Förstå ISO 27701 klausul 7.2: Villkor för laglig PII-behandling
ISO 27701 klausul 7.2 (Villkor för insamling och behandling) innehåller vägledning om hur man bevisar och dokumenterar att organisationens PII-bearbetningsaktiviteter är lagliga och fungerar inom relevanta juridiska gränser.
Här är en sammanfattning av ISO:s klausulspecifika vägledning, tillsammans med motsvarande Storbritannien GDPR citat (tabell över länkade citat längst ner på sidan).
Observera att GDPR-hänvisningar endast är i vägledande syfte. Organisationer bör granska lagstiftningen och göra en egen bedömning av vilka delar av lagen som gäller för dem.
ISO 27701 Klausul 7.2.1 – Identifiera och dokumentera syfte
Syftet med klausul 7.2.1
Organisationer måste först identifiera och sedan registrera de specifika skälen för att bearbeta PII som de använder.
Vägledning om klausul 7.2.1
PII-huvudmän måste vara fullt insatta i alla olika anledningar till varför deras PII bearbetas.
Det är organisationens ansvar att förmedla dessa skäl till PII-huvudmän, tillsammans med ett "tydligt uttalande" om varför de behöver behandla sin information.
All dokumentation måste vara tydlig, heltäckande och lätt att förstå av alla PII-huvudmän som läser den – inklusive allt som rör samtycke, såväl som kopior av interna procedurer (se ISO 27701 paragraf 7.2.3, 7.3.2 och 7.2.8).
Relevanta ISO 27701-klausuler
- ISO 27701 7.2.3
- ISO 27701 7.3.2
- ISO 27701 7.2.8
ISO 27001 på ett enkelt sätt
Ett försprång på 81 % från dag ett
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.
ISO 27701 Klausul 7.2.2 – Identifiera laglig grund
Syftet med klausul 7.2.2
Beroende på jurisdiktion kan organisationer behöva bevisa att deras PII-behandling är laglig innan de börjar.
Vägledning om klausul 7.2.2
För att bilda en rättslig grund för att behandla PII bör organisationer:
- Sök samtycke från PII-huvudmän.
- Skriv ett avtal.
- Följ olika andra juridiska skyldigheter.
- Skydda de "vitala intressen" för de olika PII-huvudmännen.
- Se till att de uppgifter som utförs är i allmänhetens intresse.
- Bekräfta att PII-behandling är ett legitimt intresse.
För varje punkt som nämns ovan bör organisationer kunna erbjuda dokumenterad bekräftelse.
Organisationer måste också ta hänsyn till alla "särskilda kategorier" av PII som hänför sig till deras organisation i deras dataklassificeringssystem (se ISO 27701 klausul 7.2.8) (klassificeringar kan variera från region till region).
Om organisationer upplever några förändringar av deras underliggande orsaker till att behandla PII, bör detta omedelbart återspeglas i deras dokumenterade rättsliga grund.
Relevanta ISO 27701-klausuler
- ISO 27701 7.2.8
ISO 27701 klausul 7.2.3 – Bestäm när och hur samtycke ska erhållas
Syftet med klausul 7.2.3
Organisationer måste kunna visa det samtycke till behandling lagligen erhållits från PII-huvudmän.
Vägledning om klausul 7.2.3
Organisationer bör kunna dokumentera skälen för att söka samtycke och hur det ska inhämtas.
PII-bestämmelserna varierar från region till region, så organisationer måste hela tiden vara uppmärksamma på lokala och/eller nationella lagar och förordningar som kan styra hur de erhåller samtycke, tillsammans med eventuella särskilda villkor kopplade till vissa datatyper (t.ex. barn).
ISO 27701 Klausul 7.2.4 – Inhämta och registrera samtycke
Syftet med klausul 7.2.4
När de väl har fastställt att samtycke krävs bör organisationer erhålla samtycke enligt deras unika uppsättning krav.
Vägledning om klausul 7.2.4
Organisationer måste samla in samtycke på ett sätt som gör det enkelt för PII-subjekt att begära information om hur det erhölls (tidsstämplar, vem som begärde det etc.) (se ISO 27701 klausul 7.3.3).
Samtycke bygger på tre underliggande juridiska bestämmelser: det måste vara det tillhandahålls fritt, relaterade till anledning till bearbetning och tydlig i sin avsikt.
Befria dig från ett berg av kalkylblad
Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.
ISO 27701 Klausul 7.2.5 – Integritetskonsekvensbedömning
Syftet med klausul 7.2.5
Integritetskonsekvensbedömningar gör det möjligt för organisationer att mäta eventuella konsekvenser för informationssäkerheten när de bearbetar en ny uppsättning PII eller ändrar hur befintliga data behandlas.
Vägledning om klausul 7.2.5
PII-bearbetning är en risktung affärsfunktion som måste utvärderas grundligt för att säkerställa integriteten, äktheten och lagligheten hos de uppgifter som behandlas.
Beroende på jurisdiktion kommer vissa organisationer att behöva följa en kategorisk lista över scenarier där en integritetskonsekvensbedömning krävs, till exempel:
- Automatiserat beslutsfattande.
