Wat vereis beheer A.1.5.5?
Die organisasie moet openbaarmakings van PII aan derde partye aanteken, insluitend watter PII openbaar gemaak is, aan wie en op watter tydstip.
Dit is die finale beheer in die PII-oordrag doelwit (A.1.5) binne die PII-beheerderkontroles. Terwyl A.1.5.4 Rekords van PII-oordrag fokus op die opname van formele oordragte, A.1.5.5 verbreed die omvang om alle openbaarmakings vas te lê, insluitend dié wat buite die tipiese oordragraamwerk val.
ons gids vir grensoverschrijdende data-oordragte verskaf omvattende leiding oor die implementering van oordragbeskermingsmaatreëls kragtens ISO 27701:2025.
Wat sê die implementeringsriglyne?
Aanhangsel B (afdeling B.1.5.5) verskaf die volgende riglyne:
- Normale operasionele openbaarmakings moet aangeteken word, soos die deel van PII met 'n verwerker, 'n sakevennoot of 'n diensverskaffer as deel van roetinebedrywighede
- Bykomende openbaarmakings buite normale bedrywighede moet ook aangeteken word, soos openbaarmakings wat gemaak word in reaksie op regsondersoeke, ouditversoeke van toesighoudende owerhede of hofbevele
- Rekords moet die volgende insluit bron van die openbaarmaking — die persoon of stelsel wat die openbaarmaking geïnisieer of gemagtig het
- Rekords moet die volgende insluit gesag om die openbaarmaking te maak — die regsgrondslag, kontraktuele verpligting of interne magtiging wat dit toegelaat het
Die onderskeid tussen "normale" en "bykomende" openbaarmakings is belangrik. Baie organisasies hou roetine-datadeling dop, maar versuim om ad hoc-openbaarmakings wat onder druk gemaak word, soos om op 'n versoek van wetstoepassing te reageer, aan te teken. Beide moet vasgelê word.
Hoe pas dit by die GDPR?
Beheer A.1.5.5 karteer na BBP Artikel 30(1)(d), wat vereis dat rekords van verwerkingsaktiwiteite die kategorieë van ontvangers insluit aan wie persoonlike data bekend gemaak is of sal word, insluitend ontvangers in derde lande of internasionale organisasies.
Dit gaan verder as om bloot ontvangerkategorieë te lys. Die kombinasie van A.1.5.4 Rekords van PII-oordrag en A.1.5.5 verseker dat organisasies op 'n gedetailleerde vlak presies kan demonstreer wat met wie en wanneer gedeel is.
Hoe hou dit verband met ISO 29100-privaatheidsbeginsels?
Hierdie beheer ondersteun die ISO 29100 beginsel van Beperking van gebruik, bewaring en openbaarmakingDie optekening van elke openbaarmaking skep die bewysbasis om aan te toon dat persoonlike inligting slegs gedeel word waar daar 'n gedokumenteerde en geregverdigde rede is, en dat onnodige of ongemagtigde openbaarmakings geïdentifiseer en ondersoek kan word.
Begin maklik met 'n persoonlike produkdemonstrasie
Een van ons aanboordspesialiste sal jou deur ons platform lei om jou te help om met selfvertroue te begin.
Watter bewyse verwag ouditeure?
Wanneer voldoening aan A.1.5.5 beoordeel word, sal ouditeure tipies kyk na:
- Openbaarmakingsregister — 'n Gestruktureerde logboek van alle PII-bekendmakings wat die bekendgemaakte PII, die ontvanger, die datum/tyd en die magtiging vir die bekendmaking toon
- Magtigingsrekords — Bewyse van wie elke openbaarmaking gemagtig het, veral vir nie-roetine-openbaarmakings soos versoeke van wetstoepassing
- Proses dokumentasie — Gedefinieerde prosedures vir die aanteken van openbaarmakings, insluitend wie verantwoordelik is vir die instandhouding van die register
- Dekking van nie-roetine openbaarmakings — Bewyse dat die proses openbaarmakings buite normale bedrywighede vaslê, nie net roetine-datadeling nie
- Konsekwentheid met oordragrekords — Dat openbaarmakingsrekords ooreenstem met die oordragrekords wat gehou word kragtens A.1.5.4 Rekords van PII-oordrag
Wat is die verwante kontroles?
