Hvad kræver kontrol A.1.2.3?
Organisationen skal fastslå, dokumentere og kunne påvise overholdelse af det relevante retsgrundlag for behandling af personoplysninger til de identificerede formål.
Denne kontrol ligger inden for Betingelser for indsamling og behandling mål (A.1.2), som har til formål at påvise, at behandlingen er lovlig, med et retsgrundlag i henhold til gældende jurisdiktioner og med klart definerede og legitime formål. A.1.2.2 Identificér og dokumenter formål indfører det du bearbejder og hvorfor, A.1.2.3 fastlægger juridisk grundlag der tillader dig at gøre det.
Hvad siger implementeringsvejledningen?
Bilag B (afsnit B.1.2.3) indeholder følgende vejledning:
- Nogle jurisdiktioner kræver, at det juridiske grundlag fastlægges før behandlingen begynder — organisationer bør ikke antage, at de kan tildele et retligt grundlag med tilbagevirkende kraft
- Standarden anerkender seks almindelige kategorier af retsgrundlag, selvom gældende lovgivning kan definere dem forskelligt:
- Samtykke af PII-hovedstolen
- Udførelse af en kontrakt hvor den personoplysninger, der er ansvarlig for den personoplysninger, er part
- Overholdelse af en juridisk forpligtelse som den dataansvarlige er underlagt
- Vitale interesser af PII-hovedpersonen eller en anden fysisk person
- Offentlig interesse eller udøvelse af offentlig myndighed
- Berettigede interesser forfulgt af den dataansvarlige eller en tredjepart
- Se også A.1.2.7: Kontrakter med PII-behandlere for relaterede krav
- Se også A.1.2.8: Fælles PII-ansvarlig for relaterede krav
- Hvor særlige kategorier af personoplysninger behandles (f.eks. helbredsoplysninger, biometriske data, racemæssig eller etnisk oprindelse), kan yderligere retsgrundlag være påkrævet — såsom udtrykkeligt samtykke, nødvendighed af arbejdsretlige forpligtelser, beskyttelse af vitale interesser eller behandling af data foretaget af en nonprofitorganisation
- Organisationen skal være i stand til at demonstrere at det valgte grundlag er passende — blot en påstand er ikke tilstrækkelig
Hvordan relaterer dette sig til GDPR?
Kontrol A.1.2.3 knytter sig til et betydeligt sæt af GDPR bestemmelser:
- Artikel 5 (1) (a) — Princippet om lovlighed, retfærdighed og gennemsigtighed
- Artikel 6(1)–(4) — De seks retlige grundlag for behandling samt forenelighedstesten for videre behandling
- artikel 8 — Betingelser gældende for barns samtykke i forbindelse med informationssamfundstjenester
- artikel 9 — Behandling af særlige kategorier af personoplysninger
- artikel 10 — Behandling af data vedrørende straffedomme og lovovertrædelser
- artikel 17 — Ret til sletning (tilknyttet fordi sletningsrettigheder afhænger af det påberåbte retsgrundlag)
- artikel 18 — Ret til begrænsning af behandling
- artikel 22 — Automatiseret individuel beslutningstagning, herunder profilering
Bredden af denne kortlægning afspejler, at valg af lovligt grundlag har konsekvenser nedstrøms på tværs af næsten alle GDPR forpligtelse — fra den registreredes rettigheder til opbevaringsperioder.
Hvordan hænger dette sammen med ISO 29100-principperne for privatlivsbeskyttelse?
Denne kontrol understøtter Formålets legitimitet og specifikation princippet i ISO 29100. Dette princip kræver, at formålet med behandling af personoplysninger er i overensstemmelse med gældende lov og er baseret på et tilladt retsgrundlag. A.1.2.3 er den operationelle mekanisme til at opfylde dette princip — det omdanner det abstrakte krav til dokumenteret, påviselig overholdelse.
Start din gratis prøveperiode
Vil du udforske?
Tilmeld dig din gratis prøveperiode i dag, og få fat i alle de overholdelsesfunktioner, som ISMS.online har at tilbyde
Hvilken dokumentation forventer revisorer?
Ved vurdering af overholdelse af A.1.2.3 vil revisorer typisk se efter:
- Register over retsgrundlag — En dokumenteret kortlægning af hver behandlingsaktivitet til dens retlige grundlag, ideelt set krydsrefereret med formålsregistret fra A.1.2.2 Identificér og dokumenter formål
- Vurderinger af legitime interesser (LIA'er) — Hvor legitime interesser påberåbes, blev dokumenterede afvejningstest, der viser, at organisationens interesser blev vejet op mod rettighederne for personoplysningernes ophavsmænd
- Begrundelser for særlige kategorier — Separat dokumenteret begrundelse for enhver behandling af følsomme personoplysninger med angivelse af det yderligere juridiske grundlag, der påberåbes
- Juridiske gennemgangsregistre — Dokumentation for, at der blev indhentet juridisk rådgivning eller foretaget intern gennemgang ved valg af retsgrundlaget, især ved kompleks eller højrisikobehandling
- Tidspunktsbeviser — At det retlige grundlag blev fastlagt før bearbejdning påbegyndt, ikke dokumenteret retrospektivt
- Kommunikation til PII-principper — At det retlige grundlag er angivet i privatlivsmeddelelser og andre oplysninger, der gives til enkeltpersoner
Hvad er de relaterede kontroller?
