Hvad kræver kontrol A.1.3.4?
Organisationen skal give PII-principaler klare og lettilgængelige oplysninger, der identificerer den dataansvarlige for PII og beskriver behandlingen af deres PII.
Denne kontrol ligger inden for Forpligtelser over for PII-principaler mål (A.1.3). Hvor A.1.3.3 Information til PII-principaler bestemmer, hvilke oplysninger der skal gives, og hvornår. A.1.3.4 fokuserer på leveringen: hvordan oplysningerne præsenteres, formateres og gøres tilgængelige for de personer, der har brug for dem.
Hvad siger implementeringsvejledningen?
Bilag B (afsnit B.1.3.4) indeholder vejledning om kvaliteten og leveringen af oplysninger til PII-opdragsgivere:
- Kortfattet og gennemsigtig — Informationen skal være fri for unødvendig jargon og præsenteres på en letforståelig måde
- Forståelig — Skrevet til den tiltænkte målgruppe under hensyntagen til faktorer som alder, sprog og læsefærdigheder
- Let tilgængeligt — Personoplysninger bør ikke behøve at søge grundigt for at finde oplysningerne. De bør placeres tydeligt og være tilgængelige uden hindringer.
- Klart og klart sprog — Undgå juridisk eller teknisk sprog, hvor det er muligt. Hvis tekniske termer er nødvendige, skal der gives forklaringer.
- Lagdelte meddelelser — Overvej at bruge en lagdelt tilgang til kompleks behandling med et kort opsummeringslag, der linker til mere detaljerede oplysninger.
- Udpeget kontaktpunkt — Angiv en specifik kontaktperson for forespørgsler vedrørende privatlivets fred, hvilket gør det nemt for personoplysninger at stille spørgsmål eller udøve deres rettigheder
- Se også A.1.3.7: Adgang, rettelse eller sletning for relaterede krav
- Se også A.1.3.8: Forpligtelser til at informere tredjeparter for relaterede krav
Vejledningen anerkender, at et enkelt format muligvis ikke fungerer for alle målgrupper, og opfordrer organisationer til at overveje flere leveringskanaler og -formater.
Hvordan relaterer dette sig til GDPR?
Kontrol A.1.3.4 knytter sig til flere GDPR bestemmelser vedrørende formen og kvaliteten af gennemsigtighed:
- Artikel 12 (1) — Krav om gennemsigtighed: Oplysningerne skal være præcise, gennemsigtige, forståelige og lettilgængelige og anvende et klart og enkelt sprog.
- Artikel 12 (7) — Oplysninger kan gives i kombination med standardiserede ikoner for at give et meningsfuldt overblik
- Artikel 11 (2) — Bestemmelser, hvor den dataansvarlige ikke kan identificere den registrerede
- Artikel 13 (3) — Krav om at informere om ændringer i formål
- Artikel 21 (4) — Retten til at gøre indsigelse skal udtrykkeligt gøres opmærksom på og præsenteres tydeligt
GDPR Artikel 12(1) er hjørnestenens bestemmelse om gennemsigtighed. Tilsynsmyndigheder har udstedt betydelige bøder for privatlivsmeddelelser, der ikke opfylder kravene til klarheds- og tilgængelighedstest, selv når de nødvendige informationselementer teknisk set var til stede.
Hvordan hænger dette sammen med ISO 29100-principperne for privatlivsbeskyttelse?
Denne kontrol understøtter to ISO 29100-privatlivsprincipper:
- Åbenhed, gennemsigtighed og varsel — Direkte adresserer kravet om klar og tilgængelig kommunikation om behandlingspraksis
- Individuel deltagelse og adgang — Et udpeget kontaktpunkt gør det muligt for enkeltpersoner at deltage i forvaltningen af deres privatliv
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Hvilken dokumentation forventer revisorer?
Ved vurdering af overholdelse af A.1.3.4 vil revisorer typisk se efter:
- Offentliggjorte privatlivsmeddelelser — Faktiske meddelelser tilgængelige for PII-opdragsgivere, vurderet for klarhed, tilgængelighed og fuldstændighed
- Læsbarhedsvurdering — Dokumentation for, at meddelelser er gennemgået for at sikre et klart sprog under hensyntagen til målgruppen
- Lagdelt meddelelsesstruktur — Hvor behandlingen er kompleks, dokumentation for en lagdelt eller progressiv offentliggørelsestilgang
- Levering i flere formater — Oplysninger om beskyttelse af personlige oplysninger tilgængelige på tværs af relevante kanaler (hjemmeside, app, i butik, telefon)
- Udpegede kontaktoplysninger — En tydeligt offentliggjort kontaktperson for privatlivets fred eller en kontaktperson for databeskyttelsesansvarlig
- Brugertest eller feedback — Enhver dokumentation for, at PII-principaler faktisk kan finde og forstå de givne oplysninger
Hvad er de relaterede kontroller?
