Spring til indhold
ISMS.online

ISO 27701:2025 Kontrol A.1.3.2: Forpligtelser over for PII-principaler

Kontrol A.1.3.2 kræver, at organisationer fastlægger og dokumenterer deres juridiske, regulatoriske og forretningsmæssige forpligtelser over for PII-principaler og sørger for midlerne til at opfylde dem. Dette er gateway-kontrollen for hele A.1.3-forpligtelserne.

Forfatter
Max Edwards
Opdateret marts 27, 2026
4/5 stjerner

Hvad kræver kontrol A.1.3.2?

Organisationen skal fastlægge og dokumentere sine juridiske, lovgivningsmæssige og forretningsmæssige forpligtelser over for personoplysninger i forbindelse med behandlingen af ​​deres personoplysninger og sørge for midlerne til at opfylde disse forpligtelser.

Denne kontrol ligger inden for Forpligtelser over for PII-principaler mål (A.1.3), som sikrer, at organisationer opfylder deres pligter over for de personer, hvis data de behandler. A.1.3.2 er den grundlæggende kontrol i denne gruppe: du skal først forstå, hvilke rettigheder og forpligtelser der gælder, før du kan implementere mekanismerne til at opfylde dem.

Hvad siger implementeringsvejledningen?

Bilag B (afsnit B.1.3.2) indeholder vejledning om de typer forpligtelser, som organisationer skal identificere og dokumentere. Disse varierer fra jurisdiktion til jurisdiktion, men omfatter almindeligvis:

  • Ret til at blive informeret — At give PII-ansvarlige klare oplysninger om, hvordan deres data behandles (se A.1.3.3 og A.1.3.4)
  • Ret til adgang — Give enkeltpersoner mulighed for at få en kopi af deres personoplysninger (se A.1.3.7 og A.1.3.9)
  • Ret til berigtigelse — Rettelse af unøjagtige eller ufuldstændige personoplysninger (se A.1.3.7)
  • Ret til sletning — Sletning af personoplysninger, når de ikke længere er nødvendige, eller samtykket trækkes tilbage (se A.1.3.7)
  • Ret til at begrænse behandlingen — Begrænsning af behandling under visse omstændigheder
  • Ret til dataportabilitet — Levering af personoplysninger i et struktureret, maskinlæsbart format (se A.1.3.9)
  • Ret til indsigelse — Tilladelse for enkeltpersoner at gøre indsigelse mod behandling (se A.1.3.6)

Vejledningen understreger, at forpligtelserne varierer på tværs af jurisdiktioner. Organisationer, der opererer i flere områder, skal kortlægge de specifikke rettigheder, der gælder i hvert område, og sikre, at de har passende mekanismer på plads.

Hvordan relaterer dette sig til GDPR?

Kontrol A.1.3.2 knytter sig til GDPR Artikel 12(2), som kræver, at dataansvarlige fremmer udøvelsen af ​​de registreredes rettigheder. Mens A.1.3.2 handler om at fastlægge og dokumentere alle forpligtelser, kræver artikel 12(2) specifikt, at de midler, der stilles til rådighed for personoplysninger, er praktiske og tilgængelige. GDPR, er de ovennævnte rettigheder kodificeret i artikel 15 til og med 22.

Hvordan hænger dette sammen med ISO 29100-principperne for privatlivsbeskyttelse?

Denne kontrol understøtter Individuel deltagelse og adgang princippet fra ISO 29100. Dette princip kræver, at PII-principaler har mulighed for at tilgå deres data, anfægte deres nøjagtighed og få dem ændret eller slettet, hvor det er relevant. A.1.3.2 er planlægningslaget, der sikrer, at du ved, hvilke deltagelsesrettigheder der gælder, før du implementerer mekanismerne.



ISMS.onlines kraftfulde dashboard

Start din gratis prøveperiode

Vil du udforske?

Tilmeld dig din gratis prøveperiode i dag, og få fat i alle de overholdelsesfunktioner, som ISMS.online har at tilbyde

Kom i gang


Hvilken dokumentation forventer revisorer?

Ved vurdering af overholdelse af A.1.3.2 vil revisorer typisk se efter:

  • Forpligtelsesregister — Et dokumenteret register over alle juridiske, regulatoriske og forretningsmæssige forpligtelser over for PII-principaler, knyttet til relevante jurisdiktioner
  • Jurisdiktionel analyse — Dokumentation for, at organisationen har identificeret, hvilke privatlivslove der gælder, baseret på, hvor PII-principperne er placeret, eller hvor behandlingen finder sted
  • Mekanismer på plads — Dokumenterede procedurer, formularer eller systemer, der gør det muligt for PII-hovedpersoner at udøve enhver gældende rettighed
  • Politikdokumentation — En politik for registreredes rettigheder eller tilsvarende, der beskriver, hvordan hver forpligtelse opfyldes
  • Personaleuddannelsesjournaler — Dokumentation for, at personalet med ansvar for håndtering af anmodninger forstår forpligtelserne og procedurerne
  • Regelmæssige anmeldelser — Dokumentation for, at forpligtelser revurderes, når lovgivningen ændres, eller organisationen går ind på nye markeder

Hvad er de relaterede kontroller?

kontrol Relationship
A.1.3.3 Bestemmelse af oplysninger for PII-principper Når forpligtelserne er identificeret, skal det afgøres, hvilke oplysninger der skal gives
A.1.3.4 Oplysninger til PII-hovedpersoner Lever de nødvendige oplysninger på en klar og tilgængelig måde
A.1.3.5 Ændring eller tilbagetrækning af samtykke Tilbagetrækning af samtykke er en af ​​de forpligtelser, der skal identificeres og opfyldes
A.1.3.7 Adgang, rettelse eller sletning Implementerer de heri identificerede forpligtelser til adgang, berigtigelse og sletning
A.1.3.10 Håndtering af anmodninger Operationelle procedurer for besvarelse af anmodninger, der følger af disse forpligtelser
A.1.2.9 Registreringer relateret til behandling af personoplysninger Behandlingsregistre bør afspejle de forpligtelser, der er identificeret for hver aktivitet

Hvad har ændret sig fra ISO 27701:2019?