| kontrol | Relationship |
|---|---|
| A.1.2.2 Identificér og dokumenter formål | Formål skal først fastlægges — det lovlige grundlag bestemmes for hvert formål |
| A.1.2.4 Fastslå samtykke | Hvis samtykke er det retlige grundlag, skal samtykkeprocessen formelt defineres |
| A.1.2.5 Indhentning og registrering af samtykke | Operationel implementering af samtykke, hvor det er det valgte retsgrundlag |
| A.1.2.6 Vurdering af indvirkning på privatlivets fred | PIA'er vurderer behandlingen i forhold til det dokumenterede retsgrundlag og de formål |
| A.1.3.3 Information til PII-principaler | Det retlige grundlag skal meddeles til PII-ansvarlige |
| A.1.4.3 Begræns behandling | Behandling skal begrænses til, hvad der er tilladt i henhold til retsgrundlaget |
Hvad har ændret sig fra ISO 27701:2019?
For en trinvis fremgangsmåde, se Overgangen fra 2019 til 2025.
I 2019-udgaven optrådte dette krav som en del af punkt 7.2.2 (identificer lovligt grundlag). Kontrolintentionen er i det væsentlige uændret i 2025-udgaven, men omstruktureringen til Tabel A.1 giver nu en klarere adskillelse mellem den normative kontrolerklæring (A.1.2.3) og den normative implementeringsvejledning (B.1.2.3). Vægten på påviselighed — ikke blot at fastlægge grundlaget, men at være i stand til at bevise overholdelse af den — er blevet bevaret og muligvis styrket af den klarere struktur. Se Bilag F korrespondancetabel for den fulde kortlægning.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Hvorfor vælge ISMS.online til håndtering af dokumentation for retsgrundlag?
ISMS.online giver dig værktøjerne til at dokumentere, spore og demonstrere dine juridiske grundlag med tillid:
- Kortlægning af retsgrundlag — Forbind hver behandlingsaktivitet med dens juridiske grundlag i et struktureret register, som revisorer kan gennemgå med et hurtigt blik
- Skabeloner til vurdering af legitime interesser — Færdigbyggede LIA-skabeloner guider dig gennem afbalanceringstesten med prompts og scoring, så intet går tabt
- Flag i specialkategorien — Automatisk markering af behandlingsaktiviteter, der involverer følsomme personoplysninger, og anmoder om det nødvendige yderligere retsgrundlag
- Versionskontrolleret bevismateriale — Enhver ændring i din dokumentation for juridisk grundlag er tidsstemplet, hvilket skaber et revisionsspor, der beviser, hvornår beslutningerne blev truffet
- Integrerede privatlivsmeddelelser — Link dine optegnelser over retsgrundlag direkte til de privatlivsmeddelelser, der kommunikerer dem til personoplysninger
- Kortlægning på tværs af rammer — Se, hvordan din dokumentation af retsgrundlaget opfylder ISO 27701, GDPR og andre rammer samtidig.
Ofte Stillede Spørgsmål
Kan vi ændre vores retsgrundlag efter behandlingen er påbegyndt?
Det er generelt problematisk at skifte retsgrundlag med tilbagevirkende kraft. De fleste databeskyttelsesrammer forventer, at det retlige grundlag fastlægges, før behandlingen påbegyndes. Hvis omstændighederne ændrer sig, bør du dokumentere begrundelsen for enhver ændring, underrette de ansvarlige for personoplysninger, hvor det er relevant, og overveje, om eksisterende data skal genbehandles i henhold til det nye grundlag eller slettes. Hovedkravet er påviselighed – du skal kunne vise, at grundlaget var gyldigt på behandlingstidspunktet.
Hvordan påvirker retsgrundlaget den registreredes rettigheder.
Det retsgrundlag, du påberåber dig, bestemmer direkte, hvilke rettigheder den registrerede har. For eksempel gælder retten til dataportabilitet i henhold til GDPR kun, når behandling er baseret på samtykke eller kontraktopfyldelse. Retten til at gøre indsigelse gælder specifikt for behandling baseret på legitime interesser eller samfundsinteresser. Derfor er det afgørende at vælge det korrekte retsgrundlag fra starten – det former dine løbende forpligtelser gennem hele datalivscyklussen.
Hvad hvis flere retsgrundlag kunne gælde for den samme behandling?
Du bør identificere og dokumentere det primære retsgrundlag, du støtter dig på for hver behandlingsaktivitet. Selvom mere end ét grundlag teoretisk set kan gælde, giver valg af et enkelt primært grundlag klarhed over principper for personoplysninger og forenkler compliance-styringen. At stole på flere grundlag samtidigt kan skabe forvirring – især hvis ét grundlag (såsom samtykke) senere trækkes tilbage, og du forsøger at falde tilbage på et andet.
Dokumentér, hvordan denne kontrol gælder for din organisation i din Anvendelseserklæring.
Se vores vejledning om krav til revisionsbeviser for hvad revisorer forventer, når de vurderer denne kontrol.
