Hvad kræver kontrol A.1.3.9?
Organisationen skal kunne fremlægge en kopi af de behandlede personoplysninger, når den ansvarlige for personoplysningerne anmoder om det.
Denne kontrol ligger inden for Forpligtelser over for PII-principaler mål (A.1.3). Mens A.1.3.7 Adgang, rettelse eller sletning dækker den bredere ret til indsigt, fokuserer A.1.3.9 specifikt på den praktiske levering af kopier af personoplysninger og introducerer krav til dataportabilitet. Dette er den kontrol, der omdanner den abstrakte ret til indsigt til en håndgribelig leverance.
Hvad siger implementeringsvejledningen?
Bilag B (afsnit B.1.3.9) indeholder vejledning i, hvordan man effektivt imødekommer anmodninger om kopiering og portabilitet:
- Struktureret og maskinlæsbart format — Hvor det er teknisk muligt, skal personoplysninger angives i et struktureret, almindeligt anvendt og maskinlæsbart format. Almindelige formater omfatter CSV, JSON og XML
- Ret til at overføre — Overvej den personoplysningers hovedansvarliges ret til at overføre data direkte til en anden dataansvarlig. Hvor det er teknisk muligt, sørg for en mekanisme til direkte overførsel mellem dataansvarlige.
- Første eksemplar gratis — Den første kopi skal leveres gratis. For yderligere kopier kan der opkræves et rimeligt gebyr baseret på administrationsomkostninger.
- Sikker levering — Kopier skal leveres sikkert via krypterede kanaler eller sikre downloadlinks for at forhindre uautoriseret adgang under transmissionen.
- Dataomfang — Afklar hvilke personoplysninger, der er omfattet af kopianmodninger versus portabilitetsanmodninger. Portabilitet gælder typisk for personoplysninger, der leveres af den enkelte og behandles automatiseret på grundlag af samtykke eller kontrakt.
- Se også A.1.3.3: Fastlæggelse af oplysninger for PII-principaler for relaterede krav
- Se også A.1.3.6: Indsigelse mod behandling af personoplysninger for relaterede krav
Vejledningen anerkender, at formatet og leveringsmetoden skal være praktisk for både organisationen og den personoplysninger, der er ansvarlig for personoplysningerne. Hvor der er flere formater tilgængelige, skal den personoplysninger, der er ansvarlig for personoplysningerne, kunne vælge sit foretrukne format.
Hvordan relaterer dette sig til GDPR?
Kontrol A.1.3.9 knytter sig til GDPR bestemmelser, der dækker både adgangskopier og dataportabilitet:
- Artikel 15 (3) — Den dataansvarlige skal udstede en kopi af de personoplysninger, der behandles. For yderligere kopier kan den dataansvarlige opkræve et rimeligt gebyr baseret på administrationsomkostninger.
- Artikel 15 (4) — Retten til at få en kopi må ikke krænke andres rettigheder og friheder
- Artikel 20 (1) — Ret til at modtage personoplysninger i et struktureret, almindeligt anvendt og maskinlæsbart format (dataportabilitet)
- Artikel 20 (2) — Ret til at få personoplysninger overført direkte fra en dataansvarlig til en anden, hvor det er teknisk muligt
- Artikel 20 (3) — Dataportabilitet skaber ikke en forpligtelse til at slette data fra den oprindelige dataansvarlige
- Artikel 20 (4) — Portabilitet må ikke have en negativ indvirkning på andres rettigheder og friheder
Bemærk den vigtige forskel: Artikel 15 (adgangseksemplar) gælder for alle personoplysninger, der behandles af den dataansvarlige. Artikel 20 (portabilitet) gælder kun for oplysninger, der leveres af den enkelte, og som behandles automatisk på grundlag af samtykke eller kontrakt.
Hvordan hænger dette sammen med ISO 29100-principperne for privatlivsbeskyttelse?
Denne kontrol understøtter Individuel deltagelse og adgang Princippet fra ISO 29100. Adgang er ikke meningsfuld, hvis den enkelte ikke kan få en brugbar kopi af sine data. Princippet kræver praktisk og effektiv adgang, og A.1.3.9 sikrer, at adgang omsættes til et leverbart output, som den personoplysningerende udbyder kan gennemgå, verificere og, hvor det er relevant, overføre til en anden udbyder.
Start din gratis prøveperiode
Vil du udforske?
Tilmeld dig din gratis prøveperiode i dag, og få fat i alle de overholdelsesfunktioner, som ISMS.online har at tilbyde
Hvilken dokumentation forventer revisorer?
Ved vurdering af overholdelse af A.1.3.9 vil revisorer typisk se efter:
- Formatér dokumentation — Dokumenterede formater tilgængelige til levering af PII-kopier (CSV, JSON, XML, PDF) med begrundelse for hver
- Teknisk kapacitet — Dokumentation for, at systemer kan udtrække personoplysninger til de dokumenterede formater uden manuelle løsninger, der risikerer fejl eller udeladelser.
