Hvad kræver kontrol A.1.3.3?
Organisationen skal fastlægge og dokumentere de oplysninger, der skal gives til personoplysninger vedrørende behandlingen af deres personoplysninger, og tidspunktet for en sådan levering.
Denne kontrol ligger inden for Forpligtelser over for PII-principaler mål (A.1.3). Mens A.1.3.2 Forpligtelser over for PII-opdragsgivere identificerer hvilke forpligtelser du har, A.1.3.3 går i dybden med det specifikke informationsindhold, der skal kommunikeres, og fastsætter tidsreglerne for, hvornår disse oplysninger skal gives.
Hvad siger implementeringsvejledningen?
Bilag B (afsnit B.1.3.3) indeholder detaljeret vejledning om både indhold og tidspunkt for informationslevering:
Oplysninger, der skal gives
- Den dataansvarliges identitet — Navn og kontaktoplysninger på den organisation, der er ansvarlig for behandlingen
- Formål med behandling — En klar forklaring på, hvorfor personoplysninger behandles, i overensstemmelse med A.1.2.2 Identificér og dokumenter formål
- Kategorier af personoplysninger — Hvilke typer personoplysninger indsamles og behandles
- Modtagere — Eventuelle tredjeparter eller kategorier af tredjeparter, der vil modtage de personlige oplysninger
- Opbevaringsperioder — Hvor længe de personoplysninger opbevares, eller hvilke kriterier der anvendes til at bestemme opbevaring
- Tilgængelige rettigheder — De specifikke rettigheder, som personoplysninger kan udøve (adgang, berigtigelse, sletning, begrænsning, portabilitet, indsigelse)
- Automatiseret beslutningstagning — Om der udføres automatiseret profilering eller beslutningstagning, og den involverede logik
- Internationale overførsler — Oplysninger om eventuelle overførsler til andre jurisdiktioner, herunder de gældende sikkerhedsforanstaltninger
- Se også A.1.3.6: Indsigelse mod behandling af personoplysninger for relaterede krav
- Se også A.1.3.8: Forpligtelser til at informere tredjeparter for relaterede krav
Tidspunkt for levering
- Direkte afhentning — Oplysningerne skal gives ved indsamlingen
- Indirekte opkrævning — Oplysninger skal gives inden for en rimelig periode efter indhentning af de personoplysninger, og senest på tidspunktet for den første kommunikation med den personoplysningers hovedansvarlige eller den første videregivelse til en tredjepart
Hvordan relaterer dette sig til GDPR?
Kontrol A.1.3.3 knytter sig i vid udstrækning til GDPR bestemmelser om gennemsigtighed:
- Artikel 13(1-4) — Oplysninger, der skal gives, når personoplysninger indsamles fra den registrerede
- Artikel 14(1-5) — Oplysninger, der skal gives, hvis personoplysninger ikke er indhentet fra den registrerede
- Artikel 11 (2) — Bestemmelser, hvor den dataansvarlige ikke kan identificere den registrerede
- Artikel 15(1-2) — Krav til adgangsret (information om, hvilke oplysninger de har adgang til)
- Artikel 18 (3) — Underretning af registrerede, inden en begrænsning af behandling ophæves
- Artikel 21 (4) — Information til registrerede om retten til at gøre indsigelse
GDPR Sondringen mellem artikel 13 og 14 (direkte vs. indirekte opkrævning) er direkte knyttet til tidsvejledningen i B.1.3.3.
Hvordan hænger dette sammen med ISO 29100-principperne for privatlivsbeskyttelse?
Denne kontrol understøtter Åbenhed, gennemsigtighed og varsel princippet fra ISO 29100. Dette princip kræver, at PII-opdragsgivere informeres om, hvordan deres data behandles på en måde, der er klar, tilgængelig og rettidig. A.1.3.3 operationaliserer dette ved at kræve, at organisationer dokumenterer præcis, hvilke oplysninger der er nødvendige, og hvornår de skal leveres.
Kom nemt i gang med en personlig produktdemo
En af vores onboarding-specialister vil guide dig gennem vores platform for at hjælpe dig med at komme godt i gang med selvtillid.
Hvilken dokumentation forventer revisorer?
Ved vurdering af overholdelse af A.1.3.3 vil revisorer typisk se efter:
- Indholdsmatrix for privatlivsmeddelelser — En dokumenteret analyse af, hvilke oplysninger der skal gives for hver behandlingsaktivitet, sammenholdt med lovkrav
- Tidsdokumentation — Klare regler for, hvornår oplysninger gives, med skelnen mellem direkte og indirekte indsamlingsscenarier
- Privatlivsmeddelelser — Faktiske meddelelsesdokumenter (hjemmesidens privatlivspolitikker, inkassomeddelelser, medarbejdernes privatlivsmeddelelser) indeholdende de nødvendige informationselementer
- Fuldstændighedsgennemgang — Dokumentation for, at meddelelser er gennemgået i forhold til de dokumenterede krav for at sikre, at intet mangler
- Dækning af flere kanaler — Privatlivsmeddelelser relevante for hver indsamlingskanal (webformularer, telefon, personligt fremmøde, tredjepartskilder)
Hvad er de relaterede kontroller?