| Beheer | Verhoudings |
|---|---|
| A.1.5.4 Rekords van oordrag van persoonlike inligting | Oordragrekords dek formele oordragte; openbaarmakingsrekords vang die breër prentjie vas, insluitend ad hoc-openbaarmakings. |
| A.1.5.2 Identifiseer die basis vir PII-oordrag | Die regsgrondslag vir oordragte geld ook vir openbaarmakings wat grensoverschrijdende datavloei behels. |
| A.1.5.3 Lande vir PII-oordrag | Bekendmakings aan partye in ander jurisdiksies moet ooreenstem met die goedgekeurde bestemmingslys. |
| A.1.2.9 Rekords van Verwerking van PII | Openbaarmakingsrekords is 'n komponent van die algehele rekords van verwerkingsaktiwiteite. |
| A.1.3.3 Inligting vir PII-hoofde Bepaling van inligting vir PII-hoofde | PII-hoofde moet moontlik ingelig word oor die openbaarmaking van hul data. |
| A.1.3.8 Verpligtinge om Derde Partye in te lig | Sekere openbaarmakings kan kennisgewingsverpligtinge aan PII-hoofde veroorsaak |
Wat het verander van ISO 27701:2019?
In die 2019-uitgawe is hierdie vereiste gedek onder Klousule 7.5.4 (rekords van PII-openbaarmaking aan derde partye). Die 2025-weergawe behou dieselfde kernvereistes, maar die herstruktureerde Aanhangsel B-riglyne onderskei nou meer eksplisiet tussen normale operasionele openbaarmakings en addisionele openbaarmakings (regsondersoeke, oudits). Die vereiste om die bron en gesag vir elke openbaarmaking aan te teken, kry ook groter prominensie. Sien die Aanhangsel F korrespondensietabel vir die volledige kartering.
Bevry jouself van 'n berg sigblaaie
Integreer, brei uit en skaal jou nakoming, sonder die gemors. IO gee jou die veerkragtigheid en vertroue om veilig te groei.
Hoekom kies ISMS.aanlyn vir die opsporing van PII-bekendmakings?
ISMS.aanlyn maak dit maklik om 'n volledige openbaarmakingsrekord te handhaaf:
- Openbaarmakingsregister — Teken elke PII-bekendmaking aan met gestruktureerde velde vir ontvanger, PII-kategorieë, datum/tyd, bron en magtiging
- Werkvloei vir nie-roetine openbaarmakings — Ingeboude goedkeuringswerkvloei vir wetstoepassingsversoeke en ander uitsonderlike openbaarmakings, wat verseker dat behoorlike magtiging verkry word voordat data gedeel word.
- Gekoppelde rekords — Koppel openbaarmakingsinskrywings aan die relevante dataverwerkingsooreenkomste, oordragrekords en PII-hoofprofiele
- Ouditspoor — Elke openbaarmakingsrekord bevat 'n volledige geskiedenis van wie dit geskep, gewysig of hersien het
- Verslagdoening — Genereer openbaarmakingsverslae volgens ontvanger, tydperk, PII-kategorie of magtigingstipe vir bestuursoorsig en oudits
Vrae & Antwoorde
Wat is die verskil tussen 'n oordrag en 'n openbaarmaking?
'n Oordrag verwys tipies na die sistematiese beweging van PII van een jurisdiksie of organisasie na 'n ander onder 'n gedefinieerde reëling (bv. 'n dataverwerkingsooreenkoms). 'n Openbaarmaking is breër en sluit enige deel van PII met 'n derde party in, hetsy roetine of eenmalig. Alle oordragte is openbaarmakings, maar nie alle openbaarmakings is oordragte nie. Byvoorbeeld, die verskaffing van PII aan 'n wetstoepassingsagentskap in reaksie op 'n hofbevel is 'n openbaarmaking, maar is moontlik nie 'n oordrag in die tradisionele sin nie.
Hoe moet ons openbaarmakings aan wetstoepassing hanteer?
Openbaarmakings deur wetstoepassing moet 'n gedefinieerde prosedure volg. Teken die versoek aan wat ontvang is, die aangehaalde wettige gesag, wie in die organisasie die openbaarmaking gemagtig het, watter persoonlike inligting gedeel is, wanneer en aan watter gesag. Indien die versoek informeel is (bv. 'n mondelinge versoek sonder 'n hofbevel), dokumenteer die besluitnemingsproses en die basis waarop die openbaarmaking gemaak of geweier is.
Moet ons PII-hoofde in kennis stel van openbaarmakings?
Dit hang af van die jurisdiksie en die aard van die openbaarmaking. BBP, datasubjekte het die reg om die kategorieë van ontvangers te ken. Vir spesifieke openbaarmakings kan kennisgewing vereis word kragtens A.1.3.8 Verpligtinge om Derde Partye in te lig (kennisgewing van wysiging, verwerking of openbaarmaking). Sekere openbaarmakings, veral aan wetstoepassing, kan egter vrygestel word van kennisgewingsvereistes waar die inlig van die PII-prinsipaal die ondersoek sou benadeel.
sien ons gids vir vereistes vir ouditbewyse vir die spesifieke oordragdokumentasie wat ouditeure verwag.
