Hvad kræver kontrol A.2.5.6?
Organisationen skal afvise alle anmodninger om videregivelse af personoplysninger, der ikke er juridisk bindende, konsultere den pågældende kunde, før der foretages videregivelse af personoplysninger, og acceptere alle kontraktligt aftalte anmodninger om videregivelse af personoplysninger, der er godkendt af den pågældende kunde.
Denne kontrol ligger inden for PII-processorkontroller bilag (A.2) og etablerer en klar beslutningsramme for håndtering af anmodninger om videregivelse af personoplysninger. Det skaber et hierarki: afvis anmodninger, der mangler juridisk kraft, konsulter den dataansvarlige før videregivelse, og overhold kontraktligt aftalte videregivelser, som kunden har godkendt. Dette forhindrer databehandlere i at videregive personoplysninger uden behørig bemyndigelse.
Hvad står der i implementeringsvejledningen i bilag B?
Bilag B (afsnit B.2.5.6) indeholder følgende vejledning:
- Kontraktlige detaljer — Detaljer om, hvordan anmodninger om offentliggørelse håndteres, kan inkluderes i kundekontrakten
- Kilder til anmodninger — Anmodninger om offentliggørelse kan stamme fra domstole, tribunaler, administrative myndigheder eller ethvert andet organ med jurisdiktionel myndighed
- Se også A.2.5.3: Lande og internationale organisationer til overførsel af personoplysninger for relaterede krav
- Se også A.2.5.7: Videregivelse af underleverandører, der anvendes til behandling af personoplysninger for relaterede krav
Vejledningen er bevidst kortfattet, fordi selve kontrollen er meget præskriptiv. Den tredelte forpligtelse er klar: afvis ikke-bindende anmodninger, hør kunden om bindende anmodninger og accepter kundegodkendte anmodninger. Kontrakten bør definere procedurerne for hvert scenarie, herunder hvordan databehandleren afgør, om en anmodning er juridisk bindende, hvordan kundehøring finder sted, og hvilke forhåndsgodkendte oplysninger kunden har accepteret.
Hvordan relaterer dette sig til GDPR?
Kontrol A.2.5.6 knyttes til følgende GDPR artikel:
- artikel 48 — Enhver dom afsagt af en domstol eller et tribunal og enhver afgørelse truffet af en administrativ myndighed i et tredjeland, der kræver, at en dataansvarlig eller databehandler overfører eller videregiver personoplysninger, må kun anerkendes eller håndhæves, hvis den er baseret på en international aftale, såsom en traktat om gensidig retshjælp, der er gældende mellem det anmodende tredjeland og Unionen eller en medlemsstat.
GDPR Artikel 48 er særligt relevant for databehandlere, der opererer internationalt. Den fastslår, at udenlandske retskendelser og administrative afgørelser ikke i sig selv kan pålægge videregivelse af personoplysninger, medmindre der foreligger en international aftale. Dette styrker databehandlerens forpligtelse til at afvise ikke-bindende anmodninger og til at verificere retsgrundlaget før videregivelse.
Hvad har ændret sig fra ISO 27701:2019?
For en trinvis fremgangsmåde, se Overgangen fra 2019 til 2025.
I 2019-udgaven blev dette krav behandlet inden for den bredere klausulstruktur. 2025-udgaven indeholder A.2.5.6 som en selvstændig kontrol med implementeringsvejledning i B.2.5.6, der præciserer kilderne til anmodninger om offentliggørelse (domstole, tribunaler, administrative myndigheder) og kundekontraktens rolle. Se Bilag F korrespondancetabel for den fulde kortlægning.
Kom nemt i gang med en personlig produktdemo
En af vores onboarding-specialister vil guide dig gennem vores platform for at hjælpe dig med at komme godt i gang med selvtillid.
Hvilken dokumentation forventer revisorer?
Ved vurdering af overholdelse af A.2.5.6 vil revisorer typisk se efter:
- Procedure for beslutning om offentliggørelse — En dokumenteret procedure for evaluering af anmodninger om offentliggørelse, herunder hvordan organisationen afgør, om en anmodning er juridisk bindende
- Afvisningsregistreringer — Optegnelser over ikke-bindende anmodninger om fremlæggelse af oplysninger, der er blevet afvist, herunder grundlaget for afvisningen og eventuel korrespondance med den anmodende part
- Kundekonsultationsoptegnelser — Dokumentation for kundekonsultation før videregivelse af oplysninger, herunder kommunikationen, kundens svar og den trufne beslutning
- Forhåndsgodkendte oplysninger — Kontraktklausuler, der definerer oplysninger, som kunden har forhåndsgodkendt, hvilket fjerner behovet for konsultation i hvert enkelt tilfælde
- Juridisk vurderingskapacitet — Dokumentation for, at organisationen har adgang til juridisk rådgivning med henblik på at vurdere, om anmodninger er juridisk bindende, især for anmodninger fra udenlandske jurisdiktioner
Hvad er de relaterede kontroller?
