Wat vereis beheer A.1.3.8?
Die organisasie moet derde partye met wie PII gedeel is, inlig oor enige wysiging, terugtrekking of besware met betrekking tot die gedeelde PII, en toepaslike beleide, prosedures of meganismes implementeer om dit te doen.
Hierdie beheer sit binne die Verpligtinge teenoor PII-hoofde doelwit (A.1.3). Dit erken dat die regte van die betrokke persoon slegs van krag is as dit verder as die beheerder strek. Wanneer u persoonlike inligting in u eie stelsels regstel, uitvee of beperk, moet derde partye wat kopieë van daardie data besit, aangesê word om dieselfde te doen.
Wat sê die implementeringsriglyne?
Aanhangsel B (afdeling B.1.3.8) verskaf leiding oor die vestiging van effektiewe kennisgewingsprosedures vir derde partye:
- Openbaarmakingsopsporing — Hou rekords van watter derde partye elke kategorie PII ontvang het. Sonder dit kan jy nie weet wie in kennis gestel moet word wanneer 'n reg uitgeoefen word nie.
- Kennisgewing-snellers — Stel duidelike snellers vir kennisgewing van derde partye vas, insluitend die regstelling van onakkurate persoonlike inligting, die uitwissing van persoonlike inligting, die beperking van verwerking en die terugtrekking van toestemming.
- Kennisgewingsprosedures — Dokumenteer hoe kennisgewings aan derde partye gestuur sal word (e-pos, API, portaal) en die verwagte tydsraamwerke
- Bevestiging van aksie — Waar moontlik, verkry bevestiging van derde partye dat hulle op die kennisgewing gereageer het
- Uitsonderings — Dokumenteer enige omstandighede waar kennisgewing onmoontlik is of onevenredige moeite vereis, en stel die PII-prinsipaal dienooreenkomstig in kennis
- Sien ook A.1.3.2: Verpligtinge teenoor PII-hoofde vir verwante vereistes
- Sien ook A.1.3.3: Bepaling van inligting vir PII-hoofde vir verwante vereistes
Die praktiese uitdaging van hierdie beheer neem toe met die aantal derde partye en die kompleksiteit van datadelingsreëlings. Outomatiese kennisgewingstelsels en duidelike kontraktuele verpligtinge met verwerkers en ontvangers is noodsaaklik vir organisasies met uitgebreide datadeling.
Hoe pas dit by die GDPR?
Beheer A.1.3.8 karteer direk na BBP Artikel 19:
- Artikel 19 — Kennisgewingsverpligting rakende die regstelling of uitwissing van persoonlike data of beperking van verwerking. Die beheerder moet enige regstelling, uitwissing of beperking aan elke ontvanger aan wie die data bekend gemaak is, meedeel, tensy dit onmoontlik blyk of onevenredige moeite behels.
- Artikel 19 vereis ook dat die beheerder die datasubjek oor daardie ontvangers moet inlig indien die datasubjek dit versoek.
Dit is 'n dikwels oor die hoof gesiene BBP verpligting. Toesighoudende owerhede het opgemerk dat baie organisasies versoeke om uitwissing in hul eie stelsels nakom, maar versuim om die versoek aan derde partye wat die data ontvang het, te oordra. 'n Robuuste kennisgewingsproses is noodsaaklik vir ware nakoming.
Hoe hou dit verband met ISO 29100-privaatheidsbeginsels?
Hierdie beheer ondersteun die Individuele deelname en toegang beginsel van ISO 29100. Die beginsel vereis dat individue die akkuraatheid van hul data kan betwis en dit kan laat wysig of verwyder. Vir hierdie reg om betekenisvol te wees, moet wysigings en verwyderings versprei na alle partye wat die data besit, nie net die oorspronklike beheerder nie.
Bevry jouself van 'n berg sigblaaie
Integreer, brei uit en skaal jou nakoming, sonder die gemors. IO gee jou die veerkragtigheid en vertroue om veilig te groei.
Watter bewyse verwag ouditeure?
Wanneer voldoening aan A.1.3.8 beoordeel word, sal ouditeure tipies kyk na:
- Openbaarmakingsregister — 'n Gehoue rekord van watter derde partye PII ontvang het, gekoppel aan kategorieë data en PII-hoofstukke
- Kennisgewingsprosedures — Gedokumenteerde prosedures vir hoe en wanneer derde partye in kennis gestel word van regstellings, uitwissing, beperkings en besware
- Kennisgewingrekords — Bewyse dat kennisgewings werklik gestuur is, met datums, inhoud en ontvangerbesonderhede
- Bevestigingsopsporing — Waar verkry, bevestiging van derde partye dat hulle op die kennisgewing gereageer het
- Kontraktuele bepalings — Dataverwerkingsooreenkomste of datadelingsooreenkomste wat derde partye verplig om op kennisgewings te reageer
- Uitsonderingsdokumentasie — Waar kennisgewing nie moontlik was nie, gedokumenteerde redenasie en bewyse dat die PII-prinsipaal ingelig is
Wat is die verwante kontroles?
