Hvad kræver kontrol A.2.5.5?
Organisationen skal underrette kunden om eventuelle juridisk bindende anmodninger om videregivelse af personoplysninger.
Denne kontrol ligger inden for PII-processorkontroller bilag (A.2) og omhandler en vigtig gennemsigtighedsforpligtelse. Når en databehandler modtager en juridisk bindende anmodning om videregivelse af personoplysninger (f.eks. fra en retshåndhævende myndighed, domstol eller tilsynsmyndighed), skal den dataansvarlige underrettes. Dette giver den dataansvarlige mulighed for at forstå virkningen på deres data, søge juridisk rådgivning om nødvendigt og opfylde sine egne forpligtelser over for de registrerede.
Hvad står der i implementeringsvejledningen i bilag B?
Bilag B (afsnit B.2.5.5) indeholder følgende vejledning:
- Anmodningernes art — Organisationen kan modtage juridisk bindende anmodninger om videregivelse, for eksempel fra juridiske myndigheder
- Underretningsprocedure — Kunden skal underrettes inden for aftalte tidsrammer og efter en aftalt procedure, som kan defineres i kontrakten.
- Forbud mod underretning — Nogle juridisk bindende anmodninger omfatter et forbud mod underretning, for eksempel i henhold til strafferetlige bestemmelser, der har til formål at bevare efterforskningens fortrolighed
- Se også A.2.5.3: Lande og internationale organisationer til overførsel af personoplysninger for relaterede krav
- Se også A.2.5.7: Videregivelse af underleverandører, der anvendes til behandling af personoplysninger for relaterede krav
Vejledningen anerkender spændingen mellem databehandlerens forpligtelse til at underrette kunden og situationer, hvor underretning er juridisk forbudt. Hvor en retskendelse eller en anmodning fra retshåndhævelse indeholder en fortrolighedsbestemmelse (undertiden kaldet et mundkurvspåbud), kan databehandleren muligvis ikke underrette kunden uden at bryde loven. I sådanne tilfælde skal databehandleren overholde det lovmæssige forbud og underrette kunden, så snart forbuddet ophæves.
Hvordan relaterer dette sig til GDPR?
Kontrol A.2.5.5 knyttes til følgende GDPR artikel:
- Artikel 28 (3) (a) — Databehandleren må kun behandle personoplysningerne efter dokumenterede instruktioner fra den dataansvarlige, medmindre behandling er påkrævet i henhold til EU-ret eller medlemsstatsret, som databehandleren er underlagt; i så fald skal databehandleren underrette den dataansvarlige om dette retlige krav inden behandling, medmindre denne lov forbyder sådan underretning af hensyn til vigtige samfundsinteresser.
GDPR Artikel 28(3)(a) kræver, at databehandlere underretter dataansvarlige, når de er juridisk forpligtet til at behandle (herunder videregive) personoplysninger. Undtagelsen er, hvor loven selv forbyder underretning af hensyn til offentlighedens interesse. Dette afspejler bilag B-vejledningen om underretningsforbud i strafferetlige sammenhænge.
Hvad har ændret sig fra ISO 27701:2019?
For en trinvis fremgangsmåde, se Overgangen fra 2019 til 2025.
I 2019-udgaven blev dette krav behandlet inden for den bredere klausulstruktur. 2025-udgaven indeholder A.2.5.5 som en selvstændig kontrol med implementeringsvejledning i B.2.5.5, der eksplicit omhandler tidsrammer for anmeldelse, kontraktlige procedurer og udfordringerne ved anmeldelsesforbud i henhold til strafferetten. Se Bilag F korrespondancetabel for den fulde kortlægning.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Hvilken dokumentation forventer revisorer?
Ved vurdering af overholdelse af A.2.5.5 vil revisorer typisk se efter:
- Underretningsprocedure — En dokumenteret procedure for underretning af kunder, når der modtages juridisk bindende anmodninger om oplysninger, herunder tidsramme for underretning og kommunikationskanal
- Anmod om register — Et register over modtagne juridisk bindende anmodninger om offentliggørelse, med angivelse af den anmodende myndighed, datoen for modtagelsen, anmodningens omfang, meddelelsesdatoen og eventuelle meddelelsesforbud.
