ISO 27701 – Punkt 7.2 – Betingelser for indsamling og behandling

Forståelse af ISO 27701, punkt 7.2: Betingelser for lovlig PII-behandling

ISO 27701 paragraf 7.2 (Betingelser for indsamling og behandling) indeholder vejledning i, hvordan man beviser og dokumenterer, at organisationens PII-behandlingsaktiviteter er lovlige og opererer inden for de relevante juridiske grænser.

Her er en oversigt over ISO's klausulspecifikke vejledning sammen med det tilsvarende UK GDPR citater (tabel over linkede citater nederst på siden).

Bemærk venligst, at GDPR-henvisninger kun er vejledende. Organisationer bør granske lovgivningen og foretage deres egen vurdering af, hvilke dele af loven, der gælder for dem.

ISO 27701 paragraf 7.2.1 – Identificer og dokumenter formål

Formål med paragraf 7.2.1

Organisationer skal først identificere og derefter registrere de specifikke årsager til at behandle den PII, de bruger.

Vejledning til punkt 7.2.1

PII-princippere skal være fuldt ud fortrolige med alle de forskellige årsager til, hvorfor deres PII bliver behandlet.

Det er organisationens ansvar at formidle disse grunde til PII-rektorer sammen med en 'klar erklæring' om, hvorfor de skal behandle deres oplysninger.

Al dokumentation skal være klar, omfattende og let forståelig af enhver PII-principal, der læser den – inklusive alt, der vedrører samtykke, samt kopier af interne procedurer (se ISO 27701 paragraf 7.2.3, 7.3.2 og 7.2.8).

Relevante ISO 27701-klausuler

• ISO 27701 7.2.3
• ISO 27701 7.3.2
• ISO 27701 7.2.8

ISO 27701 paragraf 7.2.2 – Identificer lovligt grundlag

Formål med paragraf 7.2.2

Afhængigt af jurisdiktionen kan organisationer blive nødt til det bevise, at deres PII-behandlingsaktiviteter er lovlige før de begynder.

Vejledning til punkt 7.2.2

For at danne et retsgrundlag for behandling af PII bør organisationer:

• Søg samtykke fra PII-rektorer.
• Udarbejde en kontrakt.
• Overhold forskellige andre juridiske forpligtelser.
• Beskyt de forskellige PII principals 'vitale interesser'.
• Sikre, at de opgaver, der udføres, er i offentlighedens interesse.
• Bekræft, at PII-behandling er en legitim interesse.

For hvert punkt nævnt ovenfor bør organisationer kunne tilbyde dokumenteret bekræftelse.

Organisationer skal også overveje eventuelle "særlige kategorier" af PII, der vedrører deres organisation, i deres dataklassifikationsskema (se ISO 27701, punkt 7.2.8) (klassifikationer kan variere fra region til region).

Hvis organisationer oplever ændringer i deres underliggende årsager til at behandle PII, bør dette straks afspejles i deres dokumenterede retsgrundlag.

Relevante ISO 27701-klausuler

• ISO 27701 7.2.8

ISO 27701 paragraf 7.2.3 – Bestem hvornår og hvordan samtykke skal indhentes

Formål med paragraf 7.2.3

Det skal organisationerne kunne demonstrere samtykke til behandling er lovligt indhentet fra PII principaler.

Vejledning til punkt 7.2.3

Organisationer bør kunne dokumentere årsagerne til at søge samtykke, og hvordan det skal indhentes.

PII-bestemmelser varierer fra region til region, så organisationer skal hele tiden være opmærksomme på lokale og/eller nationale love og regler, der kan regulere, hvordan de opnår samtykke, sammen med eventuelle særlige betingelser knyttet til visse datatyper (f.eks. børn).

ISO 27701 paragraf 7.2.4 – Indhent og registrer samtykke

Formål med paragraf 7.2.4

Når de har fastslået, at samtykke er påkrævet, bør organisationer indhente samtykke i henhold til deres unikke krav.

Vejledning til punkt 7.2.4

Organisationer skal indsamle samtykke på en måde, der gør det nemt for PII-personer at anmode om oplysninger om, hvordan det blev opnået (tidsstempler, hvem der anmodede om det osv.) (se ISO 27701 paragraf 7.3.3).

Samtykke er afhængig af tre underliggende juridiske bestemmelser: det skal være det frit stillet til rådighed, der vedrører årsag til behandlingen og klar i sin hensigt.

ISO 27701 paragraf 7.2.5 – Vurdering af privatlivets fred

Formål med paragraf 7.2.5

Vurderinger af privatlivets fred giver organisationer mulighed for at måle eventuelle informationssikkerhedsimplikationer, når de behandler et nyt sæt PII eller ændrer den måde, eksisterende data behandles på.

