Klousule 7.2, Voorwaardes vir invordering en verwerking

Name: ISMS.online
Telephone: +441273041140
Price range: ££
Location: ISMS.online

Verstaan ISO 27701 Klousule 7.2: Voorwaardes vir Wettige PII-verwerking

ISO 27701 Klousule 7.2 (Voorwaardes vir versameling en verwerking) bevat leiding oor hoe om te bewys en te dokumenteer dat die organisasie se PII-verwerkingsaktiwiteite wettig is, en binne die relevante wetlike grense funksioneer.

Hier is 'n uiteensetting van ISO se klousule-spesifieke leiding, saam met die ooreenstemmende VK BBP aanhalings (tabel van gekoppelde aanhalings onderaan bladsy).

Neem asseblief kennis dat GDPR-aanhalings slegs vir aanduidingsdoeleindes is. Organisasies moet die wetgewing onder die loep neem en hul eie oordeel maak oor watter dele van die wet op hulle van toepassing is.

ISO 27701 Klousule 7.2.1 – Identifiseer en dokumenteer Doel

Doel van klousule 7.2.1

Organisasies moet eers die spesifieke redes identifiseer en dan aanteken vir die verwerking van die PII wat hulle gebruik.

Leiding oor Klousule 7.2.1

PII-prinsipale moet ten volle vertroud wees met al die verskillende redes waarom hul PII verwerk word.

Dit is die verantwoordelikheid van die organisasie om hierdie redes aan PII-hoofde oor te dra, saam met 'n 'duidelike verklaring' oor hoekom hulle hul inligting moet verwerk.

Alle dokumentasie moet duidelik, omvattend en maklik verstaanbaar wees deur enige PII-prinsipaal wat dit lees – insluitend enigiets wat met toestemming verband hou, sowel as afskrifte van interne prosedures (sien ISO 27701 Klousules 7.2.3, 7.3.2 en 7.2.8).

Relevante ISO 27701-klousules

ISO 27701 7.2.3
ISO 27701 7.3.2
ISO 27701 7.2.8

Kry 'n voorsprong van 81%.

Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld.
Al wat jy hoef te doen is om die spasies in te vul.

Bespreek 'n demo

ISO 27701 Klousule 7.2.2 – Identifiseer wettige basis

Doel van klousule 7.2.2

Afhangende van die jurisdiksie, kan organisasies moet bewys dat hul PII-verwerkingsaktiwiteite wettig is voordat hulle begin.

Leiding oor Klousule 7.2.2

Om 'n regsgrondslag vir die verwerking van PII te vorm, moet organisasies:

Soek toestemming van PII-hoofde.
Stel 'n kontrak op.
Voldoen aan verskeie ander wetlike verpligtinge.
Beskerm die 'noodsaaklike belange' van die verskillende PII-prinsipale.
Verseker dat die take wat uitgevoer word in die openbare belang is.
Bevestig dat PII-verwerking 'n wettige belang is.

Vir elke punt hierbo genoem, moet organisasies gedokumenteerde bevestiging kan bied.

Organisasies moet ook enige 'spesiale kategorieë' van PII wat met hul organisasie verband hou, in hul dataklassifikasieskema oorweeg (sien ISO 27701 Klousule 7.2.8) (klassifikasies kan van streek tot streek verskil).

As organisasies enige veranderinge aan hul onderliggende redes vir die verwerking van PII ervaar, moet dit onmiddellik in hul gedokumenteerde regsgrondslag weerspieël word.

Relevante ISO 27701-klousules

ISO 27701 7.2.8

ISO 27701 Klousule 7.2.3 – Bepaal wanneer en hoe toestemming verkry moet word

Doel van klousule 7.2.3

Organisasies moet dit kan demonstreer toestemming vir verwerking wettiglik verkry is van PII-hoofde.

Leiding oor Klousule 7.2.3

Organisasies moet in staat wees om die redes vir die soek van toestemming te dokumenteer, en hoe dit verkry moet word.

PII-bepalings verskil van streek tot streek, so organisasies moet voortdurend bedag wees op enige plaaslike en/of nasionale wette en regulasies wat mag beheer hoe hulle toestemming verkry, tesame met enige spesiale voorwaardes verbonde aan sekere datatipes (bv. kinders).

ISO 27701 Klousule 7.2.4 – Verkry en teken toestemming aan

Doel van klousule 7.2.4

Sodra hulle vasgestel het dat toestemming vereis word, moet organisasies toestemming verkry volgens hul unieke stel vereistes.

Leiding oor Klousule 7.2.4

Organisasies moet toestemming insamel op 'n manier wat dit vir PII-vakke maklik maak om inligting aan te vra oor hoe dit verkry is (tydstempels, wie dit versoek het, ens.) (sien ISO 27701 Klousule 7.3.3).

Toestemming maak staat op drie onderliggende wetlike bepalings: dit moet wees vrylik verskaf, met betrekking tot die rede vir verwerking en duidelik in sy bedoeling.

Nakoming hoef nie ingewikkeld te wees nie.

Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld.
Al wat jy hoef te doen is om die spasies in te vul.

Bespreek 'n demo

ISO 27701 Klousule 7.2.5 – Privaatheidsimpakevaluering

Doel van klousule 7.2.5

Privaatheidsimpakbeoordelings stel organisasies in staat om enige inligtingsekuriteitsimplikasies te bepaal wanneer 'n nuwe stel PII verwerk word, of die manier waarop bestaande data verwerk word, verander.

Leiding oor Klousule 7.2.5

PII-verwerking is 'n risiko-swaar besigheidsfunksie wat deeglik beoordeel moet word om die integriteit, egtheid en wettigheid van die data wat verwerk word, te verseker.

