ISO 27701 paragraf 7.3.1 – Fastlæggelse og opfyldelse af forpligtelser over for PII-princippere
Formål med paragraf 7.3.1
Organisationer skal først etablere og derefter fuldt ud dokumentere deres juridiske, lovgivningsmæssige og virksomhed forpligtelser over for PII-opdragsgivere.
Vejledning til punkt 7.3.1
Organisationer bør levere, hvad ISO anser for at være "passende midler" til at imødekomme PII-princippernes behov, herunder gennemsigtig dokumentation og et udpeget kontaktpunkt.
NB. Kontaktmetoder bør være identiske med de måder, hvorpå organisationen indsamler PII.
ISO 27701 klausul 7.3.2 – Bestemmelse af oplysninger til PII-principaler
Formål med paragraf 7.3.2
Organisationer skal skitsere og dokumentere de oplysninger, som PII-princippere modtager, i forbindelse med behandlingen af PII.
Vejledning til punkt 7.3.2
Organisationer bør skitsere et kategorisk sæt krav, der dikterer, hvornår oplysninger skal gives til PII-princippere, og hvad disse oplysninger er, for eksempel:
- Formålet med at PII'en indsamles og behandles.
- Virksomhedens kontaktoplysninger.
- Hvordan og hvor PII blev opnået.
- Kontraktmæssige og/eller lovbestemte krav.
- Hvordan samtykke kan fjernes.
- PII-overførsler.
- Sådan indgiver du en officiel klage.
- Hvordan træffes beslutninger vedrørende behandlingen af PII.
- Opbevaringsperioder for PII.
ISO 27001 gjort nemt
Et forspring på 81% fra dag ét
Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på. Alt du skal gøre er at udfylde de tomme felter.
ISO 27701 klausul 7.3.3 – Levering af oplysninger til PII Principals
Formål med paragraf 7.3.3
Organisationer skal give 'klare og tilgængelige' oplysninger, der fastslår, hvem PII-controlleren er, og hvordan den behandles.
Vejledning til punkt 7.3.3
Al information bør gives fejlfrit og i et sprog, der er let forståeligt (f.eks. mangler jargon, ikke overdrevent teknisk) af de personer, der har evnen til at læse dem (se ISO 27702 paragraf 7.3.2).
Relevante ISO 27701-klausuler
- ISO 27701 7.3.2
ISO 27701 paragraf 7.3.4 – Tilvejebringelse af mekanisme til at ændre eller tilbagekalde samtykke
Formål med paragraf 7.3.4
PII-personer skal have et middel til at trække samtykke til indsamling eller behandling af PII tilbage.
Vejledning til punkt 7.3.4
På et grundlæggende niveau skal organisationer levere en mekanisme, der beskriver rettighederne for enhver PII-rektor, der ønsker at trække samtykke tilbage, sammen med instruktioner om, hvordan man gør det, som er i overensstemmelse med de metoder, der bruges til at indsamle PII (f.eks. e-mail, telefon) .
PII principaler bør også være i stand til at "modificere" samtykke – dvs. begrænse den registeransvarlige i at udføre visse handlinger, såsom sletning af PII. Sådanne anmodninger bør dokumenteres i overensstemmelse med procedurerne for fjernelse af samtykke.
Organisationer bør forpligte sig til en offentliggjort responstid for enhver ændring eller tilbagetrækning af samtykkeanmodninger.
ISO 27701 paragraf 7.3.5 – Tilvejebringelse af mekanisme til at ændre eller tilbagekalde samtykke
Formål med paragraf 7.3.5
PII-princippere skal have mulighed for at gøre indsigelse mod behandlingen af deres PII.
Vejledning til punkt 7.3.5
Lovene varierer fra region til region, men nogle jurisdiktioner giver PII-princippere ret til at gøre indsigelse vedrørende behandlingen af deres PII.
Organisationer bør gribe denne funktion an på to måder:
- Ved at dokumentere eventuelle juridiske eller regulatoriske krav, der er relateret til de specifikke indvendinger, som er rejst af PII-principper.
- At give rektor information om, hvordan de kan gøre indsigelse.
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
ISO 27701 paragraf 7.3.6 – Adgang, rettelse og/eller sletning
Formål med paragraf 7.3.6
Organisationer bør udarbejde, dokumentere og implementere procedurer, der gør det muligt for PII-princippere adgang, korrigere og / eller slette deres PII.
Vejledning til punkt 7.3.6
Procedurer bør omfatte mekanismer, hvorigennem PII-principperen er i stand til at udføre ovenstående handling, herunder hvordan organisationen skal informere rektor, hvis rettelser ikke kan foretages.
Organisationer bør forpligte sig til en offentliggjort responstid for alle anmodninger om adgang, rettelser eller sletning.
Det er meget vigtigt at kommunikere sådanne anmodninger til tredjeparter, der er blevet overført PII (se ISO 27701 paragraf 7.3.7).
En PII-forhandlers evne til at anmode om rettelser eller sletninger er dikteret af den jurisdiktion, som organisationen opererer i. Som sådan bør virksomheder holde sig orienteret om eventuelle juridiske eller regulatoriske ændringer, der styrer deres forpligtelser over for PII.
