Wat vereis beheer A.1.2.3?
Die organisasie moet die relevante wettige basis vir die verwerking van PII vir die geïdentifiseerde doeleindes bepaal, dokumenteer en voldoening daaraan kan demonstreer.
Hierdie beheer sit binne die Voorwaardes vir versameling en verwerking doelwit (A.1.2), wat daarop gemik is om aan te toon dat verwerking wettig is, met 'n wettige basis volgens toepaslike jurisdiksies, en met duidelik gedefinieerde en wettige doeleindes. Terwyl A.1.2.2 Identifiseer en dokumenteer doel stel wat jy verwerk en hoekom, A.1.2.3 stel die wettige grondslag wat jou toelaat om dit te doen.
Wat sê die implementeringsriglyne?
Aanhangsel B (afdeling B.1.2.3) verskaf die volgende riglyne:
- Sommige jurisdiksies vereis dat die wettige basis vasgestel word voor verwerking begin — organisasies moet nie aanvaar dat hulle terugwerkend 'n regsgrond kan toewys nie
- Die standaard erken ses algemene kategorieë van wettige basisse, hoewel toepaslike wetgewing hulle anders kan definieer:
- Toestemming van die PII-hoof
- Uitvoering van 'n kontrak waaraan die PII-prinsipaal 'n party is
- Voldoening aan 'n wettige verpligting waaraan die beheerder onderworpe is
- Vitale belange van die PII-prinsipaal of 'n ander natuurlike persoon
- Openbare belangstelling of uitoefening van amptelike gesag
- Wettige belange nagestreef deur die beheerder of 'n derde party
- Sien ook A.1.2.7: Kontrakte met PII-verwerkers vir verwante vereistes
- Sien ook A.1.2.8: Gesamentlike PII-beheerder vir verwante vereistes
- Waar spesiale kategorieë van PII verwerk word (bv. gesondheidsdata, biometriese data, rasse- of etniese oorsprong), kan bykomende regsgronde vereis word — soos uitdruklike toestemming, noodsaaklikheid vir arbeidsregverpligtinge, beskerming van lewensbelangrike belange, of verwerking deur 'n niewinsgewende liggaam
- Die organisasie moet in staat wees om demonstreer dat die gekose basis gepas is — blote bewering is nie voldoende nie
Hoe pas dit by die GDPR?
Beheer A.1.2.3 karteer na 'n aansienlike stel van BBP bepalings:
- Artikel 5 (1) (a) — Die beginsel van wettigheid, billikheid en deursigtigheid
- Artikel 6(1)–(4) — Die ses wettige basisse vir verwerking, plus die verenigbaarheidstoets vir verdere verwerking
- Artikel 8 — Voorwaardes van toepassing op kind se toestemming met betrekking tot inligtingsamelewingsdienste
- Artikel 9 — Verwerking van spesiale kategorieë van persoonlike data
- Artikel 10 — Verwerking van data met betrekking tot kriminele skuldigbevindings en oortredings
- Artikel 17 — Reg op uitwissing (gekoppel omdat uitwissingregte afhang van die wettige basis waarop staatgemaak word)
- Artikel 18 — Reg op beperking van verwerking
- Artikel 22 — Geoutomatiseerde individuele besluitneming, insluitend profilering
Die omvang van hierdie kartering weerspieël die feit dat die keuse van wettige basisse gevolge inhou vir byna elke BBP verpligting — van data-onderwerpregte tot bewaringsperiodes.
Hoe hou dit verband met ISO 29100-privaatheidsbeginsels?
Hierdie beheer ondersteun die Doellegitimiteit en spesifikasie beginsel in ISO 29100. Hierdie beginsel vereis dat die doel vir die verwerking van persoonlike inligting (PII) voldoen aan toepaslike wetgewing en berus op 'n toelaatbare regsbasis. A.1.2.3 is die operasionele meganisme om aan hierdie beginsel te voldoen — dit omskep die abstrakte vereiste in gedokumenteerde, demonstreerbare voldoening.
Begin jou gratis toets
Wil jy verken?
Sluit vandag aan vir jou gratis proeftydperk en kry al die voldoeningskenmerke wat ISMS.online kan bied, in die hand
Watter bewyse verwag ouditeure?
Wanneer voldoening aan A.1.2.3 beoordeel word, sal ouditeure tipies kyk na:
- Register van wettige basis — 'n Gedokumenteerde kartering van elke verwerkingsaktiwiteit tot sy wettige basis, ideaalweg kruisverwys met die doelregister van A.1.2.2 Identifiseer en dokumenteer doel
- Wettige belange-assesserings (LIAs) — Waar op wettige belange staatgemaak word, is gedokumenteerde balanseringstoetse wat toon dat die organisasie se belange opgeweeg is teen die regte van PII-hoofde
- Regverdigings vir spesiale kategorieë — Afsonderlike gedokumenteerde rasionaal vir enige verwerking van sensitiewe persoonlike inligting, met verwysing na die bykomende regsgrond waarop staatgemaak word
- Regsoorsigrekords — Bewyse dat regsadvies ingewin is of interne hersiening uitgevoer is met die keuse van die wettige basis, veral vir komplekse of hoërisiko-verwerking
- Tydsbewyse — Dat die wettige basis bepaal is voor verwerking begin, nie terugwerkend gedokumenteer nie
- Kommunikasie aan PII-hoofde — Dat die wettige basis vermeld word in privaatheidskennisgewings en ander inligting wat aan individue verskaf word
Wat is die verwante kontroles?