| kontrol | Relationship |
|---|---|
| A.1.3.2 Forpligtelser over for PII-opdragsgivere | Identificerer det fulde sæt af forpligtelser; A.1.3.3 bestemmer det specifikke informationsindhold |
| A.1.3.4 Oplysninger til PII-hovedpersoner | Dækker, hvordan man leverer de oplysninger, der er fastsat i henhold til A.1.3.3 |
| A.1.2.2 Identificér og dokumenter formål | Formålsdokumentation indgår i de oplysninger, der gives til PII-principper |
| A.1.2.9 Registreringer relateret til behandling af personoplysninger | Behandling af registre er en vigtig kilde til information, der skal formidles |
| A.1.3.5 Ændring eller tilbagetrækning af samtykke | Mekanismer til tilbagetrækning af samtykke bør meddeles som en del af informationspakken |
| A.1.3.7 Adgang, rettelse eller sletning | Oplysninger om rettigheder er en del af det, der skal kommunikeres til personoplysninger |
Hvad har ændret sig fra ISO 27701:2019?
For en trinvis fremgangsmåde, se Overgangen fra 2019 til 2025.
I 2019-udgaven var dette krav dækket af klausul 7.3.2 (Fastlæggelse af oplysninger for PII-principaler). 2025-udgaven giver dette sit eget kontrolnummer (A.1.3.3) med en klarere adskillelse mellem bestemmelse af informationsindholdet og handlingen med at levere det (nu A.1.3.4 Oplysningsgivning). Vejledningsindholdet er i det væsentlige ensartet, men drager fordel af det mere strukturerede format. Se Bilag F korrespondancetabel for den fulde kortlægning.
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
Hvorfor vælge ISMS.online til håndtering af krav til privatlivsoplysninger?
ISMS.online hjælper dig med systematisk at bestemme, dokumentere og vedligeholde de oplysninger, du skylder PII-principper:
- Bygger af privatlivsmeddelelser — Opret og vedligehold privatlivsmeddelelser med instruktioner for hvert obligatorisk informationselement, hvilket reducerer risikoen for udeladelser
- Kortlægning af samlingskanaler — Dokumentér, hvilke oplysninger der gives på hvert dataindsamlingssted, og sørg for ensartet dækning på tværs af kanaler
- Timing-regelmotor — Fastsæt og spor tidskrav for informationslevering baseret på direkte eller indirekte indsamling, med advarsler når deadlines nærmer sig
- Versionsstyrede dokumenter — Oprethold en komplet historik over ændringer af privatlivsmeddelelser med godkendelsesworkflows, så du kan demonstrere, hvilke oplysninger der blev givet, og hvornår
- Detektion af compliance-mangler — Sammenlign dine nuværende meddelelser med dokumenterede krav for at identificere manglende oplysninger, før en revisor gør det
Ofte Stillede Spørgsmål
Hvad er forskellen mellem A.1.3.3 og A.1.3.4 Informationsgivning?
A.1.3.3 handler om at beslutte, hvilke oplysninger der skal medtages, og hvornår de skal gives. A.1.3.4 Oplysningsgivning handler om, hvordan du rent faktisk leverer disse oplysninger til PII-principper, hvilket dækker format, klarhed, tilgængelighed og præsentation. Tænk på A.1.3.3 som indholdsplanlægningstrinnet og A.1.3.4 Oplysningsgivning som leveringstrinnet.
Hvordan bør tidsrammen for direkte og indirekte indsamling være forskellig?
Ved direkte indsamling (hvor PII indhentes fra den enkelte person) skal oplysningerne gives på indsamlingstidspunktet, før eller under interaktionen. Ved indirekte indsamling (hvor PII indhentes fra en tredjepart eller offentlig kilde) skal oplysningerne gives inden for en rimelig periode og senest ved den første kommunikation med den enkelte person eller den første videregivelse til en tredjepart. I henhold til GDPR er maksimumsperioden for indirekte indsamling én måned.
Har du brug for separate meddelelser for forskellige behandlingsaktiviteter?
Ikke nødvendigvis. En enkelt omfattende privatlivsmeddelelse kan dække flere behandlingsaktiviteter, forudsat at det er tydeligt, hvilke oplysninger der vedrører hvilken aktivitet. Men hvor behandlingskontekster er meget forskellige (f.eks. kundedata vs. medarbejderdata), giver separate meddelelser ofte bedre klarhed. Nøglen er, at alle nødvendige informationselementer er dækket for hver behandlingsaktivitet, uanset hvor mange dokumenter du bruger.
Vores vejledning om krav til revisionsbeviser beskriver den dokumentation, som revisorer forventer i forbindelse med kontrol af registreredes rettigheder.
Databeskyttelsesrådgivere, der forvalter disse forpligtelser, bør læse vores vejledning til databeskyttelsesrådgivere for et komplet overblik.
