Wat vereis beheer A.2.5.6?
Die organisasie sal enige versoeke vir PII-openbaarmakings wat nie regtens bindend is nie, verwerp, die ooreenstemmende kliënt raadpleeg voordat enige PII-openbaarmakings gemaak word en enige kontraktueel ooreengekome versoeke vir PII-openbaarmakings aanvaar wat deur die ooreenstemmende kliënt gemagtig is.
Hierdie beheer sit binne die PII-verwerkerkontroles aanhangsel (A.2) en stel 'n duidelike besluitnemingsraamwerk vir die hantering van versoeke om persoonlike inligting (PII) vas. Dit skep 'n hiërargie: verwerp versoeke wat nie regskrag het nie, raadpleeg die beheerder voor openbaarmaking en eerbiedig kontraktueel ooreengekome openbaarmakings wat die kliënt gemagtig het. Dit verhoed dat verwerkers PII sonder behoorlike magtiging openbaar maak.
Wat sê die implementeringsriglyne van Aanhangsel B?
Aanhangsel B (afdeling B.2.5.6) verskaf die volgende riglyne:
- Kontraktuele besonderhede — Besonderhede oor hoe openbaarmakingsversoeke hanteer word, kan in die kliëntkontrak ingesluit word
- Bronne van versoeke — Versoeke om openbaarmaking kan afkomstig wees van howe, tribunale, administratiewe owerhede of enige ander liggaam met jurisdiksionele gesag.
- Sien ook A.2.5.3: Lande en internasionale organisasies vir PII-oordrag vir verwante vereistes
- Sien ook A.2.5.7: Openbaarmaking van subkontrakteurs wat gebruik word om persoonlike inligting te verwerk vir verwante vereistes
Die riglyne is doelbewus bondig omdat die beheer self hoogs voorskriftelik is. Die drieledige verpligting is duidelik: verwerp nie-bindende versoeke, raadpleeg die kliënt oor bindende versoeke en aanvaar kliënt-gemagtigde versoeke. Die kontrak moet die prosedures vir elke scenario definieer, insluitend hoe die verwerker bepaal of 'n versoek regtens bindend is, hoe kliëntraadpleging plaasvind en tot watter voorafgemagtigde openbaarmakings die kliënt ingestem het.
Hoe pas dit by die GDPR?
Beheer A.2.5.6 karteer na die volgende BBP Artikel:
- Artikel 48 — Enige uitspraak van 'n hof of tribunaal en enige besluit van 'n administratiewe owerheid van 'n derde land wat vereis dat 'n beheerder of verwerker persoonlike data oordra of openbaar maak, mag slegs erken of afdwingbaar wees indien dit gebaseer is op 'n internasionale ooreenkoms, soos 'n wedersydse regsbystandsverdrag, wat van krag is tussen die versoekende derde land en die Unie of 'n lidstaat.
BBP Artikel 48 is veral relevant vir verwerkers wat internasionaal werk. Dit bepaal dat buitelandse hofbevele en administratiewe beslissings nie op sigself die openbaarmaking van persoonlike data kan afdwing nie, tensy daar 'n internasionale ooreenkoms in plek is. Dit versterk die verwerker se verpligting om nie-bindende versoeke te verwerp en die regsgrondslag voor openbaarmaking te verifieer.
Wat het verander van ISO 27701:2019?
Vir 'n stap-vir-stap benadering, sien die Oorgang van 2019 na 2025.
In die 2019-uitgawe is hierdie vereiste binne die breër klousulestruktuur aangespreek. Die 2025-uitgawe verskaf A.2.5.6 as 'n losstaande beheermaatreël met implementeringsriglyne in B.2.5.6 wat die bronne van openbaarmakingsversoeke (howe, tribunale, administratiewe owerhede) en die rol van die kliëntkontrak verduidelik. Sien die Aanhangsel F korrespondensietabel vir die volledige kartering.
Begin maklik met 'n persoonlike produkdemonstrasie
Een van ons aanboordspesialiste sal jou deur ons platform lei om jou te help om met selfvertroue te begin.
Watter bewyse verwag ouditeure?
Wanneer voldoening aan A.2.5.6 beoordeel word, sal ouditeure tipies kyk na:
- Prosedure vir die besluit oor openbaarmaking — ’n Gedokumenteerde prosedure vir die evaluering van openbaarmakingsversoeke, insluitend hoe die organisasie bepaal of ’n versoek regtens bindend is.
- Verwerpingsrekords — Rekords van nie-bindende openbaarmakingsversoeke wat verwerp is, insluitend die basis vir die verwerping en enige korrespondensie met die versoekende party
- Kliënt konsultasie rekords — Bewyse van kliëntkonsultasie voordat openbaarmakings gemaak is, insluitend die kommunikasie, die kliënt se reaksie en die besluit wat geneem is
- Voorafgemagtigde openbaarmakings — Kontrakklousules wat openbaarmakings definieer wat die kliënt vooraf goedgekeur het, wat die behoefte aan konsultasie van geval tot geval uitskakel
- Regsassesseringsvermoë — Bewyse dat die organisasie toegang het tot regsadvies om te bepaal of versoeke wetlik bindend is, veral vir versoeke van buitelandse jurisdiksies
Wat is die verwante kontroles?