| kontrol | Relationship |
|---|---|
| A.1.3.3 Bestemmelse af oplysninger for PII-principper | Bestemmer indholdet; A.1.3.4 styrer, hvordan det præsenteres og leveres |
| A.1.3.2 Forpligtelser over for PII-opdragsgivere | De overordnede forpligtelser, der ligger til grund for informationskravene |
| A.1.3.5 Ændring eller tilbagetrækning af samtykke | Mekanismer til tilbagetrækning af samtykke bør kommunikeres tydeligt som en del af de givne oplysninger. |
| A.1.3.6 Indsigelse mod behandling af personoplysninger | Retten til at gøre indsigelse skal fremgå tydeligt og adskilt fra andre oplysninger |
| A.1.3.10 Håndtering af anmodninger | Kontaktoplysninger og anmodningsprocedurer bør være en del af de givne oplysninger. |
| A.1.2.4 Fastslå samtykke | Samtykkeindsamlingssteder er vigtige leveringsmomenter for privatlivsoplysninger |
Hvad har ændret sig fra ISO 27701:2019?
For en trinvis fremgangsmåde, se Overgangen fra 2019 til 2025.
I 2019-udgaven var dette krav en del af klausul 7.3.3 (Levering af oplysninger til PII-hovedpersoner). 2025-udgaven bevarer de samme principper, men drager fordel af den klarere adskillelse mellem A.1.3.3 Information til PII-principaler (hvad der skal kommunikeres) og A.1.3.4 (hvordan det skal kommunikeres). Vægten på lagdelte meddelelser og et enkelt sprog forbliver central. Se Bilag F korrespondancetabel for den fulde kortlægning.
Kom nemt i gang med en personlig produktdemo
En af vores onboarding-specialister vil guide dig gennem vores platform for at hjælpe dig med at komme godt i gang med selvtillid.
Hvorfor vælge ISMS.online for at levere privatlivsoplysninger?
ISMS.online understøtter hele livscyklussen for levering af privatlivsoplysninger:
- Skabeloner til privatlivsmeddelelser — Start med professionelt strukturerede skabeloner designet til klarhed og fuldstændighed, med letforståelige instruktioner for hver sektion
- Lagdelt meddelelsesstøtte — Opret sammenkædede lag med opsummerende og detaljerede meddelelser, hvilket gør det nemt at kommunikere komplekse processer
- Godkendelse arbejdsgange — Før udkast til bekendtgørelser gennem juridisk, compliance- og marketinggennemgang inden offentliggørelse, hvilket sikrer kvalitet og konsistens
- Ændringsmeddelelser — Når behandlingsaktiviteter ændres, skal du modtage meddelelser om at opdatere de tilsvarende privatlivsmeddelelser, før ændringerne træder i kraft.
- Centraliseret kontakthåndtering — Opbevar dine udpegede kontaktoplysninger for beskyttelse af personlige oplysninger ét sted, forbundet på tværs af alle meddelelser og anmodningsformularer
- Revisionsspor — Vis revisorerne præcis, hvilke oplysninger der blev offentliggjort, hvornår de blev opdateret, og hvem der godkendte hver version
Ofte Stillede Spørgsmål
Hvad gør en privatlivsmeddelelse "let tilgængelig"?
Let tilgængelig betyder, at personoplysninger, der er ansvarlige for personligt identificerbare oplysninger, ikke behøver at søge efter oplysningerne. På et websted betyder dette typisk et fremtrædende link i sidefoden eller overskriften på hver side. For mobilapps betyder det, at oplysningerne er tilgængelige indefra appen uden behov for ekstern navigation. Ved offline indsamling betyder det trykte meddelelser, der er tilgængelige på indsamlingstidspunktet. Testen er, om en rimelig person kunne finde oplysningerne uden problemer.
Hvornår bør du bruge en lagdelt varslingstilgang?
Lagdelte meddelelser er særligt nyttige, når behandlingen er kompleks, involverer flere formål eller kategorier af personoplysninger, eller hvor pladsen er begrænset (f.eks. på mobile enheder eller på fysiske indsamlingssteder). Det korte lag giver de vigtigste oplysninger et hurtigt overblik (hvem du er, hvad du indsamler og hvorfor, nøglerettigheder) med et klart link til den fulde meddelelse. Denne tilgang afbalancerer behovet for fuldstændighed med den praktiske realitet, at de fleste mennesker ikke vil læse et langt dokument.
Må du bruge ikoner eller visuelle elementer i privatlivsmeddelelser?
Ja, og GDPR opfordrer specifikt til det. Artikel 12(7) tillader, at oplysninger gives i kombination med standardiserede ikoner for at give et meningsfuldt overblik på en let synlig, forståelig og tydeligt læselig måde. Ikoner kan hjælpe med at formidle nøglebudskaber hurtigt, men de bør supplere teksten snarere end erstatte den. Alle anvendte ikoner bør være ensartede og letforståelige for målgruppen.
Vores vejledning om krav til revisionsbeviser beskriver den dokumentation, som revisorer forventer i forbindelse med kontrol af registreredes rettigheder.
Databeskyttelsesrådgivere, der forvalter disse forpligtelser, bør læse vores vejledning til databeskyttelsesrådgivere for et komplet overblik.