Vejledning til punkt 7.2.5

PII-behandling er en risikotung forretningsfunktion, der skal vurderes grundigt for at sikre integriteten, ægtheden og lovligheden af ​​de data, der behandles.

Afhængigt af jurisdiktionen skal nogle organisationer overholde en kategorisk liste over scenarier, hvor der kræves en vurdering af privatlivets fred, såsom:

• Automatiseret beslutningstagning.
• Behandling på virksomhedsniveau af særlige PII-kategorier.
• Overvågning af store offentlige arealer.

Organisationer skal fastslå, hvad der udgør en passende konsekvensanalyse, herunder (men ikke begrænset til):

1. Hvilken slags PII bliver gemt.
2. Hvor det bliver opbevaret.
3. Hvor den kan flyttes hen.

ISO 27701 klausul 7.2.6 – Kontrakter med PII-processorer

Formål med paragraf 7.2.6

Organisationer skal indgå skriftlige, bindende kontrakter med enhver ekstern PII-behandler, som den bruger.

Vejledning til punkt 7.2.6

Alle kontrakter skal sikre, at PII-behandleren implementerer alle de nødvendige oplysninger indeholdt i ISO 27701 Annex B, med særlig opmærksomhed på risikovurderingskontroller (ISO 27701, punkt 5.4.1.2) og det overordnede omfang af behandlingsaktiviteterne (se ISO 27701, punkt 6.12 )

Organisationer skal være i stand til at retfærdiggøre udeladelsen af ​​kontroller indeholdt i bilag B i deres forhold til PII-behandleren (se ISO 27701, punkt 5.4.1.3).

ISO 27701 paragraf 7.2.7 – Joint PII Controller

Formål med paragraf 7.2.7

Organisationer skal skitsere detaljerne i enhver fælles PII-behandlingsordning med en medfølgende PII-controller – dette inkluderer generelle beskyttelsesforanstaltninger og alle tilhørende sikkerhedskrav.

Vejledning til punkt 7.2.7

Roller og ansvar skal være klare og utvetydige og skitseret i et juridisk bindende dokument (nogle gange kaldet en 'datadelingsaftale').

Aftaler kan omfatte (blandt andre foranstaltninger):

• Hvorfor PII bliver delt.
• Datakategorier.
• En generel oversigt over PII-behandlingen.
• Eventuelle relevante roller og ansvarsområder.
• Hvordan fortrolighedsinformationssikkerhed skal styres.
• Hvilke handlinger skal der tages i tilfælde af et databrud.
• Hvordan PII skal bevares og destrueres, når det ikke længere er nødvendigt.
• Hvad sker der, når en af ​​parterne misligholder aftalen.
• Hvad er begge parters forpligtelser over for PII principaler.
• Hvilke mekanismer er på plads for at give PII-principper relevante detaljer om den fælles aftale.
• Hvordan PII-rektorer kan fremsætte officielle anmodninger, og hvordan man formulerer og leverer et svar.
• Kontaktpunkter – både internt og for PII-principper at bruge.

ISO 27701 paragraf 7.2.8 – Optegnelser relateret til behandling af PII

Formål med paragraf 7.2.8

Organisationer skal opretholde et grundigt sæt af registreringer, der understøtter deres handlinger og forpligtelser som PII-behandler.

Vejledning til punkt 7.2.8

Optegnelser (også kendt som "beholdningslister") bør have en delegeret ejer og kan omfatte:

1. Operationel – den specifikke type PII-behandling, der udføres.
2. Begrundelser – hvorfor PII'en behandles.
3. Kategorisk – lister over PII-modtagere, herunder internationale organisationer.
4. Sikkerhed – et overblik over, hvordan PII bliver beskyttet.
5. Privatliv – altså en rapport om konsekvensanalyse af privatlivets fred.

Understøttende GDPR-artikler

Forskellige elementer i ISO 27701 paragraf 7.2 er gældende inden for britisk GDPR-lovgivning. Tag et kig på nedenstående tabel for de tilsvarende referencer.

Hvordan ISMS.online hjælper

Processen med at implementere ISO 27701 kan være udfordrende, især hvis du aldrig har påtaget dig et projekt som dette før. ISMS.online kan hjælpe dig!

Vores ISO 27701 rammer giver din virksomhed mulighed for at demonstrere overholdelse af ISO 27701 standarden.

Vores informationssikkerhedsspecialister kan hjælpe dig med at skabe en logisk implementeringsprocedure, der overholder rammerne.

Find ud af mere ved booking af en demo.