| Beheer | Verhoudings |
|---|---|
| A.1.2.2 Identifiseer en dokumenteer doel | Doeleindes moet eers vasgestel word — die wettige basis word vir elke doel bepaal |
| A.1.2.4 Bepaal toestemming | Indien toestemming die wettige basis is, moet die toestemmingsproses formeel gedefinieer word |
| A.1.2.5 Verkry en teken toestemming aan | Operasionele implementering van toestemming waar dit die gekose regsgrond is |
| A.1.2.6 Impakbepaling vir privaatheid | PIA's beoordeel verwerking teen die gedokumenteerde wettige basis en doeleindes |
| A.1.3.3 Inligting vir PII-hoofde | Die wettige basis moet aan PII-hoofde gekommunikeer word |
| A.1.4.3 Beperk verwerking | Verwerking moet beperk word tot wat die wettige basis toelaat |
Wat het verander van ISO 27701:2019?
Vir 'n stap-vir-stap benadering, sien die Oorgang van 2019 na 2025.
In die 2019-uitgawe het hierdie vereiste as deel van Klousule 7.2.2 (identifiseer wettige basis) verskyn. Die beheerbedoeling is wesenlik onveranderd in die 2025-uitgawe, maar die herstrukturering na Tabel A.1 bied nou 'n duideliker skeiding tussen die normatiewe beheerverklaring (A.1.2.3) en die normatiewe implementeringsriglyne (B.1.2.3). Die klem op demonstreerbaarheid — nie net die bepaling van die basis nie, maar ook die feit dat in staat om te bewys nakoming daarvan — is behou en waarskynlik versterk deur die duideliker struktuur. Sien die Aanhangsel F korrespondensietabel vir die volledige kartering.
Bestuur al u nakoming, alles op een plek
ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.
Hoekom kies ISMS.aanlyn vir die bestuur van wettige basisdokumentasie?
ISMS.aanlyn gee jou die gereedskap om jou wettige basisse met vertroue te dokumenteer, op te spoor en te demonstreer:
- Kartering van wettige basisse — Koppel elke verwerkingsaktiwiteit aan sy regsgrond in 'n gestruktureerde register wat ouditeure met 'n oogopslag kan hersien
- Sjablone vir die assessering van wettige belange — Voorafgeboude LIA-sjablone lei jou deur die balanseringstoets met aanwysings en puntetelling, sodat niks gemis word nie
- Spesiale kategorie vlae — Merk outomaties verwerkingsaktiwiteite wat sensitiewe PII behels en vra vir die bykomende regsbasis wat vereis word
- Weergawe-beheerde bewyse — Elke verandering aan u wettige basisdokumentasie word tydstempel, wat 'n ouditspoor skep wat bewys wanneer besluite geneem is
- Geïntegreerde privaatheidskennisgewings — Koppel u wettige basisrekords direk aan die privaatheidskennisgewings wat dit aan PII-hoofde kommunikeer
- Kruisraamwerkkartering — Kyk hoe jou wettige basisdokumentasie gelyktydig aan ISO 27701, GDPR en ander raamwerke voldoen.
Vrae & Antwoorde
Kan ons ons wettige basis verander nadat verwerking begin het?
Dit is oor die algemeen problematies om die wettige basis terugwerkend te verander. Die meeste privaatheidsraamwerke verwag dat die wettige grond bepaal word voordat verwerking begin. Indien omstandighede verander, moet u die rasionaal vir enige verandering dokumenteer, PII-hoofde in kennis stel waar toepaslik, en oorweeg of bestaande data onder die nuwe basis herverwerk of verwyder moet word. Die belangrikste vereiste is demonstreerbaarheid – u moet kan aantoon dat die basis geldig was ten tyde van verwerking.
Hoe beïnvloed die wettige basis die regte van die betrokke persoon?
Die wettige basis waarop u staatmaak, bepaal direk watter data-onderwerpregte van toepassing is. Byvoorbeeld, kragtens die AVG, is die reg op data-oordraagbaarheid slegs van toepassing wanneer verwerking gebaseer is op toestemming of kontrakuitvoering. Die reg om beswaar te maak, is spesifiek van toepassing op verwerking gebaseer op wettige belange of openbare belang. Daarom is dit van kritieke belang om die korrekte wettige basis van die begin af te kies – dit vorm u voortgesette verpligtinge dwarsdeur die data-lewensiklus.
Wat as verskeie wettige basisse op dieselfde verwerking van toepassing kan wees?
Jy moet die primêre wettige basis waarop jy vir elke verwerkingsaktiwiteit staatmaak, identifiseer en dokumenteer. Alhoewel meer as een basis teoreties van toepassing kan wees, bied die keuse van 'n enkele primêre basis duidelikheid vir PII-beginsels en vereenvoudig dit voldoeningsbestuur. Om op verskeie basisse gelyktydig staat te maak, kan verwarring skep – veral as een basis (soos toestemming) later teruggetrek word en jy probeer om op 'n ander terug te val.
Dokumenteer hoe hierdie beheer op u organisasie van toepassing is in u Verklaring van toepaslikheid.
sien ons gids vir vereistes vir ouditbewyse vir wat ouditeure verwag wanneer hulle hierdie beheermaatreël beoordeel.
