Förstå ISO 27701 klausul 8.2: Villkor för laglig databehandling
Efterlevnad av ISO 27701 klausul 8.2 säkerställer att organisationer agerar lagligt när de samlar in och bearbetar PII, och är i linje med alla gällande lagar eller regulatoriska bestämmelser var de än behandlar PII.
ISO 27701 Klausul 8.2.1 – Kundavtal
Syftet med klausul 8.2.1
Avtal som handlar om behandlingen av PII bör upprättas som tar upp organisationens behov av att ge kunden assistans och deras skyldigheter.
Vägledning om klausul 8.2.1
Kontrakt bör innehålla:
- Begreppet "privacy by design" (se ISO 27701 klausuler 7.4 och 8.4).
- Hur organisationen avser att uppnå säkerhet vid handläggning.
- Hur överträdelser ska rapporteras, inklusive kund, uppdragsgivare och tillsynsmyndigheter.
- Hur integritetskonsekvensbedömningar ska hanteras.
- Bekräftelse av organisationens avsikt att ge hjälp till PII-skyddsmyndigheter.
Relevanta ISO 27701-klausuler
- ISO 27701 7.4
- ISO 27701 8.4
ISO 27701 Klausul 8.2.2 – Organisationens syften
Syftet med klausul 8.2.2
Från början bör PII endast behandlas i enlighet med kundens instruktioner.
Vägledning om klausul 8.2.2
Kontrakt bör innehålla SLA som hänför sig till ömsesidiga mål, och eventuella tillhörande tidsskalor som de behöver slutföras inom.
Organisationer bör erkänna sin rätt att välja de distinkta metoder som används för att behandla PII, som lagligen uppnår det kunden söker, men utan att behöva få detaljerade tillstånd om hur organisationen går till väga på en teknisk nivå.
Befria dig från ett berg av kalkylblad
Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.
ISO 27701 Klausul 8.2.3 – Marknadsföring och reklamanvändning
Syftet med klausul 8.2.3
Organisationer måste erhålla tillstånd från PII-principen innan de använder någon data som tillhandahålls för marknadsförings- eller reklamändamål, och se till att godkännande av sådan användning inte är en förutsättning för att PII ska kunna behandlas.
Vägledning om klausul 8.2.3
Marknadsförings- och reklambestämmelser bör tydligt dokumenteras i alla kontrakt eller serviceavtal, i linje med ovanstående syfte.
Organisationer bör söka "uttryckligt samtycke" som är baserat på en transparent och uppdaterad representation av hur PII ska användas.
ISO 27701 Klausul 8.2.4 – Intrångsinstruktion
Syftet med klausul 8.2.4
Organisationer måste vara tydliga om alla bearbetningsinstruktioner från kunden som strider mot lagar eller förordningar.
Vägledning om klausul 8.2.4
Organisationer måste upprätthålla en grundlig arbetsförståelse för hur instruktioner kan komma i konflikt med tillämplig lagstiftning eller regulatoriska skyldigheter.
Överträdelser sker vanligtvis kring tre faktorer.
- Hur tekniken används.
- Utgångspunkten för instruktionen.
- Eventuella avtalsförpliktelser.
ISO 27701 Klausul 8.2.5 – Kundens skyldigheter
Syftet med klausul 8.2.5
Organisationer måste kunna förse sina kunder med tillräcklig information, så att kunderna kan fullgöra sina skyldigheter vid varje given tidpunkt.
Vägledning om klausul 8.2.5
Den information som krävs kan innehålla ett brett spektrum av funktioner, men är vanligtvis relaterad till internrevisioner och organisationens roll i att underlätta dem genom tillhandahållande av information.
Hantera all din efterlevnad, allt på ett ställe
ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.
ISO 27701 Klausul 8.2.6 – Poster relaterade till bearbetning av PII
Syftet med klausul 8.2.6
Organisationer bör föra korrekta och uppdaterade register som gör det möjligt för dem vid varje given tidpunkt att bevisa efterlevnad av eventuella avtalsförpliktelser relaterade till behandlingen av PII.
Vägledning om klausul 8.2.6
Beroende på jurisdiktion kan uppgifterna behöva innehålla:
- Kategoriska listor över bearbetning, på kund-för-kund-basis.
- Eventuella dataöverföringar till andra länder eller internationella organisationer.
- Tekniska säkerhetskontroller.
Stödjer GDPR-artiklar
Olika delar av ISO 27701 klausul 8.2 är tillämpliga inom Storbritannien GDPR lagstiftning. Ta en titt på tabellen nedan för motsvarande referenser.
| ISO 27701 Klausulidentifierare | ISO 27701 Klausulnamn | Tillhörande GDPR-artiklar |
|---|---|---|
| 8.2.1 | Kundavtal | Artiklar Lagring, Lagring |
| 8.2.2 | Organisationens syften | Artiklar Lagring, Lagring, Lagring, Lagring |
| 8.2.3 | Marknadsföring och reklam användning | Artikeln Lagring |
| 8.2.4 | Intrång instruktion | Artikeln Lagring |
| 8.2.5 | Kundens skyldigheter | Artikeln Lagring |
| 8.2.6 | Poster relaterade till bearbetning av PII | Artikeln Lagring |
Hur ISMS.online hjälper
ISMS.online-plattformen erbjuder integrerad assistans i varje steg, och vår "Adoptera, anpassa, Lägg till" implementeringsmetod till ISO 27701, för att göra processen mycket enklare. Du kommer också att dra nytta av en mängd tidsbesparande funktioner.
Vi gör datakartläggning till en enkel uppgift. Det är lätt att spela in och granska allt genom att lägga till din organisations information i vårt förkonfigurerade dynamiska verktyg för registrering av bearbetningsaktivitet.
Du måste visa hur väl du hanterar förfrågningar om datasubjekträttigheter (DRR). Vårt säkra DRR-utrymme håller allt på ett ställe och stödjer det med automatisk rapportering och insikt.
Det är enkelt att ställa in och köra olika typer av integritetsbedömningar, från dataskyddskonsekvensbedömningar till reglerings- eller efterlevnadsberedskap.
Ta reda på mer av boka en demo.
