Forståelse af ISO 27701 punkt 8.2: Betingelser for lovlig databehandling
Overholdelse af ISO 27701 paragraf 8.2 sikrer, at organisationer handler lovligt, når de indsamler og behandler PII, og er i overensstemmelse med gældende love eller regulatoriske bestemmelser, uanset hvor de behandler PII.
ISO 27701 klausul 8.2.1 – Kundeaftale
Formål med paragraf 8.2.1
Der bør udarbejdes kontrakter om behandling af PII, der adresserer organisationens behov for at yde assistance til kunden og deres forpligtelser.
Vejledning til punkt 8.2.1
Kontrakter skal indeholde:
- Begrebet 'privacy by design' (se ISO 27701 paragraf 7.4 og 8.4).
- Hvordan organisationen agter at opnå sikkerhed ved behandling.
- Hvordan brud skal rapporteres, herunder kunde, principaler og regulerende myndigheder.
- Hvordan privatlivsvurderinger skal håndteres.
- Bekræftelse af organisationens hensigt om at yde bistand til PII-beskyttelsesmyndigheder.
Relevante ISO 27701-klausuler
- ISO 27701 7.4
- ISO 27701 8.4
ISO 27701 klausul 8.2.2 – Organisationens formål
Formål med paragraf 8.2.2
Fra begyndelsen bør PII kun behandles i overensstemmelse med kundens instruktioner.
Vejledning til punkt 8.2.2
Kontrakter bør omfatte SLA'er vedrørende gensidige mål og eventuelle tilknyttede tidsskalaer, som de skal gennemføres inden for.
Organisationer bør anerkende deres ret til at vælge de særskilte metoder, der bruges til at behandle PII, som lovligt opnår det, kunden søger, men uden at det er nødvendigt at indhente detaljerede tilladelser til, hvordan organisationen gør det på et teknisk niveau.
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
ISO 27701 paragraf 8.2.3 – Markedsføring og annonceringsbrug
Formål med paragraf 8.2.3
Organisationer skal indhente tilladelse fra PII-princippet, før de anvender data, der leveres til markedsførings- eller reklameformål, og sikre, at accept af en sådan brug ikke er en forudsætning for, at PII kan behandles.
Vejledning til punkt 8.2.3
Markedsførings- og reklamebestemmelser bør tydeligt dokumenteres i alle kontrakter eller serviceaftaler i overensstemmelse med ovenstående formål.
Organisationer bør søge "udtrykkelig samtykke", der er baseret på en gennemsigtig og opdateret repræsentation af, hvordan PII skal bruges.
ISO 27701 paragraf 8.2.4 – Krænkende instruktion
Formål med paragraf 8.2.4
Organisationer skal udtale sig om enhver behandlingsinstruktion fra kunden, der er i strid med love eller regler.
Vejledning til punkt 8.2.4
Organisationer skal opretholde en grundig arbejdsforståelse af, hvordan instruktioner har potentiale til at komme i konflikt med gældende lovgivning eller regulatoriske forpligtelser.
Overtrædelser sker normalt omkring tre faktorer.
- Hvordan teknologien bliver brugt.
- Præmissen for instruktionen.
- Eventuelle kontraktlige forpligtelser.
ISO 27701 paragraf 8.2.5 – Kundeforpligtelser
Formål med paragraf 8.2.5
Organisationer skal kunne give deres kunder tilstrækkelig information, så kunderne til enhver tid er i stand til at opfylde deres forpligtelser.
Vejledning til punkt 8.2.5
Den nødvendige information kan omfatte en bred vifte af funktioner, men er normalt relateret til interne revisioner og organisationens rolle i at facilitere dem gennem levering af information.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
ISO 27701 paragraf 8.2.6 – Optegnelser relateret til behandling af PII
Formål med paragraf 8.2.6
Organisationer bør føre nøjagtige og ajourførte optegnelser, som gør det muligt for dem på ethvert givet tidspunkt at bevise overholdelse af eventuelle kontraktlige forpligtelser i forbindelse med behandlingen af PII.
Vejledning til punkt 8.2.6
Afhængigt af jurisdiktionen skal optegnelserne muligvis omfatte:
- Kategoriske lister over behandling, på kunde-til-kunde-basis.
- Eventuelle dataoverførsler til andre lande eller internationale organisationer.
- Teknisk sikkerhedskontrol.
Understøttende GDPR-artikler
Forskellige elementer i ISO 27701 paragraf 8.2 er gældende i Storbritannien GDPR lovgivning. Tag et kig på nedenstående tabel for de tilsvarende referencer.
| ISO 27701 klausulidentifikator | ISO 27701-klausulens navn | Tilknyttede GDPR-artikler |
|---|---|---|
| 8.2.1 | Kundeaftale | Artikler (28), (35) |
| 8.2.2 | Organisationens formål | Artikler (5), (28), (29), (32) |
| 8.2.3 | Markedsføring og annoncebrug | Artikel (7) |
| 8.2.4 | Krænkende instruktion | Artikel (28) |
| 8.2.5 | Kundens forpligtelser | Artikel (28) |
| 8.2.6 | Optegnelser relateret til behandling af PII | Artikel (30) |
Hvordan ISMS.online hjælper
ISMS.online platformen tilbyder integreret assistance på alle trin, og vores 'Adopter, Adapt, Add' implementeringstilgang til ISO 27701 for at gøre processen meget lettere. Du vil også drage fordel af en række tidsbesparende funktioner.
Vi gør datakortlægning til en simpel opgave. Det er nemt at registrere og gennemgå det hele ved at tilføje din organisations detaljer til vores forudkonfigurerede dynamiske værktøj til registreringer af behandlingsaktivitet.
Du skal vise, hvor godt du administrerer anmodninger om datasubjektrettigheder (DRR). Vores sikre DRR-plads holder det hele ét sted og understøtter det med automatisk rapportering og indsigt.
Det er nemt at opsætte og køre forskellige former for privatlivsvurderinger, fra databeskyttelseskonsekvensvurderinger til lovgivningsmæssige eller compliance-parathed.
Find ud af mere ved booking af en demo.
