Hvad kræver kontrol A.1.3.8?
Organisationen skal informere tredjeparter, som personoplysninger er blevet delt med, om enhver ændring, tilbagetrækning eller indsigelse vedrørende de delte personoplysninger og implementere passende politikker, procedurer eller mekanismer til at gøre dette.
Denne kontrol ligger inden for Forpligtelser over for PII-principaler mål (A.1.3). Den anerkender, at den registreredes rettigheder kun er effektive, hvis de går ud over den dataansvarlige. Når du retter, sletter eller begrænser personoplysninger i dine egne systemer, skal tredjeparter, der opbevarer kopier af disse data, have besked om at gøre det samme.
Hvad siger implementeringsvejledningen?
Bilag B (afsnit B.1.3.8) indeholder vejledning i etablering af effektive procedurer for tredjepartsunderretning:
- Sporing af oplysninger — Opbevar registre over, hvilke tredjeparter der har modtaget hver kategori af personoplysninger. Uden dette kan du ikke vide, hvem der skal underrettes, når en rettighed udøves.
- Notifikationsudløsere — Fastlæg klare udløsere for tredjepartsunderretning, herunder korrektion af unøjagtige personoplysninger, sletning af personoplysninger, begrænsning af behandling og tilbagetrækning af samtykke
- Underretningsprocedurer — Dokumentér, hvordan notifikationer vil blive sendt til tredjeparter (e-mail, API, portal) og de forventede tidsrammer
- Bekræftelse af handling — Hvor det er muligt, indhent bekræftelse fra tredjeparter på, at de har reageret på meddelelsen
- Undtagelser — Dokumentér eventuelle omstændigheder, hvor anmeldelse er umulig eller kræver en uforholdsmæssig stor indsats, og underret den ansvarlige for den personlige oplysninger i overensstemmelse hermed
- Se også A.1.3.2: Forpligtelser over for PII-opdragsgivere for relaterede krav
- Se også A.1.3.3: Fastlæggelse af oplysninger for PII-principaler for relaterede krav
Den praktiske udfordring ved denne kontrol stiger med antallet af tredjeparter og kompleksiteten af datadelingsordninger. Automatiserede underretningssystemer og klare kontraktlige forpligtelser med databehandlere og modtagere er afgørende for organisationer med omfattende datadeling.
Hvordan relaterer dette sig til GDPR?
Kontrol A.1.3.8 knytter sig direkte til GDPR Artikel 19:
- artikel 19 — Underretningspligt vedrørende berigtigelse eller sletning af personoplysninger eller begrænsning af behandling. Den dataansvarlige skal underrette enhver berigtigelse, sletning eller begrænsning til hver modtager, som oplysningerne er videregivet til, medmindre dette viser sig umuligt eller indebærer en uforholdsmæssig stor indsats.
- Artikel 19 kræver også, at den dataansvarlige skal informere den registrerede om disse modtagere, hvis den registrerede anmoder om det.
Dette er en ofte overset GDPR forpligtelse. Tilsynsmyndighederne har bemærket, at mange organisationer opfylder anmodninger om sletning i deres egne systemer, men undlader at videregive anmodningen til tredjeparter, der har modtaget dataene. En robust underretningsproces er afgørende for reel overholdelse af reglerne.
Hvordan hænger dette sammen med ISO 29100-principperne for privatlivsbeskyttelse?
Denne kontrol understøtter Individuel deltagelse og adgang princippet fra ISO 29100. Princippet kræver, at enkeltpersoner kan anfægte nøjagtigheden af deres data og få dem ændret eller slettet. For at denne ret skal være meningsfuld, skal ændringer og sletninger udbredes til alle parter, der opbevarer dataene, ikke kun den oprindelige dataansvarlige.
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
Hvilken dokumentation forventer revisorer?
Ved vurdering af overholdelse af A.1.3.8 vil revisorer typisk se efter:
- Oplysningsregister — En vedligeholdt fortegnelse over, hvilke tredjeparter der har modtaget personoplysninger, knyttet til datakategorier og personoplysninger
- Underretningsprocedurer — Dokumenterede procedurer for, hvordan og hvornår tredjeparter underrettes om rettelser, sletninger, begrænsninger og indsigelser
- Meddelelsesoptegnelser — Dokumentation for, at meddelelser faktisk er sendt, med datoer, indhold og modtageroplysninger
- Bekræftelsessporing — Hvor indhentet, bekræftelse fra tredjeparter på, at de har reageret på meddelelsen
- Kontraktbestemmelser — Databehandlingsaftaler eller datadelingsaftaler, der forpligter tredjeparter til at handle på baggrund af anmeldelser
- Undtagelsesdokumentation — Hvor underretning ikke var mulig, dokumenteret begrundelse og bevis for, at den ansvarlige personoplysninger blev informeret
Hvad er de relaterede kontroller?