Afhangende van die jurisdiksie, sal sommige organisasies moet voldoen aan 'n kategoriese lys scenario's waar 'n privaatheidsimpakbeoordeling vereis word, soos:

Outomatiese besluitneming.
Ondernemingsvlakverwerking van spesiale PII-kategorieë.
Monitering van groot openbare areas.

Organisasies moet vasstel wat 'n voldoende impakbeoordeling is, insluitend (maar nie beperk nie tot):

Watter soort PII word gestoor.
Waar dit gestoor word.
Waarheen dit verskuif kan word.

ISO 27701 Klousule 7.2.6 – Kontrakte met PII-verwerkers

Doel van klousule 7.2.6

Organisasies moet skriftelike, bindende kontrakte aangaan met enige eksterne PII-verwerker wat hulle gebruik.

Leiding oor Klousule 7.2.6

Enige kontrakte moet verseker dat die PII-verwerker al die vereiste inligting wat binne ISO 27701 Bylae B vervat is, implementeer, met besondere aandag aan risikobepalingskontroles (ISO 27701 Klousule 5.4.1.2) en die algehele omvang van die verwerkingsaktiwiteite (sien ISO 27701 Klousule 6.12) )

Organisasies moet in staat wees om die weglating van enige kontroles vervat in Bylae B, in hul verhouding met die PII-verwerker te regverdig (sien ISO 27701 Klousule 5.4.1.3).

ISO 27701 Klousule 7.2.7 – Gesamentlike PII-beheerder

Doel van klousule 7.2.7

Organisasies moet die besonderhede van enige gesamentlike PII-verwerkingsreëling uiteensit, met 'n gepaardgaande PII-beheerder – dit sluit algemene beskermingsmaatreëls en alle gepaardgaande sekuriteitsvereistes in.

Leiding oor Klousule 7.2.7

Rolle en verantwoordelikhede moet duidelik en ondubbelsinnig wees, en uiteengesit in 'n wetlik-bindende dokument (soms 'n 'datadelingsooreenkoms' genoem).

Ooreenkomste kan (onder ander maatreëls) insluit:

Waarom PII gedeel word.
Data kategorieë.
'n Algemene oorsig van die PII-verwerkingsbewerking.
Enige relevante rolle en verantwoordelikhede.
Hoe privaatheidsinligtingsekuriteit beheer moet word.
Watter stappe moet geneem word in die geval van 'n data-oortreding.
Hoe PII behou moet word, en vernietig moet word wanneer dit nie meer nodig is nie.
Wat gebeur wanneer enige van die partye die ooreenkoms verbreek.
Wat enige party se verpligtinge teenoor PII-prinsipale is.
Watter meganismes is in plek om PII-prinsipale van toepaslike besonderhede van die gesamentlike ooreenkoms te voorsien.
Hoe PII-prinsipale amptelike versoeke kan rig, en hoe om 'n antwoord te formuleer en te lewer.
Kontakpunte – beide intern en vir PII-prinsipale om te gebruik.

Bestuur al jou nakoming op een plek

ISMS.online ondersteun meer as 100 standaarde
en regulasies, gee jou 'n enkele
platform vir al jou voldoeningsbehoeftes.

Bespreek 'n demo

ISO 27701 Klousule 7.2.8 – Rekords wat verband hou met verwerking van PII

Doel van klousule 7.2.8

Organisasies moet 'n deeglike stel rekords byhou wat hul optrede en verpligtinge as 'n PII-verwerker ondersteun.

Leiding oor Klousule 7.2.8

Rekords (andersins bekend as 'voorraadlyste') moet 'n afgevaardigde eienaar hê, en kan die volgende insluit:

Operasioneel – die spesifieke tipe PII-verwerking wat onderneem word.
Regverdigings – waarom die PII verwerk word.
Kategories – lyste van PII-ontvangers, insluitend internasionale organisasies.
Sekuriteit – 'n oorsig van hoe PII beskerm word.
Privaatheid – dws 'n privaatheidsimpakbeoordelingsverslag.

Ondersteunende GDPR-artikels

Verskeie elemente van ISO 27701 Klousule 7.2 is van toepassing binne die Britse GDPR-wetgewing. Kyk na die onderstaande tabel vir die ooreenstemmende verwysings.

ISO 27701 Klousule Identifiseerder	ISO 27701 Klousule Naam	Geassosieerde GDPR-artikels
7.2.1	Identifiseer en dokumenteer Doel	Artikels (5), (32)
7.2.2	Identifiseer wettige basis	Artikels (5), (6), (8), (9), (10), (17), (18), (22)
7.2.3	Bepaal wanneer en hoe toestemming verkry moet word	Artikel (8)
7.2.4	Verkry en teken toestemming aan	Artikels (7)(9)
7.2.5	Privaatheidsimpakevaluering	Artikels (35), (36)
7.2.6	Kontrakte met PII-verwerkers	Artikels (5), (28)
7.2.7	Gesamentlike PII-beheerder	Artikel (26)
7.2.8	Rekords wat verband hou met die verwerking van PII	Artikels (5), (24), (30)

Hoe ISMS.online help

Die proses om ISO 27701 te implementeer kan uitdagend wees, veral as jy nog nooit vantevore 'n projek soos hierdie aangepak het nie. ISMS.online kan jou bystaan!

Ons ISO 27701-raamwerke laat jou besigheid toe om voldoening aan die ISO 27701-standaard te demonstreer.

Ons inligtingsekuriteitspesialiste kan jou help om 'n logiese implementeringsprosedure te skep wat aan die raamwerk voldoen.

Vind meer uit deur bespreek 'n demo.

ISO 27701 – Klousule 7.2 – Voorwaardes vir versameling en verwerking

Verstaan ISO 27701 Klousule 7.2: Voorwaardes vir Wettige PII-verwerking