- Sikre leveringsmekanismer — Dokumenterede procedurer for sikker overførsel af PII-kopier til anmodere (krypteret e-mail, sikker portal, krypteret filoverførsel)
- Gebyrpolitik — Hvor der opkræves gebyrer for yderligere kopier, en dokumenteret og rimelig gebyrplan baseret på administrationsomkostninger
- Portabilitetsvurdering — Dokumentation, der identificerer, hvilke personoplysninger der er underlagt portabilitetskrav (data leveret af den enkelte, behandlet automatisk, på samtykke- eller kontraktbasis)
- Eksempler på fuldførte anmodninger — Eksempler på udfyldte anmodninger, der viser de leverede data, det anvendte format og den sikre leveringsmetode
Hvad er de relaterede kontroller?
| kontrol | Relationship |
|---|---|
| A.1.3.7 Adgang, rettelse eller sletning | A.1.3.7 Adgang, rettelse eller sletning fastlægger retten til indsigt; A.1.3.9 specificerer, hvordan kopien skal leveres |
| A.1.3.10 Håndtering af anmodninger | Kopianmodninger håndteres inden for den bredere ramme for anmodningshåndtering |
| A.1.3.2 Forpligtelser over for PII-opdragsgivere | Retten til kopiering og portabilitet er blandt de forpligtelser, der skal identificeres |
| A.1.3.4 Oplysninger til PII-hovedpersoner | Personoplysninger skal informeres om deres ret til at få en kopi af deres data |
| A.1.2.9 Registreringer relateret til behandling af personoplysninger | Behandling af registre hjælper med at identificere omfanget af data, der skal inkluderes i et svar på en kopianmodning |
| A.3 Delte sikkerhedskontroller | Sikker levering af PII-kopier kræver passende tekniske foranstaltninger |
Hvad har ændret sig fra ISO 27701:2019?
For en trinvis fremgangsmåde, se Overgangen fra 2019 til 2025.
I 2019-udgaven var levering af en kopi af PII dækket i paragraf 7.3.8 (Levering af kopi af behandlet PII). 2025-udgaven giver dette sit eget kontrolnummer (A.1.3.9) med dedikeret vejledning i B.1.3.9. Adskillelsen fra den bredere adgangsret i A.1.3.7 Adgang, rettelse eller sletning giver mulighed for mere målrettet revision af dataleveringskapaciteter. Vægten på strukturerede, maskinlæsbare formater og sikker levering forbliver central. Se Bilag F korrespondancetabel for den fulde kortlægning.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Hvorfor vælge ISMS.online til håndtering af anmodninger om kopiering og portabilitet af personoplysninger?
ISMS.online strømliner leveringen af PII-kopier, samtidig med at sikkerhed og revisionsvenlighed opretholdes:
- Eksport i flere formater — Generer PII-kopier i strukturerede formater (CSV, JSON, PDF) fra dit dataregister, og sørg for maskinlæsbarhed, hvor det er nødvendigt
- Sikker leveringsportal — Lever PII-kopier via et sikkert, tidsbegrænset downloadlink, hvilket fjerner risikoen for at sende følsomme data via ukrypteret e-mail.
- Identifikation af omfang — Brug din datakortlægning til hurtigt at identificere, hvilke data der falder inden for rammerne af en kopianmodning kontra en portabilitetsanmodning, og sørg for præcise og fuldstændige svar
- Anmod om sporing — Registrer alle kopianmodninger med det leverede format, den anvendte leveringsmetode og bekræftelse af modtagelse, og opbygg et robust revisionsspor
- Gebyrstyring — Hvor der gælder yderligere kopieringsgebyrer, skal gebyrer spores, og den ansvarlige personoplysninger skal gives en klar omkostningsoversigt
Ofte Stillede Spørgsmål
Hvad er forskellen på en adgangskopi og dataportabilitet?
En adgangskopi (GDPR Artikel 15) dækker alle personoplysninger, som den dataansvarlige behandler om den pågældende, uanset hvordan de er indhentet eller det retlige grundlag. Dataportabilitet (artikel 20) er mere snævert: den gælder kun for personoplysninger, som den pågældende har givet, behandlet automatisk på grundlag af samtykke eller kontrakt. Portabilitet omfatter også retten til at overføre data direkte til en anden dataansvarlig. I praksis kan du være nødt til at give forskellige datasæt afhængigt af, hvilken rettighed der udøves.
Hvilket format skal du bruge til at levere kopier af personoplysninger?
For adgangskopier accepteres ethvert klart og læsbart format, herunder PDF. For anmodninger om portabilitet skal dataene være i et struktureret, almindeligt anvendt og maskinlæsbart format. CSV og JSON er de mest accepterede muligheder. Hvor det er muligt, skal den personoplysningers hovedforpligtende gives et valg af format. Formatet skal give mulighed for at genbruge eller importere dataene til et andet system uden behov for specialværktøjer.
Kan I opkræve betaling for at levere en kopi af personoplysninger?
Den første kopi skal leveres gratis. For yderligere kopier af de samme data kan du opkræve et rimeligt gebyr baseret på administrationsomkostninger. Gebyret skal være forholdsmæssigt og dokumenteret. Du må ikke bruge gebyrer som en afskrækkelse for at afskrække enkeltpersoner fra at udøve deres rettigheder. Hvis du opkræver et gebyr, skal du informere den personoplysningers hovedansvarlige om beløbet, før du fortsætter.
Vores vejledning om krav til revisionsbeviser beskriver den dokumentation, som revisorer forventer i forbindelse med kontrol af registreredes rettigheder.
Databeskyttelsesrådgivere, der forvalter disse forpligtelser, bør læse vores vejledning til databeskyttelsesrådgivere for et komplet overblik.
