ISO 27701 klausul 7.3.1 – Fastställande och uppfyllande av skyldigheter gentemot PII-huvudmän
Syftet med klausul 7.3.1
Organisationer måste först etablera och sedan helt dokumentera sina laglig, regulatorer och företag skyldigheter gentemot PII-huvudmän.
Vägledning om klausul 7.3.1
Organisationer bör tillhandahålla vad ISO anser vara "lämpliga medel" för att möta behoven hos PII-huvudmän, inklusive transparent dokumentation och en utsedd kontaktpunkt.
OBS! Kontaktmetoder bör vara identiska med de sätt som organisationen samlar in PII.
ISO 27701 Klausul 7.3.2 – Fastställande av information för PII-huvudmän
Syftet med klausul 7.3.2
Organisationer måste beskriva och dokumentera den information som PII-huvudmän får, relaterad till behandlingen av PII.
Vägledning om klausul 7.3.2
Organisationer bör beskriva en kategorisk uppsättning krav som dikterar när information ska lämnas till PII-huvudmän, och vad den informationen är, till exempel:
- Syftet med att PII samlas in och bearbetas.
- Företagets kontaktuppgifter.
- Hur och var PII erhölls.
- Kontraktsmässiga och/eller lagstadgade krav.
- Hur samtycke kan tas bort.
- PII-överföringar.
- Hur man lämnar in ett officiellt klagomål.
- Hur beslut fattas om behandlingen av PII.
- PII-lagringsperioder.
ISO 27001 på ett enkelt sätt
Ett försprång på 81 % från dag ett
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.
ISO 27701 Klausul 7.3.3 – Tillhandahållande av information till PII-huvudmän
Syftet med klausul 7.3.3
Organisationer måste tillhandahålla "tydlig och tillgänglig" information som fastställer vem PII-kontrollanten är och hur den behandlas.
Vägledning om klausul 7.3.3
All information bör tillhandahållas felfri och på ett språk som är lätt att förstå (t.ex. saknar jargong, inte överdrivet tekniskt) av de personer som har förmågan att läsa den (se ISO 27702 klausul 7.3.2).
Relevanta ISO 27701-klausuler
- ISO 27701 7.3.2
ISO 27701 klausul 7.3.4 – Tillhandahållande av mekanism för att ändra eller återkalla samtycke
Syftet med klausul 7.3.4
PII-personer måste förses med ett sätt att återkalla samtycke för insamling eller bearbetning av PII.
Vägledning om klausul 7.3.4
På en grundläggande nivå måste organisationer tillhandahålla en mekanism som beskriver rättigheterna för alla PII-huvudmän som vill återkalla samtycke, tillsammans med instruktioner om hur man gör det som är i linje med de metoder som används för att samla in PII (t.ex. e-post, telefon) .
PII-huvudmän bör också kunna "modifiera" samtycke – det vill säga begränsa den personuppgiftsansvarige från att utföra vissa åtgärder, som att ta bort PII. Sådana förfrågningar bör dokumenteras i enlighet med förfaranden för att ta bort samtycke.
Organisationer bör förbinda sig till en publicerad svarstid för alla ändringar eller återkallande av samtyckesförfrågningar.
ISO 27701 klausul 7.3.5 – Tillhandahållande av mekanism för att ändra eller återkalla samtycke
Syftet med klausul 7.3.5
PII-huvudmän måste ges möjlighet att göra invändningar mot behandlingen av deras PII.
Vägledning om klausul 7.3.5
Lagar varierar från region till region, men vissa jurisdiktioner ger PII-huvudmän rätten att göra invändningar angående behandlingen av deras PII.
Organisationer bör närma sig denna funktion på två sätt:
- Genom att dokumentera eventuella juridiska eller regulatoriska krav som är relaterade till de specifika invändningar som framförs av PII-huvudmän.
- Ge rektorer information om hur de kan invända.
Befria dig från ett berg av kalkylblad
Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.
ISO 27701 Klausul 7.3.6 – Åtkomst, korrigering och/eller radering
Syftet med klausul 7.3.6
Organisationer bör utarbeta, dokumentera och implementera procedurer som gör det möjligt för PII-huvudmän att tillgång, korrekt och / eller radera deras PII.
Vägledning om klausul 7.3.6
Rutinerna bör innefatta mekanismer genom vilka PII-huvudmannen kan utföra ovanstående åtgärd, inklusive hur organisationen ska informera huvudmannen om korrigeringar inte kan göras.
Organisationer bör förbinda sig till en publicerad svarstid för alla begäranden om åtkomst, korrigering eller radering.
Det är mycket viktigt att kommunicera alla sådana förfrågningar till tredje part som har överförts PII (se ISO 27701 klausul 7.3.7).
En PII-rektors förmåga att begära korrigeringar eller raderingar dikteras av den jurisdiktion som organisationen verkar i. Som sådan bör företag hålla sig à jour med alla lagliga eller regulatoriska ändringar som styr deras skyldigheter gentemot PII.