| Beheer | Verhoudings |
|---|---|
| A.1.3.7 Toegang, regstelling of uitwissing | Korreksies en uitwissing uitgevoer kragtens A.1.3.7 Toegang, Regstelling of Uitwissing aktiveer die kennisgewingsverpligting |
| A.1.3.5 Wysig of trek toestemming in | Toestemmingsonttrekking wat gedeelde PII beïnvloed, veroorsaak kennisgewing van derde partye |
| A.1.3.6 Beswaar teen PII-verwerking | Gehandhaafde besware wat gedeelde PII raak, veroorsaak kennisgewing aan derde party |
| A.1.2.9 Rekords met betrekking tot die verwerking van persoonlike inligting | Verwerkingsrekords moet ontvangers dokumenteer, wat die openbaarmakingsopsporing ondersteun wat hier benodig word |
| A.1.5.2 Basis vir PII-oordrag Lande en internasionale organisasies se oordragte | Internasionale oordragrekords help om derdeparty-ontvangers in ander jurisdiksies te identifiseer |
| A.1.3.10 Hantering van versoeke | Derdeparty-kennisgewings moet in die versoekhanteringswerkvloei geïntegreer word |
Wat het verander van ISO 27701:2019?
Vir 'n stap-vir-stap benadering, sien die Oorgang van 2019 na 2025.
In die 2019-uitgawe was hierdie vereiste deel van Klousule 7.3.7 (Beheerders se verpligtinge om derde partye in te lig). Die 2025-uitgawe behou die kernverpligting onder A.1.3.8 met leiding in B.1.3.8. Die klem op die handhawing van openbaarmakingsrekords en die hê van gedokumenteerde kennisgewingsprosedures bly sentraal. Die herstruktureerde formaat bied 'n duideliker ouditkontrolepunt vir hierdie spesifieke verpligting. Sien die Aanhangsel F korrespondensietabel vir die volledige kartering.
Bestuur al u nakoming, alles op een plek
ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.
Hoekom kies ISMS.aanlyn vir derdeparty-kennisgewingbestuur?
ISMS.aanlyn help jou om openbaarmakings op te spoor en data-onderwerpe se regte doeltreffend aan derde partye oor te dra:
- Derdeparty-openbaarmakingsregister — Teken elke PII-bekendmaking aan derde partye aan met datums, kategorieë en doeleindes, sodat jy altyd weet wie in kennis gestel moet word.
- Outomatiese kennisgewingswerkvloei — Wanneer 'n regstelling, uitwissing of beperking uitgevoer word, genereer outomaties kennisgewingstake vir elke betrokke derde party
- Bevestigingsopsporing — Teken aan wanneer derde partye kennisgewings erken en daarop reageer, wat 'n volledige bewysketting van versoek tot oplossing skep
- Kontrakkoppeling — Koppel derdeparty-verhoudings aan dataverwerkingsooreenkomste wat kennisgewingverpligtinge insluit, wat kontraktuele ondersteuning vir operasionele prosedures verseker
- Onevenredige poginglogboek — Waar kennisgewing nie haalbaar is nie, dokumenteer die redenasie in 'n gestruktureerde formaat wat voldoen aan regulatoriese ondersoek
Vrae & Antwoorde
Hoe spoor jy op watter derde partye spesifieke PII ontvang het?
Dit vereis 'n openbaarmakingslogboek of register wat elke keer aanteken wanneer PII met 'n derde party gedeel word, insluitend die datum, die kategorie van PII wat gedeel word, die identiteit van die ontvanger en die doel. Vir grootmaat- of deurlopende datadeling (soos met verwerkers), kan die rekord op kategorievlak wees eerder as individuele rekordvlak. Die sleutel is dat wanneer 'n PII-prinsipaal 'n reg uitoefen, jy vinnig alle derde partye kan identifiseer wat hul data hou.
Wat tel as "'n onevenredige poging" vir kennisgewing?
Dit word van geval tot geval beoordeel. Faktore sluit in die aantal ontvangers, die koste van kennisgewing, die ouderdom van die data, die aard van die data en die potensiële impak op die PII-prinsipaal. Byvoorbeeld, die kennisgewing van 'n klein aantal bekende sakevennote sal waarskynlik nie disproporsioneel wees nie. Om te probeer om honderde onbekende internetgebruikers wat toegang tot publiek beskikbare data verkry het, in kennis te stel, kan dalk wees. Die organisasie moet sy redenasie dokumenteer en die PII-prinsipaal in kennis stel indien kennisgewing nie uitgevoer kan word nie.
Het die PII-prinsipaal die reg om te weet wie die derde partye is?
Ja. Ingevolge Artikel 19 van die AVG moet die beheerder die datasubjek oor die ontvangers inlig indien die datasubjek dit versoek. Dit beteken dat u voorbereid moet wees om 'n lys van derde partye te verskaf wat die individu se persoonlike inligting ontvang het. Dit versterk verder die belangrikheid van die handhawing van akkurate openbaarmakingsrekords. In u privaatheidskennisgewing moet u reeds die kategorieë van ontvangers lys, maar op versoek moet u moontlik spesifieke identiteite verskaf.
ons gids vir vereistes vir ouditbewyse besonderhede gee oor die dokumentasie wat ouditeure verwag vir die beheermaatreëls vir data-onderwerpe se regte.
DPO's wat hierdie verpligtinge bestuur, moet ons gids vir DPO's vir 'n volledige oorsig.