I 2019-udgaven var dette krav en del af klausul 7.3.1 (Fastlæggelse og opfyldelse af forpligtelser over for PII-principaler). 2025-udgaven omstrukturerer dette til en separat kontrol (A.1.3.2), der specifikt fokuserer på at bestemme og dokumentere det fulde omfang af forpligtelser, adskilt fra de efterfølgende informationsleveringskontroller. Dette giver planlægnings- og analysetrinnet sit eget revisionskontrolpunkt. Se Bilag F korrespondancetabel for den fulde kortlægning.



ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.

Administrer al din compliance, alt på ét sted

ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.

Book en demo


Hvorfor vælge ISMS.online til håndtering af PII's primære forpligtelser?

ISMS.online giver den struktur og de værktøjer, du har brug for til at identificere, dokumentere og opfylde dine forpligtelser over for PII-principaler:

  • Kortlægning af forpligtelser — Kortlæg PII-principale rettigheder på tværs af flere jurisdiktioner i et enkelt register, så du med et hurtigt overblik kan se, hvilke rettigheder der gælder hvor
  • Portal for anmodninger om data om registreret person — Giv PII-principaler en klar mekanisme til at udøve deres rettigheder med automatiseret routing til det rette team
  • Workflow automation — Spor hver anmodning fra modtagelse til færdiggørelse med indbyggede deadlines og eskaleringsstier
  • Sporing af regulatoriske ændringer — Hold dig informeret om lovgivningsmæssige ændringer, der påvirker dine forpligtelser, med hurtige gennemgange, når lovene opdateres
  • Krydskontrollinkning — Forbind forpligtelser med de specifikke kontroller, politikker og procedurer, der opfylder dem, og skab et komplet billede af compliance

Ofte Stillede Spørgsmål

Hvordan afgør I, hvilke forpligtelser der gælder for jeres organisation?

Start med at identificere, hvor dine PII-principper er placeret, hvor din organisation opererer, og hvilke privatlivslove har ekstraterritorial rækkevidde. For hver gældende jurisdiktion skal du kortlægge de specifikke rettigheder for den registrerede, som loven giver. Fælles rammer omfatter GDPR (EU/EØS), UK GDPR, CCPA/CPRA (Californien), LGPD (Brasilien) og POPIA (Sydafrika). Hver især pålægger de lidt forskellige forpligtelser, så en jurisdiktionsanalyse er afgørende.

Hvad adskiller forretningsforpligtelser fra juridiske forpligtelser?

Forretningsforpligtelser er forpligtelser, som din organisation frivilligt har givet, såsom løfter i din privatlivspolitik, kontraktvilkår med kunder eller branchekodekser, som du har tilmeldt dig. Disse kan gå ud over, hvad loven strengt kræver. For eksempel kan du love at svare på anmodninger om adgang inden for 14 dage, selvom loven tillader 30 dage. Disse selvpålagte forpligtelser skal også dokumenteres og opfyldes.

Gælder denne kontrol for PII-processorer?

A.1.3.2 er en kontrol for PII-dataansvarlige. PII-databehandlere har relaterede forpligtelser i henhold til A.2.3 (Forpligtelser over for PII-principaler for PII-databehandlere), som kræver, at de bistår den dataansvarlige med at opfylde disse forpligtelser. Databehandlere bør dog stadig forstå den dataansvarliges forpligtelser, så de kan yde effektiv support, når det er nødvendigt.

Vores vejledning om krav til revisionsbeviser beskriver den dokumentation, som revisorer forventer i forbindelse med kontrol af registreredes rettigheder.

Databeskyttelsesrådgivere, der forvalter disse forpligtelser, bør læse vores vejledning til databeskyttelsesrådgivere for et komplet overblik.

Max Edwards

Max arbejder som en del af ISMS.online marketingteamet og sikrer, at vores hjemmeside er opdateret med nyttigt indhold og information om alt, hvad ISO 27001, 27002 og compliance angår.

Tag en virtuel rundvisning

Start din gratis 2-minutters interaktive demo nu og se
ISMS.online i aktion!

Prøv det nu
platformsdashboard fuldt ud i perfekt stand

Vi er førende inden for vores felt

4/5 stjerner
Brugere elsker os
Leder - Forår 2026
Højtydende - Forår 2026 Small Business UK
Regional leder - EU forår 2026
Regional leder - Forår 2026 EMEA
Regional leder - Forår 2026 Storbritannien
Højtydende - Forår 2026 Mellemmarked EMEA

"ISMS.Online, fremragende værktøj til overholdelse af lovgivning"

— Jim M.

"Gør ekstern revision til en leg og forbinder alle aspekter af dit ISMS problemfrit"

— Karen C.

"Innovativ løsning til styring af ISO og andre akkrediteringer"

— Ben H.