Hvad kræver kontrol A.2.2.3?
Organisationen skal sikre, at personoplysninger, der behandles på vegne af en kunde, kun behandles til de formål, der er angivet i kundens dokumenterede instruktioner.
Denne kontrol ligger inden for PII-processorkontroller bilag (A.2) og fastlægger den mest grundlæggende databehandlerforpligtelse: formålsbegrænsning. En databehandler eksisterer for at udføre den dataansvarliges instruktioner, ikke for at forfølge sine egne mål med dataene. Enhver behandling ud over, hvad kunden har dokumenteret og instrueret i, udgør en overtrædelse af denne kontrol og potentielt en overtrædelse af databeskyttelseslovgivningen.
Hvad står der i implementeringsvejledningen i bilag B?
Bilag B (afsnit B.2.2.3) indeholder følgende vejledning:
- Dokumentér servicemålet og tidsrammen — Kontrakten mellem organisationen og kunden bør omfatte, men ikke være begrænset til, målet og tidsrammen for, at tjenesten skal opnås
- Tillad teknisk skøn inden for generelle instruktioner — Der kan være tekniske årsager til, at det er passende for organisationen at fastlægge metoden til behandling af personoplysninger i overensstemmelse med kundens generelle instruktioner, men uden kundens udtrykkelige instruktion. For eksempel allokering af specifikke behandlingsressourcer afhængigt af bestemte karakteristika hos den personoplysninger, der er ansvarlig for den personoplysninger.
- Aktivér kundeverifikation — Organisationen bør give kunden mulighed for at verificere sin overholdelse af formålsspecificering og begrænsningsprincipper
- Udvid til underleverandører — Dette sikrer også, at organisationen eller dens underleverandører ikke behandler personoplysninger til andre formål end dem, der er angivet i kundens dokumenterede instruktioner.
- Se også A.2.2.6: Kundens forpligtelser for relaterede krav
Vejledningen rammer en pragmatisk balance: Databehandlere kan træffe tekniske beslutninger om, hvordan data behandles effektivt, men de må ikke ændre formålet med behandlingen. Kunden skal kunne verificere, at denne grænse respekteres.
Hvordan relaterer dette sig til GDPR?
Kontrol A.2.2.3 knyttes til følgende GDPR artikler:
- Artikel 5 (1) (a) — Princippet om lovlighed, retfærdighed og gennemsigtighed
- Artikel 5 (1) (b) — Princippet om formålsbegrænsning, der kræver, at personoplysninger indsamles til specifikke, udtrykkeligt angivne og legitime formål og ikke viderebehandles på en måde, der er uforenelig med disse formål
- Artikel 28 (3) (a) — Databehandleren må kun behandle personoplysninger efter dokumenterede instruktioner fra den dataansvarlige
- artikel 29 — Databehandleren må ikke behandle personoplysninger undtagen efter instruks fra den dataansvarlige
- Artikel 32 (4) — Enhver person, der handler under databehandlerens myndighed, og som har adgang til personoplysninger, må ikke behandle dem, undtagen efter instruks fra den dataansvarlige
Under GDPR, en databehandler, der behandler data ud over kundens dokumenterede instruktioner, risikerer at blive omklassificeret som dataansvarlig for den pågældende behandling med alle de juridiske forpligtelser, det medfører.
Hvad har ændret sig fra ISO 27701:2019?
For en trinvis fremgangsmåde, se Overgangen fra 2019 til 2025.
I 2019-udgaven blev dette krav behandlet inden for den bredere klausulstruktur. 2025-udgaven indeholder A.2.2.3 som en selvstændig kontrol med implementeringsvejledning i B.2.2.3, der præciserer grænsen mellem legitim teknisk skønsbeføjelse og uautoriseret formålsudvidelse. Se Bilag F korrespondancetabel for den fulde kortlægning.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Hvilken dokumentation forventer revisorer?
Ved vurdering af overholdelse af A.2.2.3 vil revisorer typisk se efter:
- Dokumenterede kundeinstruktioner — Klare, skriftlige instruktioner fra hver kunde, der specificerer de formål, hvortil PII må behandles
- Behandling af optegnelser — Optegnelser, der viser, at de faktiske behandlingsaktiviteter er i overensstemmelse med dokumenterede kundeinstruktioner
- Verifikationsmekanismer — Dokumentation for, at kunder kan verificere formålsoverholdelse, såsom revisionsrettigheder, rapporteringsmuligheder eller dashboards for gennemsigtighed
- Underleverandørkontroller — Dokumentation for, at formålsbegrænsningsforpligtelsen videreføres til eventuelle underleverandører, der er involveret i behandling af personoplysninger
- uddannelse af personalet — Træningsregistreringer, der viser, at personalet forstår, at de ikke må behandle personoplysninger ud over kundens dokumenterede formål.