| Beheer | Verhoudings |
|---|---|
| A.2.5.5 Kennisgewing van openbaarmakingsversoeke | Kennisgewing is die eerste stap; hierdie beheer beheer die besluit om openbaar te maak of te verwerp |
| A.2.5.4 Rekords van PII-openbaarmakings | Alle openbaarmakings (en verwerpings) moet aangeteken word |
| A.2.2.2 Kliëntooreenkoms | Die kontrak definieer die prosedure vir openbaarmakingsbesluitneming en voorafgemagtigde openbaarmakings. |
| A.2.5.2 Basis vir PII-oordrag | Wetlik verpligte openbaarmakings aan buitelandse owerhede moet 'n geldige oordragbasis hê |
| A.2.2.4 Bemarkings- en advertensiegebruik | Bekendmakings vir bemarkingsdoeleindes vereis spesifieke kliëntmagtiging |
Op wie is hierdie beheer van toepassing?
A.2.5.6 is uitsluitlik van toepassing op PII-verwerkersVerwerkers tree namens beheerders op en moet nie onafhanklik besluit om persoonlike inligting aan derde partye bekend te maak nie. Hierdie beheermaatreël verseker dat verwerkers slegs persoonlike inligting bekend maak wanneer daar óf 'n wetlik bindende verpligting is om dit te doen óf eksplisiete kliëntmagtiging is. Vrywillige openbaarmakings sonder kliënttoestemming of wetlike dwang word nie toegelaat nie.
Bestuur al u nakoming, alles op een plek
ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.
Hoekom kies ISMS.aanlyn vir die bestuur van openbaarmakingsbesluite?
ISMS.aanlyn bied praktiese gereedskap vir die bestuur van besluite oor die openbaarmaking van persoonlike inligting:
- Besluitnemingswerkvloei — Gestruktureerde werkvloeie vir die evaluering van openbaarmakingsversoeke, met vertakkingslogika vir wetlik bindende, nie-bindende en kliënt-gemagtigde versoeke
- Regsassesseringopsporing — Rekordeer regsassesserings van of versoeke bindend is, insluitend die jurisdiksie, aangehaalde wetlike bepalings en verkrygde regsadvies
- Kliënt konsultasie — Bestuur kliëntkonsultasies binne die platform, hou die versoek, kommunikasie, reaksie en finale besluit dop
- Verwerpingsbestuur — Dokumenteer afgekeurde versoeke met die basis vir verwerping, wat 'n verdedigbare rekord vir regulatoriese of wetlike hersiening skep
- Kontrakintegrasie — Koppel openbaarmakingsprosedures aan kliëntkontrakbepalings, en verseker dat voorafgemagtigde openbaarmakings geïdentifiseer en konsekwent hanteer word
Vrae & Antwoorde
Hoe bepaal die verwerker of 'n versoek wetlik bindend is?
Die verwerker moet bepaal of die versoekende owerheid die wetlike bevoegdheid het om openbaarmaking af te dwing en of die versoek behoorlik ingevolge die toepaslike wetgewing uitgereik is. Dit vereis tipies regsadvies, veral vir versoeke van buitelandse jurisdiksies. Sleutelfaktore sluit in: of die versoek 'n spesifieke wetlike bepaling aanhaal; of dit deur 'n hof, tribunaal of administratiewe owerheid met behoorlike jurisdiksie uitgereik is; en of dit aan die formele vereistes van die toepaslike wetgewing voldoen. Informele versoeke, versoeke om vrywillige samewerking en versoeke wat nie 'n wetlike basis het nie, moet verwerp word.
Kan die verwerker persoonlike inligting openbaar maak sonder om die kliënt te raadpleeg?
Slegs in beperkte omstandighede. Indien die kliëntkontrak voorafgemagtigde openbaarmakings insluit (byvoorbeeld, die magtiging van openbaarmaking in reaksie op geldige hofbevele binne 'n spesifieke jurisdiksie), kan die verwerker voortgaan sonder konsultasie van geval tot geval. Daarbenewens, indien kennisgewing wetlik verbied word (soos aangespreek in A.2.5.5 Versoeke om PII-openbaarmaking), moet die verwerker moontlik openbaar maak voordat hy die kliënt in kennis kan stel. In alle ander gevalle word konsultasie met die kliënt voor openbaarmaking deur hierdie beheermaatreël vereis.
Wat van versoeke van buitelandse howe of owerhede?
Artikel 48 van die AVG bepaal dat buitelandse hofuitsprake en administratiewe besluite slegs afdwingbaar is indien dit gebaseer is op 'n internasionale ooreenkoms soos 'n verdrag oor wedersydse regsbystand. Dit beteken dat 'n buitelandse hofbevel alleen nie noodwendig 'n "regtelik bindende" versoek kragtens EU-wetgewing is nie. Die verwerker moet regsadvies inwin voordat hy persoonlike inligting openbaar maak in reaksie op versoeke van buitelandse owerhede en moet die kliënt raadpleeg. Waar geen internasionale ooreenkoms bestaan nie, moet die versoek oor die algemeen verwerp word tensy ander AVG-oordragmeganismes van toepassing is.
ons gids vir vereistes vir ouditbewyse dek die openbaarmakingsdokumentasie wat ouditeure vereis.
sien ons verskaffer evalueringsgids vir hoe kliënte verwerker se openbaarmakingspraktyke beoordeel.