Relevante ISO 27701-klausuler
- ISO 27701 7.3.7
ISO 27701 paragraf 7.3.7 – PII-kontrollanters forpligtelser til at informere tredjeparter
Formål med paragraf 7.3.7
Fra tid til anden kan der opstå behov for at dele PII med tredjeparter (ved hjælp af de relevante kanaler).
Organisationer skal informere sådanne virksomheder om enhver anmodning om ændring, tilbagetrækning af samtykke eller indsigelser i forbindelse med enhver PII, der er blevet delt.
Vejledning til punkt 7.3.7
Organisationer bør bruge de relevante tekniske kanaler for at sikre, at tredjeparter informeres hurtigt og præcist og i overensstemmelse med eventuelle regionale lov- eller reguleringskrav.
Hvor det er muligt, bør organisationer uddelegere denne funktion til en dedikeret person og tage skridt til at sikre, at sådanne anmodninger er blevet anerkendt.
ISO 27701 klausul 7.3.8 – Levering af kopi af behandlet PII
Formål med paragraf 7.3.8
Det er meget vigtigt, at organisationer efter anmodning er i stand til at levere en kopi af enhver PII, der er blevet behandlet.
Vejledning til punkt 7.3.8
ISO kræver, at organisationer leverer en kopi af PII i et brugervenligt format, der er let tilgængeligt for PII-principperen.
Organisationer bør være meget omhyggelige med at sikre, at alle oplysninger, der gives, vedrører Alene til PII-rektor, der anmodede om det.
PII-identifikationslovene varierer fra region til region, men hvis PII'en har gennemgået en afidentifikationsproces, bør organisationerne ikke forsøge at genidentificere, medmindre det er lovligt forpligtet til at gøre det.
Organisationer bør også undersøge metoder til at overføre PII direkte til en anden organisation, hvis du bliver bedt om det.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
ISO 27701 paragraf 7.3.9 – Håndtering af anmodninger
Formål med paragraf 7.3.9
Organisationer skal overholde et konkret sæt procedurer, der styrer, hvordan de skal reagere på anmodninger fra PII-princippere.
Vejledning til punkt 7.3.9
Anmodninger kan variere fra (men er ikke begrænset til) en kopi af PII eller indgivelse af en klage og bør behandles inden for en offentliggjort svartid, der tager hensyn til anmodningens art.
Afhængigt af jurisdiktionen kan organisationer også opkræve et ekspeditionsgebyr, men dette er normalt begrænset til overdrevne eller gentagne anmodninger.
ISO 27701 paragraf 7.3.10 – Automatiseret beslutningstagning
Formål med paragraf 7.3.10
Organisationer bør imødekomme alle juridiske forpligtelser over for PII-princippere, der er relateret til den automatiske behandling af PII.
Vejledning til punkt 7.3.10
Organisationer bør tage højde for jurisdiktionsvariationer i automatiseret beslutningstagning vedrørende PII – mere specifikt, at tillade PII-principper at gøre indsigelse og anmode om menneskelig indgriben i stedet for automatiserede procedurer.
Understøttende GDPR-artikler
Forskellige elementer i ISO 27701 paragraf 7.3 er gældende i Storbritannien GDPR lovgivning. Tag et kig på nedenstående tabel for de tilsvarende referencer.
| ISO 27701 klausulidentifikator | ISO 27701-klausulens navn | Tilknyttede GDPR-artikler |
|---|---|---|
| 7.3.1 | Fastlæggelse og opfyldelse af forpligtelser over for PII-rektorer | Artikel (12) |
| 7.3.2 | Fastlæggelse af oplysninger til PII Principals | Artikler (11), (13), (14), (15), (18), (21) |
| 7.3.3 | Oplysninger til PII Principals | Artikler (11), (12), (13), (21) |
| 7.3.4 | Tilvejebringelse af mekanisme til at ændre eller trække samtykke tilbage | Artikler (7), (13), (14), (18) |
| 7.3.5 | Tilvejebringelse af mekanisme til at gøre indsigelse mod PII-behandling | Artikler (13), (14), (21) |
| 7.3.6 | Adgang, rettelse og/eller sletning | Artikler (5), (13), (14), (16), (17) |
| 7.3.7 | PII-kontrollanters forpligtelser til at informere tredjeparter | Artikel (19) |
| 7.3.8 | Levering af kopi af behandlet PII | Artikler (15), (20) |
| 7.3.9 | Håndtering af anmodninger | Artikler (12), (15) |
| 7.3.10 | Automatiseret beslutningstagning | Artikler (13), (14), (22) |
Hvordan ISMS.online hjælper
ISMS.online platformen tilbyder integreret assistance på alle trin, og vores 'Adopter, Adapt, Add' implementeringstilgang til ISO 27701 for at gøre processen meget lettere.
Du vil også drage fordel af en række tidsbesparende funktioner.
Hvis du af en eller anden grund oplever mangel på selvtillid, evner eller lysten til at handle under din rejse til ISO 27701, kan vi stille vores team af interne eksperter til rådighed eller anbefale en af vores betroede partnere til at give din indsats et løft.
Find ud af mere ved booking af en demo.