| kontrol | Relationship |
|---|---|
| A.1.3.7 Adgang, rettelse eller sletning | Rettelser og sletninger udført i henhold til A.1.3.7 Adgang, rettelse eller sletning udløse anmeldelsespligten |
| A.1.3.5 Ændring eller tilbagetrækning af samtykke | Tilbagetrækning af samtykke, der påvirker delte personoplysninger, udløser tredjepartsmeddelelse |
| A.1.3.6 Indsigelse mod behandling af personoplysninger | Opretholdte indsigelser, der påvirker delte personoplysninger, udløser tredjepartsmeddelelse |
| A.1.2.9 Registreringer relateret til behandling af personoplysninger | Behandlingsregistreringer skal dokumentere modtagere og understøtte den nødvendige sporing af oplysninger her |
| A.1.5.2 Grundlag for overførsel af personoplysninger Overførsler fra lande og internationale organisationer | Internationale overførselsregistre hjælper med at identificere tredjepartsmodtagere i andre jurisdiktioner |
| A.1.3.10 Håndtering af anmodninger | Tredjepartsnotifikationer bør integreres i arbejdsgangen for håndtering af anmodninger |
Hvad har ændret sig fra ISO 27701:2019?
For en trinvis fremgangsmåde, se Overgangen fra 2019 til 2025.
I 2019-udgaven var dette krav en del af punkt 7.3.7 (Direkteres forpligtelser til at informere tredjeparter). 2025-udgaven bevarer kerneforpligtelsen i henhold til A.1.3.8 med vejledning i B.1.3.8. Der lægges fortsat vægt på at føre oplysningsregistre og have dokumenterede underretningsprocedurer. Det omstrukturerede format giver et klarere revisionskontrolpunkt for denne specifikke forpligtelse. Se Bilag F korrespondancetabel for den fulde kortlægning.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Hvorfor vælge ISMS.online til administration af tredjepartsmeddelelser?
ISMS.online hjælper dig med at spore oplysninger og effektivt overføre de registreredes rettigheder til tredjeparter:
- Register over tredjepartsoplysninger — Registrer alle PII-afsløringer til tredjeparter med datoer, kategorier og formål, så du altid ved, hvem der skal underrettes
- Automatiserede notifikationsworkflows — Når en rettelse, sletning eller begrænsning udføres, genereres der automatisk notifikationsopgaver for hver berørt tredjepart
- Bekræftelsessporing — Registrer, hvornår tredjeparter anerkender og reagerer på underretninger, hvilket skaber en komplet beviskæde fra anmodning til løsning
- Kontraktkobling — Forbind tredjepartsrelationer med databehandleraftaler, der omfatter underretningsforpligtelser, og sikring af kontraktlig opbakning til operationelle procedurer
- Log over uforholdsmæssig stor indsats — Hvis anmeldelse ikke er mulig, dokumenteres begrundelsen i et struktureret format, der opfylder en myndighedskontrol
Ofte Stillede Spørgsmål
Hvordan sporer I, hvilke tredjeparter der har modtaget specifikke personoplysninger?
Dette kræver en offentliggørelseslog eller et register, der registrerer hver gang PII deles med en tredjepart, herunder dato, kategorien af delte PII, modtagerens identitet og formålet. Ved masse- eller løbende datadeling (f.eks. med databehandlere) kan posten være på kategoriniveau i stedet for individuelt postniveau. Nøglen er, at når en PII-prinsipaal udøver en rettighed, kan du hurtigt identificere alle tredjeparter, der opbevarer deres data.
Hvad tæller som en "uforholdsmæssig indsats" i forbindelse med underretning?
Dette vurderes fra sag til sag. Faktorer omfatter antallet af modtagere, omkostningerne ved underretning, dataenes alder, dataenes art og den potentielle indvirkning på den personoplysninger, der er ansvarlig for den. For eksempel er det usandsynligt, at det er uforholdsmæssigt at underrette et lille antal kendte forretningspartnere. Det kan være et forsøg på at underrette hundredvis af ukendte internetbrugere, der har tilgået offentligt tilgængelige data. Organisationen skal dokumentere sin begrundelse og informere den personoplysninger, der er ansvarlig for den, hvis underretning ikke kan gennemføres.
Har den personoplysningers hovedansvarlige ret til at vide, hvem tredjeparterne er?
Ja. I henhold til artikel 19 i GDPR skal den dataansvarlige informere den registrerede om modtagerne, hvis den registrerede anmoder om det. Det betyder, at du skal være forberedt på at give en liste over tredjeparter, der har modtaget den registreredes personoplysninger. Dette understreger yderligere vigtigheden af at føre nøjagtige videregivelsesregistre. I din privatlivspolitik bør du allerede angive kategorierne af modtagere, men du kan være nødt til at oplyse specifikke identiteter på anmodning.
Vores vejledning om krav til revisionsbeviser beskriver den dokumentation, som revisorer forventer i forbindelse med kontrol af registreredes rettigheder.
Databeskyttelsesrådgivere, der forvalter disse forpligtelser, bør læse vores vejledning til databeskyttelsesrådgivere for et komplet overblik.