Hvad er de relaterede kontroller?
| kontrol | Relationship |
|---|---|
| A.2.2.2 Kundeaftale | Kontrakten skal dokumentere formålene med og instruktionerne for behandlingen |
| A.2.2.4 Brug af markedsføring og reklame | Et specifikt forbud mod at bruge personoplysninger til markedsføring ud over kundens instruktioner |
| A.2.2.5 Krænkende instruktion | Databehandleren skal markere kundeinstruktioner, der kan være i strid med loven. |
| A.2.5.8 Inddragelse af underleverandør | Underleverandører skal også være bundet af kundens formålsbegrænsninger |
| A.2.2.7 Forarbejdningsregistre | Registreringer skal vise, at behandlingen er i overensstemmelse med dokumenterede formål |
Hvem gælder denne kontrol for?
A.2.2.3 gælder udelukkende for PII-processorerDet er databehandlerens implementering af formålsbegrænsningsprincippet. Databehandlere definerer formålene; databehandlere skal holde sig strengt inden for disse grænser. Enhver behandling til organisationens egne formål (analyse, produktforbedring, AI-træning) uden udtrykkelig godkendelse fra kunden ville overtræde denne kontrol.
Kom nemt i gang med en personlig produktdemo
En af vores onboarding-specialister vil guide dig gennem vores platform for at hjælpe dig med at komme godt i gang med selvtillid.
Hvorfor vælge ISMS.online for overholdelse af formålsbegrænsning?
ISMS.online giver praktiske værktøjer til at demonstrere formålsbegrænsning som databehandler:
- Behandlingsregister — Dokumentere og vedligeholde et register over behandlingsaktiviteter pr. kunde, knyttet til deres dokumenterede instruktioner og formål
- Sporing af kundeinstruktioner — Registrer kundens instruktioner med versionskontrol, så du kan demonstrere, hvilke instruktioner der var gældende på et hvilket som helst tidspunkt
- Underleverandørstyring — Begrænsninger af flowformål ned til underleverandører med kontraktsporing og compliance-overvågning
- Revisionsstøtte — Giv kunderne dokumentationspakker, der demonstrerer overholdelse af formålet, og som understøtter deres verifikationsrettigheder
- Politikstyring — Udgiv og distribuer politikker for formålsbegrænsning til personale med kvitteringssporing
Ofte Stillede Spørgsmål
Kan en databehandler bruge personoplysninger til sine egne analyser eller produktforbedring?
Ikke uden udtrykkelig tilladelse fra kunden. Brug af kundens personoplysninger til databehandlerens egne formål – såsom træning af maskinlæringsmodeller, benchmarking, produktforbedring eller analyser – er behandling ud over de dokumenterede instruktioner og overtræder A.2.2.3. I henhold til GDPR kan en databehandler, der ensidigt beslutter at behandle data til sine egne formål, behandles som dataansvarlig for den pågældende behandling og arver alle forpligtelser som dataansvarlig og potentielt ansvar.
Hvad er grænsen mellem teknisk skøn og formålsudvidelse?
Teknisk skøn betyder, at databehandleren kan beslutte, hvordan kundens formål effektivt opnås – for eksempel at vælge, hvilke servere der skal bruges, hvordan behandlingsressourcer skal allokeres, eller hvilken cachingstrategi der skal anvendes. Formålsudvidelse betyder, at databehandleren bruger dataene til et formål, som kunden ikke har instrueret – for eksempel at analysere PII-mønstre med henblik på databehandlerens egen forretningsindsigt. Testen er, om behandlingen tjener kundens dokumenterede formål eller databehandlerens egne interesser.
Hvordan skal formålsbegrænsninger kommunikeres til personalet?
Alt personale, der har adgang til kunders personoplysninger, bør forstå, at de kun må behandle dem til de formål, der er dokumenteret i kundens instruktioner. Dette bør dækkes i onboarding-træning, forstærkes i regelmæssige oplysningssessioner og afspejles i rollebaserede adgangskontroller. Tekniske kontroller bør også håndhæve formålsbegrænsning, hvor det er muligt – for eksempel begrænsning af dataeksport, forhindring af massedownloads og logføring af al adgang til revisionsformål.
SaaS-organisationer står over for unikke processorudfordringer – se vores vejledning til SaaS-platforme.
Vores vejledning om krav til revisionsbeviser dækker den dokumentation, som revisorer forventer i forbindelse med databehandlerkontroller.