Relevanta ISO 27701-klausuler
- ISO 27701 7.3.7
ISO 27701 klausul 7.3.7 – PII-kontrollanters skyldigheter att informera tredje part
Syftet med klausul 7.3.7
Då och då kan det uppstå behov av att dela PII med tredje part (med hjälp av lämpliga kanaler).
Organisationer måste informera sådana företag om alla förfrågningar om ändringar, återkallande av samtycke eller invändningar relaterade till någon PII som har delats.
Vägledning om klausul 7.3.7
Organisationer bör använda lämpliga tekniska kanaler för att säkerställa att tredje part informeras snabbt och korrekt, och i linje med eventuella regionala lagar eller bestämmelser.
Om möjligt bör organisationer delegera denna funktion till en dedikerad person och vidta åtgärder för att säkerställa att sådana förfrågningar har bekräftats.
ISO 27701 Klausul 7.3.8 – Tillhandahålla kopia av PII som bearbetats
Syftet med klausul 7.3.8
Det är mycket viktigt att organisationer kan tillhandahålla, på begäran, en kopia av alla PII som har bearbetats.
Vägledning om klausul 7.3.8
ISO kräver att organisationer tillhandahåller en kopia av PII i ett användarvänligt format som är lättillgängligt för PII-huvudmannen.
Organisationer bör vara mycket noga med att säkerställa att all information som tillhandahålls avser enbart till PII-rektorn som begärde det.
Lagar för PII-identifiering varierar från region till region, men om PII har genomgått en avidentifieringsprocess bör organisationerna inte försöka återidentifiera sig, såvida det inte är juridiskt skyldigt att göra det.
Organisationer bör också undersöka metoder för att överföra PII direkt till en annan organisation, om så begärs.
Hantera all din efterlevnad, allt på ett ställe
ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.
ISO 27701 Klausul 7.3.9 – Hantering av förfrågningar
Syftet med klausul 7.3.9
Organisationer måste följa en konkret uppsättning procedurer som styr hur de ska svara på förfrågningar från PII-huvudmän.
Vägledning om klausul 7.3.9
Förfrågningar kan sträcka sig från (men är inte begränsade till) en kopia av PII, eller inlämnande av ett klagomål, och bör behandlas inom en publicerad svarstid, som tar hänsyn till förfrågans karaktär.
Beroende på jurisdiktion kan organisationer också ta ut en hanteringsavgift, men denna är vanligtvis begränsad till överdrivna eller upprepade förfrågningar.
ISO 27701 Klausul 7.3.10 – Automatiserat beslutsfattande
Syftet med klausul 7.3.10
Organisationer bör ta upp alla juridiska skyldigheter gentemot PII-huvudmän som hänför sig till automatiserad behandling av PII.
Vägledning om klausul 7.3.10
Organisationer bör ta hänsyn till jurisdiktionsavvikelser i automatiserat beslutsfattande angående PII – mer specifikt, tillåta PII-huvudmän att invända och begära mänskligt ingripande i stället för automatiserade procedurer.
Stödjer GDPR-artiklar
Olika delar av ISO 27701 klausul 7.3 är tillämpliga inom Storbritannien GDPR lagstiftning. Ta en titt på tabellen nedan för motsvarande referenser.
| ISO 27701 Klausulidentifierare | ISO 27701 Klausulnamn | Tillhörande GDPR-artiklar |
|---|---|---|
| 7.3.1 | Fastställande och fullgörande av skyldigheter gentemot PII-huvudmän | Artikeln Lagring |
| 7.3.2 | Fastställande av information för PII-huvudmän | Artiklar Lagring, Lagring, Lagring, Lagring, Lagring, Lagring |
| 7.3.3 | Tillhandahålla information till PII-huvudmän | Artiklar Lagring, Lagring, Lagring, Lagring |
| 7.3.4 | Tillhandahållande av mekanism för att ändra eller återkalla samtycke | Artiklar Lagring, Lagring, Lagring, Lagring |
| 7.3.5 | Tillhandahåller mekanism för att invända mot PII-bearbetning | Artiklar Lagring, Lagring, Lagring |
| 7.3.6 | Åtkomst, korrigering och/eller radering | Artiklar Lagring, Lagring, Lagring, Lagring, Lagring |
| 7.3.7 | PII-kontrollanters skyldigheter att informera tredje part | Artikeln Lagring |
| 7.3.8 | Tillhandahåller kopia av PII som behandlas | Artiklar Lagring, Lagring |
| 7.3.9 | Hantera förfrågningar | Artiklar Lagring, Lagring |
| 7.3.10 | Automatiserat beslutsfattande | Artiklar Lagring, Lagring, Lagring |
Hur ISMS.online hjälper
ISMS.online-plattformen erbjuder integrerad assistans i varje steg, och vår 'Adoptera, anpassa, Lägg till' implementeringsmetod till ISO 27701, för att göra processen mycket enklare.
Du kommer också att dra nytta av en mängd tidsbesparande funktioner.
Om du av någon anledning upplever brist på självförtroende, förmåga eller drivkraft att vidta åtgärder under din resa till ISO 27701, kan vi göra vårt team av interna experter tillgängliga eller rekommendera en av våra pålitliga partners för att ge dina ansträngningar ett lyft.
Ta reda på mer av boka en demo.
