Wat vereis beheer A.1.3.9?
Die organisasie moet in staat wees om 'n afskrif van die PII wat verwerk is, te verskaf wanneer dit deur die PII-prinsipaal versoek word.
Hierdie beheer sit binne die Verpligtinge teenoor PII-hoofde doelwit (A.1.3). Terwyl A.1.3.7 Toegang, Regstelling of Uitwissing dek die breër reg van toegang, A.1.3.9 fokus spesifiek op die praktiese aflewering van PII-kopieë en stel vereistes vir dataportabiliteit bekend. Dit is die beheer wat die abstrakte reg van toegang in 'n tasbare lewerbare omskep.
Wat sê die implementeringsriglyne?
Aanhangsel B (afdeling B.1.3.9) verskaf leiding oor hoe om kopie- en oordraagbaarheidsversoeke effektief te vervul:
- Gestruktureerde en masjienleesbare formaat — Waar tegnies uitvoerbaar, verskaf persoonlike inligting (PII) in 'n gestruktureerde, algemeen gebruikte en masjienleesbare formaat. Algemene formate sluit in CSV, JSON en XML
- Reg om oor te dra — Oorweeg die PII-prinsipaal se reg om data direk na 'n ander beheerder oor te dra. Waar tegnies haalbaar, voorsien 'n meganisme vir direkte oordrag van beheerder na beheerder.
- Eerste kopie gratis — Die eerste kopie moet gratis verskaf word. Vir bykomende kopieë kan 'n redelike fooi gebaseer op administratiewe koste gehef word.
- Veilige aflewering — Kopieë moet veilig afgelewer word, deur middel van geënkripteerde kanale of veilige aflaaiskakels, om ongemagtigde toegang tydens oordrag te voorkom.
- Omvang van data — Verduidelik watter persoonlike inligting (PII) binne die bestek van kopieversoeke teenoor oordraagbaarheidsversoeke val. Oordraagbaarheid is tipies van toepassing op PII wat deur die individu verskaf word en outomaties verwerk word op grond van toestemming of kontrak.
- Sien ook A.1.3.3: Bepaling van inligting vir PII-hoofde vir verwante vereistes
- Sien ook A.1.3.6: Beswaar teen PII-verwerking vir verwante vereistes
Die riglyne erken dat die formaat en metode van aflewering prakties moet wees vir beide die organisasie en die PII-prinsipaal. Waar verskeie formate beskikbaar is, moet die PII-prinsipaal hul voorkeurformaat kan kies.
Hoe pas dit by die GDPR?
Beheer A.1.3.9 karteer na BBP bepalings wat beide toegangskopieë en dataportabiliteit dek:
- Artikel 15 (3) — Die beheerder moet 'n afskrif van die persoonlike data wat verwerking ondergaan, verskaf. Vir verdere afskrifte kan die beheerder 'n redelike fooi hef gebaseer op administratiewe koste.
- Artikel 15 (4) — Die reg om 'n afskrif te bekom, sal nie die regte en vryhede van ander nadelig beïnvloed nie
- Artikel 20 (1) — Reg om persoonlike data in 'n gestruktureerde, algemeen gebruikte en masjienleesbare formaat te ontvang (dataportabiliteit)
- Artikel 20 (2) — Reg om persoonlike data direk van een beheerder na 'n ander oor te dra, waar tegnies moontlik
- Artikel 20 (3) — Oordraagbaarheid skep nie 'n verpligting om data van die oorspronklike beheerder te verwyder nie.
- Artikel 20 (4) — Oordraagbaarheid mag nie die regte en vryhede van ander nadelig beïnvloed nie
Let op die belangrike onderskeid: Artikel 15 (toegangskopie) is van toepassing op alle persoonlike data wat deur die beheerder verwerk word. Artikel 20 (oordraagbaarheid) is slegs van toepassing op data wat deur die individu verskaf word, wat outomaties verwerk word op grond van toestemming of kontrak.
Hoe hou dit verband met ISO 29100-privaatheidsbeginsels?
Hierdie beheer ondersteun die Individuele deelname en toegang beginsel van ISO 29100. Toegang is nie betekenisvol as die individu nie 'n bruikbare kopie van hul data kan bekom nie. Die beginsel vereis praktiese, effektiewe toegang, en A.1.3.9 verseker dat toegang vertaal word in 'n lewerbare uitset wat die PII-prinsipaal kan hersien, verifieer en, waar van toepassing, na 'n ander verskaffer oordra.
Begin jou gratis toets
Wil jy verken?
Sluit vandag aan vir jou gratis proeftydperk en kry al die voldoeningskenmerke wat ISMS.online kan bied, in die hand
Watter bewyse verwag ouditeure?
Wanneer voldoening aan A.1.3.9 beoordeel word, sal ouditeure tipies kyk na:
- Formateer dokumentasie — Gedokumenteerde formate beskikbaar vir die verskaffing van PII-kopieë (CSV, JSON, XML, PDF) met motivering vir elk
- Tegniese vermoë — Bewyse dat stelsels persoonlike inligting (PII) in die gedokumenteerde formate kan onttrek sonder handmatige oplossings wat foute of weglatings kan veroorsaak
- Veilige afleweringsmeganismes — Gedokumenteerde prosedures vir die veilige oordrag van PII-kopieë aan versoekers (geënkripteerde e-pos, veilige portaal, geënkripteerde lêeroordrag)
- Fooibeleid — Waar fooie vir addisionele kopieë gehef word, 'n gedokumenteerde en redelike fooiskedule gebaseer op administratiewe koste
- Oordraagbaarheidsassessering — Dokumentasie wat identifiseer watter persoonlike inligting (PII) onderhewig is aan oordraagbaarheidsvereistes (data verskaf deur die individu, outomaties verwerk, op toestemmings- of kontrakbasis)
- Voorbeelde van voltooide versoeke — Voorbeelde van voltooide versoeke wat die gelewerde data, formaat wat gebruik is en veilige afleweringsmetode toon
Wat is die verwante kontroles?