- Kundemeddelelser — Optegnelser over meddelelser sendt til kunder, herunder afsendelsesdato og de givne oplysninger
- Kontraktbestemmelser — Kontraktbestemmelser, der specificerer underretningsproceduren, tidsrammer og kundens foretrukne kommunikationskanal for oplysningsmeddelelser
- Håndtering af forbud — Dokumenterede procedurer for håndtering af situationer, hvor underretning er juridisk forbudt, herunder hvordan forbuddet spores, og hvordan kunden underrettes, når forbuddet ophæves
Hvad er de relaterede kontroller?
| kontrol | Relationship |
|---|---|
| A.2.5.6 Juridisk bindende oplysninger om personoplysninger | Styrer, hvordan databehandleren selv håndterer videregivelsen efter underretning |
| A.2.5.4 Registrering af oplysninger om personoplysninger | Alle oplysninger, der følger af juridisk bindende anmodninger, skal registreres |
| A.2.2.2 Kundeaftale | Kontrakten bør definere anmeldelsesproceduren og tidsfristerne |
| A.2.2.6 Kundens forpligtelser | Underretning om anmodninger om offentliggørelse hjælper kunder med at demonstrere overholdelse af reglerne |
| A.2.5.2 Grundlag for overførsel af personoplysninger | Lovligt pålagte videregivelser kan involvere grænseoverskridende overførsler |
Hvem gælder denne kontrol for?
A.2.5.5 gælder udelukkende for PII-processorerNår en databehandler modtager en juridisk bindende anmodning om videregivelse af oplysninger, har den dataansvarlige en direkte interesse i at kende den. Den dataansvarlige kan være nødt til at informere de registrerede, søge juridisk rådgivning, anfægte anmodningen eller opdatere sine egne registre. Uden underretning fra databehandleren er den dataansvarlige ikke klar over, at der er blevet anmodet om deres data, og kan ikke træffe passende foranstaltninger.
Kom nemt i gang med en personlig produktdemo
En af vores onboarding-specialister vil guide dig gennem vores platform for at hjælpe dig med at komme godt i gang med selvtillid.
Hvorfor vælge ISMS.online til håndtering af anmodninger om offentliggørelse?
ISMS.online giver praktiske værktøjer til håndtering af juridisk bindende anmodninger om offentliggørelse:
- Anmod om sporing — Registrer og spor juridisk bindende anmodninger om offentliggørelse med strukturerede felter for anmodende myndighed, omfang, modtagelsesdato og meddelelsesstatus
- Meddelelsesarbejdsgange — Udløs automatiserede arbejdsgange for kundemeddelelser, når en anmodning om offentliggørelse modtages, med konfigurerbare tidsrammer og kommunikationskanaler.
- Forbudshåndtering — Markér anmodninger med meddelelsesforbud, angiv gennemgangsdatoer for, hvornår forbuddet udløber, og udløs automatisk forsinkede meddelelser
- Revisionsspor — Oprethold et komplet revisionsspor for alle anmodninger, meddelelser og svar om offentliggørelse, klar til gennemgang af myndigheder eller kunder
- Kontraktkobling — Forbind procedurer for offentliggørelsesmeddelelser med relevante bestemmelser i kundekontrakter, hvilket sikrer konsekvent overholdelse
Ofte Stillede Spørgsmål
Hvad kvalificerer som en juridisk bindende anmodning om offentliggørelse?
En juridisk bindende anmodning om offentliggørelse er en anmodning, som databehandleren er juridisk forpligtet til at overholde. Dette omfatter retskendelser, stævninger, kendelser, krav om lovgivningsmæssig undersøgelse og lovpligtige offentliggørelsesforpligtelser. Uformelle anmodninger fra myndigheder (hvor overholdelse er frivillig) behandles separat under A.2.5.6 Juridisk bindende oplysningerDen vigtigste forskel er, om databehandleren har en juridisk forpligtelse til at videregive oplysninger, ikke om anmodningen kommer fra en offentlig myndighed.
Hvad hvis databehandleren har forbud mod at underrette kunden?
Nogle juridisk bindende anmodninger indeholder en fortrolighedsbestemmelse, der forbyder databehandleren at underrette nogen om anmodningen. Dette er almindeligt i strafferetlige efterforskninger, hvor underretning kan kompromittere efterforskningen. I sådanne tilfælde skal databehandleren overholde forbuddet. Databehandleren bør dog spore forbuddet, gennemgå, om det er blevet ophævet eller udløbet, og underrette kunden, så snart det er tilladt i henhold til loven. Databehandlerens procedurer bør dokumentere, hvordan disse situationer håndteres.
Hvor hurtigt skal kunderne underrettes?
Standarden specificerer ikke en tidsramme for underretning, idet det angiver, at kunder skal underrettes inden for "aftalte tidsrammer" i henhold til kontrakten. I praksis bør underretningen gives hurtig nok til, at kunden kan handle, før videregivelsen finder sted, hvis det er muligt. Mange kontrakter kræver underretning inden for 24 til 72 timer efter modtagelsen af anmodningen. Den specifikke tidsramme bør afbalancere anmodningens hastende karakter, kundens behov for at svare og eventuelle juridiske frister.
Vores vejledning om krav til revisionsbeviser dækker den dokumentation, som revisorer kræver.
Se vores vejledning til leverandørevaluering for hvordan kunder vurderer databehandleres videregivelsespraksis.
