeres til PII-opdragsgivere på et klart og tilgængeligt sprog
- Registrering af behandlingsaktiviteter — Dokumenterede optegnelser, der viser formålene for hver kategori af PII, der behandles
- Forandringsledelse — Dokumentation for, at nye behandlingsformål vurderes og dokumenteres, før behandlingen påbegyndes
- Tilpasning til samtykkeregistre — At formålene, der er dokumenteret i samtykkeerklæringer, stemmer overens med den faktiske behandling, der udføres
Hvad er de relaterede kontroller?
| kontrol | Relationship |
|---|---|
| A.1.2.3 Identificér det juridiske grundlag | Når formålene er defineret, skal det juridiske grundlag for hvert formål identificeres. |
| A.1.2.4 Fastslå samtykke | Samtykkeprocesser afhænger af klart dokumenterede formål |
| A.1.2.9 Registrering af behandling af personoplysninger | Formålsdokumentation indgår i behandlingsregistrene |
| A.1.3.3 Information til PII-principaler | Formål skal meddeles til PII-ansvarlige |
| A.1.3.4 Oplysningsgivning | Tydelige, tilgængelige formålsbeskrivelser i privatlivsmeddelelser |
| A.1.4.3 Begræns behandling | Behandling skal begrænses til, hvad der er nødvendigt for de dokumenterede formål |
Hvad har ændret sig fra ISO 27701:2019?
For en trinvis fremgangsmåde, se Overgangen fra 2019 til 2025.
I 2019-udgaven var dette krav en del af klausul 7.2.1 (identificer og dokumenter formål). Kontrolindholdet er stort set det samme i 2025, men det er nu en del af Tabel A.1 med en klarere adskillelse mellem kontrolerklæringen (A.1.2.2) og implementeringsvejledningen (B.1.2.2). Se Bilag F korrespondancetabel for den fulde kortlægning.
Hvorfor vælge ISMS.online til håndtering af behandlingsformål?
ISMS.online tilbyder praktiske værktøjer til dokumentation og styring af behandlingsformål:
- Register over behandlingsaktiviteter — Dokumentér hver behandlingsaktivitet med dens angivne formål, kategorier af personoplysninger og retsgrundlag
- Administration af privatlivsmeddelelser — Vedligehold versionsstyrede privatlivsmeddelelser knyttet til behandlingsformål
- Ændringssporing — Log, når formål tilføjes, ændres eller fjernes, med fuldt revisionsspor
- Krydshenvisninger — Forbind formål med samtykkeregistre, vurderinger af konsekvenser for privatlivets fred og anmodninger fra registrerede
- Revisionsbeviser — Eksportformålsdokumentation som en del af din compliance-dokumentationspakke
Ofte Stillede Spørgsmål
Hvor detaljeret skal formålsdokumentationen være?
Tilstrækkeligt klar og detaljeret til, at den kan bruges som en del af de oplysninger, der gives til personoplysninger, og som grundlag for at indhente samtykke. Vage formål som "forretningsdrift" eller "forbedring af tjenester" opfylder sandsynligvis ikke standarden. Hvert formål bør beskrive det specifikke resultat af behandlingen.
Hvad sker der, hvis formålene ændres efter indsamling?
Ethvert nyt formål skal dokumenteres og vurderes for forenelighed med det oprindelige formål. Hvis det nye formål ikke er foreneligt, kræves der typisk yderligere samtykke eller et separat retsgrundlag. Ændringen bør afspejles i opdaterede privatlivsmeddelelser og behandlingsregistre.
Gælder dette også for PII-processorer?
A.1.2.2 er en PII-controllerkontrol. PII-behandlere har en relateret, men anderledes forpligtelse i henhold til A.2.2.3 Organisationens formål (Organisationens formål), hvilket kræver, at de kun behandler personoplysninger til de formål, der er dokumenteret i kundens instruktioner.
Dokumentér, hvordan denne kontrol gælder for din organisation i din Anvendelseserklæring.
Se vores vejledning om krav til revisionsbeviser for hvad revisorer forventer, når de vurderer denne kontrol.