| Beheer | Verhoudings |
|---|---|
| A.1.3.7 Toegang, regstelling of uitwissing | A.1.3.7 Toegang, Regstelling of Uitwissing vestig die reg van toegang; A.1.3.9 spesifiseer hoe die kopie afgelewer moet word |
| A.1.3.10 Hantering van versoeke | Kopieversoeke word binne die breër versoekhanteringsraamwerk bestuur |
| A.1.3.2 Verpligtinge teenoor PII-hoofde | Die reg op 'n kopie en oordraagbaarheid is van die verpligtinge wat geïdentifiseer moet word |
| A.1.3.4 Verskaffing van inligting aan PII-hoofde | PII-hoofde moet ingelig word oor hul reg om 'n afskrif van hul data te bekom |
| A.1.2.9 Rekords met betrekking tot die verwerking van persoonlike inligting | Verwerking van rekords help om die omvang van data te identifiseer wat in 'n kopieversoekrespons ingesluit moet word |
| A.3 Gedeelde Sekuriteitskontroles | Veilige aflewering van PII-kopieë vereis toepaslike tegniese maatreëls |
Wat het verander van ISO 27701:2019?
Vir 'n stap-vir-stap benadering, sien die Oorgang van 2019 na 2025.
In die 2019-uitgawe is die verskaffing van 'n afskrif van PII gedek in Klousule 7.3.8 (Verskaffing van afskrif van verwerkte PII). Die 2025-uitgawe gee dit sy eie beheernommer (A.1.3.9) met toegewyde leiding in B.1.3.9. Die skeiding van die breër toegangsreg in A.1.3.7 Toegang, Regstelling of Uitwissing maak voorsiening vir meer gerigte ouditering van data-leweringsvermoëns. Die klem op gestruktureerde, masjienleesbare formate en veilige aflewering bly sentraal. Sien die Aanhangsel F korrespondensietabel vir die volledige kartering.
Bestuur al u nakoming, alles op een plek
ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.
Hoekom kies ISMS.aanlyn vir die bestuur van PII-kopie- en oordraagbaarheidsversoeke?
ISMS.aanlyn stroomlyn die aflewering van PII-kopieë terwyl sekuriteit en ouditbaarheid gehandhaaf word:
- Multi-formaat uitvoer — Genereer PII-kopieë in gestruktureerde formate (CSV, JSON, PDF) vanaf u dataregister, en verseker masjienleesbaarheid waar nodig
- Veilige afleweringsportaal — Verskaf PII-kopieë deur 'n veilige, tydsbeperkte aflaaiskakel, wat die risiko van die stuur van sensitiewe data via ongeënkripteerde e-pos uitskakel.
- Omvangidentifikasie — Gebruik jou datakartering om vinnig te identifiseer watter data binne die bestek van 'n kopieerversoek teenoor 'n oordraagbaarheidsversoek val, en verseker akkurate en volledige antwoorde
- Versoek dophou — Teken elke kopieversoek aan met die gelewerde formaat, afleweringsmetode wat gebruik is en bevestiging van ontvangs, en bou 'n robuuste ouditspoor op
- Fooibestuur — Waar addisionele kopieergelde van toepassing is, hou die koste dop en verskaf die PII-prinsipaal 'n duidelike koste-uiteensetting
Vrae & Antwoorde
Wat is die verskil tussen 'n toegangskopie en dataportabiliteit?
'n Toegangskopie (BBP Artikel 15) dek alle persoonlike data wat die beheerder oor die individu verwerk, ongeag hoe dit verkry is of die wettige basis. Dataportabiliteit (Artikel 20) is enger: dit is slegs van toepassing op persoonlike data wat die individu verskaf het, verwerk deur outomatiese middele, op grond van toestemming of kontrak. Portabiliteit sluit ook die reg in om data direk aan 'n ander beheerder oor te dra. In die praktyk moet u moontlik verskillende datastelle verskaf, afhangende van watter reg uitgeoefen word.
Watter formaat moet jy gebruik om PII-kopieë te verskaf?
Vir toegangskopieë is enige duidelike en leesbare formaat aanvaarbaar, insluitend PDF. Vir oordraagbaarheidsversoeke moet die data in 'n gestruktureerde, algemeen gebruikte en masjienleesbare formaat wees. CSV en JSON is die mees aanvaarde opsies. Waar moontlik, bied die PII-prinsipaal 'n keuse van formaat. Die formaat moet toelaat dat die data hergebruik of in 'n ander stelsel ingevoer word sonder dat spesialisgereedskap benodig word.
Kan jy 'n afskrif van PII hef?
Die eerste kopie moet gratis verskaf word. Vir bykomende kopieë van dieselfde data, mag u 'n redelike fooi hef gebaseer op administratiewe koste. Die fooi moet proporsioneel en gedokumenteer wees. U kan nie fooie as 'n afskrikmiddel gebruik om individue te ontmoedig om hul regte uit te oefen nie. Indien u 'n fooi hef, moet u die PII-prinsipaal van die bedrag in kennis stel voordat u voortgaan.
ons gids vir vereistes vir ouditbewyse besonderhede gee oor die dokumentasie wat ouditeure verwag vir die beheermaatreëls vir data-onderwerpe se regte.
DPO's wat hierdie verpligtinge bestuur, moet ons gids vir DPO's vir 'n volledige oorsig.