- Bearbetning på företagsnivå av speciella PII-kategorier.
- Övervakning av stora allmänna ytor.
Organisationer måste fastställa vad som utgör en adekvat konsekvensbedömning, inklusive (men inte begränsat till):
- Vilken typ av PII lagras.
- Där den förvaras.
- Dit den kan flyttas till.
ISO 27701 Klausul 7.2.6 – Kontrakt med PII-processorer
Syftet med klausul 7.2.6
Organisationer måste ingå skriftliga, bindande avtal med alla externa PII-behandlare som de använder.
Vägledning om klausul 7.2.6
Eventuella kontrakt måste säkerställa att PII-behandlaren implementerar all nödvändig information som finns i ISO 27701 bilaga B, med särskild uppmärksamhet på riskbedömningskontroller (ISO 27701 klausul 5.4.1.2) och den övergripande omfattningen av bearbetningsaktiviteterna (se ISO 27701 klausul 6.12 )
Organisationer måste kunna motivera utelämnandet av alla kontroller som finns i bilaga B, i deras relation till PII-processorn (se ISO 27701 klausul 5.4.1.3).
ISO 27701 klausul 7.2.7 – Joint PII Controller
Syftet med klausul 7.2.7
Organisationer måste beskriva detaljerna för alla gemensamma PII-bearbetningsarrangemang, med en medföljande PII-kontrollant – detta inkluderar allmänna skyddsåtgärder och alla tillhörande säkerhetskrav.
Vägledning om klausul 7.2.7
Roller och ansvar måste vara tydliga och otvetydiga och beskrivas i ett juridiskt bindande dokument (kallas ibland ett "datadelningsavtal").
Avtal kan innefatta (bland andra åtgärder):
- Varför PII delas.
- Datakategorier.
- En allmän översikt över PII-bearbetningen.
- Eventuella relevanta roller och ansvarsområden.
- Hur integritetsinformationssäkerheten ska styras.
- Vilka åtgärder som ska vidtas i händelse av dataintrång.
- Hur PII ska behållas och förstöras när det inte längre behövs.
- Vad händer när någon av parterna bryter mot avtalet.
- Vad endera partens skyldigheter är gentemot PII-huvudmän.
- Vilka mekanismer finns på plats för att ge PII-huvudmän tillämpliga detaljer i det gemensamma avtalet.
- Hur PII-rektorer kan göra officiella förfrågningar och hur man formulerar och levererar ett svar.
- Kontaktpunkter – både internt och för PII-huvudmän att använda.
Hantera all din efterlevnad, allt på ett ställe
ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.
ISO 27701 Klausul 7.2.8 – Poster relaterade till bearbetning av PII
Syftet med klausul 7.2.8
Organisationer måste upprätthålla en noggrann uppsättning register som stödjer deras handlingar och skyldigheter som PII-behandlare.
Vägledning om klausul 7.2.8
Poster (även kallade "lagerlistor") bör ha en delegerad ägare och kan innehålla:
- Operational – den specifika typen av PII-bearbetning som genomförs.
- Motivering – varför PII behandlas.
- Kategoriskt – listor över PII-mottagare, inklusive internationella organisationer.
- Säkerhet – en översikt över hur PII skyddas.
- Integritet – det vill säga en integritetskonsekvensbedömningsrapport.
Stödjer GDPR-artiklar
Olika delar av ISO 27701 klausul 7.2 är tillämpliga inom brittisk GDPR-lagstiftning. Ta en titt på tabellen nedan för motsvarande referenser.
| ISO 27701 Klausulidentifierare | ISO 27701 Klausulnamn | Tillhörande GDPR-artiklar |
|---|---|---|
| 7.2.1 | Identifiera och dokumentera syfte | Artiklar Lagring, Lagring |
| 7.2.2 | Identifiera laglig grund | Artiklar Lagring, Lagring, Lagring, (9), (10), Lagring, Lagring, Lagring |
| 7.2.3 | Bestäm när och hur samtycke ska erhållas | Artikeln Lagring |
| 7.2.4 | Skaffa och registrera samtycke | Artiklar Lagring(9) |
| 7.2.5 | Bedömning av integritetspåverkan | Artiklar Lagring, Lagring |
| 7.2.6 | Kontrakt med PII-processorer | Artiklar Lagring, Lagring |
| 7.2.7 | Joint PII Controller | Artikeln Lagring |
| 7.2.8 | Poster relaterade till bearbetning av PII | Artiklar Lagring, Lagring, Lagring |
Hur ISMS.online hjälper
Processen att implementera ISO 27701 kan vara utmanande, särskilt om du aldrig har tagit på dig ett projekt som detta förut. ISMS.online kan hjälpa dig!
Våra ISO 27701-ramverk tillåter ditt företag att visa överensstämmelse med ISO 27701-standarden.
Våra informationssäkerhetsspecialister kan hjälpa dig att skapa en logisk implementeringsprocedur som följer ramverket.
Ta reda på mer av boka en demo.