| kontrol | Relationship |
|---|---|
| A.2.5.5 Meddelelse om anmodninger om offentliggørelse | Underretning er det første skridt; denne kontrol styrer beslutningen om at videregive eller afvise |
| A.2.5.4 Registrering af oplysninger om personoplysninger | Alle oplysninger (og afvisninger) skal registreres |
| A.2.2.2 Kundeaftale | Kontrakten definerer proceduren for offentliggørelsesbeslutninger og forhåndsgodkendte offentliggørelser |
| A.2.5.2 Grundlag for overførsel af personoplysninger | Lovligt påbudte videregivelser til udenlandske myndigheder skal have et gyldigt overførselsgrundlag |
| A.2.2.4 Brug af markedsføring og reklame | Videregivelse til markedsføringsformål kræver specifik kundetilladelse |
Hvem gælder denne kontrol for?
A.2.5.6 gælder udelukkende for PII-processorerDatabehandlere handler på vegne af dataansvarlige og bør ikke uafhængigt beslutte at videregive personoplysninger til tredjeparter. Denne kontrol sikrer, at databehandlere kun videregiver personoplysninger, når der enten er en juridisk bindende forpligtelse til at gøre det eller udtrykkelig tilladelse fra kunden. Frivillig videregivelse uden kundens samtykke eller juridisk tvang er ikke tilladt.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Hvorfor vælge ISMS.online til styring af beslutninger om offentliggørelse?
ISMS.online giver praktiske værktøjer til håndtering af beslutninger om offentliggørelse af personoplysninger:
- Beslutningsarbejdsgange — Strukturerede arbejdsgange til evaluering af anmodninger om offentliggørelse, med forgreningslogik for juridisk bindende, ikke-bindende og kundegodkendte anmodninger
- Sporing af juridisk vurdering — Registrer juridiske vurderinger af, om anmodninger er bindende, herunder jurisdiktion, citerede lovbestemmelser og indhentet juridisk rådgivning
- Kunderådgivning — Administrer kundekonsultationer på platformen, sporing af anmodninger, kommunikation, svar og endelig beslutning
- Afvisningshåndtering — Dokumentér afviste anmodninger med grundlaget for afvisningen, og opret en forsvarlig registrering til lovgivningsmæssig eller juridisk gennemgang
- Kontraktintegration — Forbind oplysningsprocedurer med bestemmelser i kundekontrakter, hvilket sikrer, at forhåndsgodkendte oplysninger identificeres og håndteres ensartet
Ofte Stillede Spørgsmål
Hvordan afgør databehandleren, om en anmodning er juridisk bindende?
Databehandleren bør vurdere, om den anmodende myndighed har den juridiske beføjelse til at kræve videregivelse, og om anmodningen er korrekt udstedt i henhold til gældende lov. Dette kræver typisk juridisk rådgivning, især for anmodninger fra udenlandske jurisdiktioner. Nøglefaktorer omfatter: om anmodningen henviser til en specifik lovbestemmelse; om den er udstedt af en domstol, et tribunal eller en administrativ myndighed med behørig jurisdiktion; og om den opfylder de formelle krav i gældende lov. Uformelle anmodninger, anmodninger om frivilligt samarbejde og anmodninger, der mangler retsgrundlag, bør afvises.
Kan databehandleren videregive personoplysninger uden at konsultere kunden?
Kun under begrænsede omstændigheder. Hvis kundekontrakten omfatter forhåndsgodkendte videregivelser (f.eks. godkendelse af videregivelse som svar på gyldige retskendelser inden for en bestemt jurisdiktion), kan databehandleren fortsætte uden konsultation fra sag til sag. Derudover, hvis underretning er juridisk forbudt (som beskrevet i A.2.5.5 Anmodninger om videregivelse af personoplysninger), kan databehandleren være nødt til at videregive oplysninger, før kunden kan underrettes. I alle andre tilfælde kræves der i henhold til denne kontrol, at kunden konsulteres inden videregivelse.
Hvad med anmodninger fra udenlandske domstole eller myndigheder?
Artikel 48 i GDPR fastslår, at udenlandske domstolsafgørelser og administrative afgørelser kun kan håndhæves, hvis de er baseret på en international aftale, såsom en traktat om gensidig retshjælp. Det betyder, at en udenlandsk domstolskendelse i sig selv ikke nødvendigvis er en "juridisk bindende" anmodning i henhold til EU-retten. Databehandleren bør indhente juridisk rådgivning, før vedkommende videregiver personoplysninger som svar på anmodninger fra udenlandske myndigheder, og bør konsultere kunden. Hvor der ikke findes en international aftale, bør anmodningen generelt afvises, medmindre andre GDPR-overførselsmekanismer finder anvendelse.
Vores vejledning om krav til revisionsbeviser dækker den dokumentation, som revisorer kræver.
Se vores vejledning til leverandørevaluering for hvordan kunder vurderer databehandleres videregivelsespraksis.
