Verstaan ISO 27701 Klousule 8.5: PII-deling, oordrag en openbaarmaking
ISO 27701 klousule 8.5 gee 'n uiteensetting van 'n organisasie se doelwitte wanneer PII ook al ingestel is om oorgedra te word aan of bekend gemaak te word aan ander lande, organisasies en subkontrakteurs.
ISO 27701 Klousule 8.5.1 – PII-deling, oordrag en openbaarmaking
Doel van klousule 8.5.1
Wanneer PII ook al tussen jurisdiksies oorgedra moet word, moet organisasies die kliënt betyds inlig oor die onderliggende behoefte om dit te doen.
Leiding oor Klousule 8.5.1
PII-oordragregulasies kan van streek tot streek verskil, afhangend van waar die data na en van oorgedra word.
Oordragbestemmings kan die volgende insluit:
- Verskaffers.
- Derde partye.
- Verskillende lande.
- Internasionale organisasies.
Organisasies moet die kliënt voldoende kennis gee van enige oordragte, sodat besware geopper kan word en, in sekere omstandighede, beëindigingsversoeke gerig kan word.
Organisasies hoef nie altyd kliënte in te lig oor veranderinge aan hul data-oordragreëlings nie, maar kontrakte moet duidelik die omstandighede uiteensit waarin hulle wel vooraf waarskuwing moet gee.
Wanneer PII na 'n ander land oorgedra word, moet organisasies amptelike meganismes oorweeg, soos:
- Modelkontrakklousules.
- Bindende Korporatiewe Reëls.
- Oorgrens-privaatheidsreëls.
Kry 'n voorsprong van 81%.
Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld.
Al wat jy hoef te doen is om die spasies in te vul.
ISO 27701 Klousule 8.5.2 – Lande en internasionale organisasies waarna PII oorgedra kan word
Doel van klousule 8.5.2
Organisasies moet 'n akkurate, bygewerkte lys hou van enige lande of organisasies waar PII die potensiaal het om na oorgedra te word.
Leiding oor Klousule 8.5.2
Kliënte moet op enige gegewe tyd 'n lys van potensiële ontvangerlande en organisasies kan sien, insluitend 'n log van alle lande wat betrokke is by PII-subkontraktering (sien ISO 27701-klousule 8.5.1).
In sekere omstandighede sal organisasies nie altyd vooraf kan bekend maak waar oordragversoeke afkomstig is nie – veral wat gevalle van strafregtelike verrigtinge behels. Dit is onvermydelik, en dit behoort die organisasie se prioriteit te wees om die integriteit van 'n wetstoepassingsoperasie te handhaaf (sien ISO 27701 klousules 7.5.1, 8.5.4 en 8.5.5).
Relevante ISO 27701-klousules
- ISO 27701 7.5.1
- ISO 27701 8.5.1
- ISO 27701 8.5.4
- ISO 27701 8.5.5
ISO 27701 Klousule 8.5.3 – Rekords van PII-openbaarmaking aan derde partye
Doel van klousule 8.5.3
Organisasies moet noukeurig enige gevalle aanteken van hulle wat PII aan 'n derde party moet bekend maak.
Leiding oor Klousule 8.5.3
Wanneer PII geopenbaar word – hetsy as deel van standaard besigheidsroetines of in spesiale omstandighede, soos 'n deurlopende wetlike of regulatoriese proses – moet organisasies aanteken wat geopenbaar is, die ontvanger en die onderliggende rede daarvoor.
Nakoming hoef nie ingewikkeld te wees nie.
Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld.
Al wat jy hoef te doen is om die spasies in te vul.
ISO 27701 Klousule 8.5.4 – Kennisgewing van PII-openbaarmakingsversoeke
Doel van klousule 8.5.4
Wanneer 'n wetlik-bindende versoek vir die organisasie gerig word om PII te openbaar, waar toegelaat, moet die organisasie die PII-hoof van die versoek inlig.
Leiding oor Klousule 8.5.4
Organisasies moet 'n prosedure opstel wat bepaal hoe PII-prinsipale in kennis gestel word van wetlik bindende derdeparty-versoeke vir hul inligting, insluitend 'n redelike tydraamwerk en 'n kontraktuele bepaling wat die hele proses uiteensit.
Bowenal moet organisasies voldoen aan die versoeke van wetstoepassingsagentskappe, wat die reg het om te versoek dat die kliënt nie van enige versoek in kennis gestel word nie, en verseker dat hulle nie enige wette oortree deur die kliënt per ongeluk of opsetlik van die situasie in te lig nie.
ISO 27701 Klousule 8.5.5 – Wetlik bindende PII-openbaarmakings
Doel van klousule 8.5.5
Organisasies moet onmiddellik beswaar maak teen enige PII-openbaarmakingsversoek wat in stryd is met heersende datasekuriteitswette, of op enige manier nie wetlik bindend is nie.
PII-prinsipale moet geraadpleeg word voordat die organisasie enige PII-verwante inligting bekend maak, en organisasies moet voldoen aan kontraktuele bepalings wat uiteensit watter openbaarmakings toegelaat word, vanuit die kliënt se perspektief.
Leiding oor Klousule 8.5.5
Kontrakte moet spesifiek wees in wat hulle as 'n wettige versoek beskou, bykomend tot enige wat deur die kliënt gemagtig is, insluitend dié wat afkomstig is van:
- Howe.
- Indiensnemingstribunale.
- Arbeidsgeskille.
- Regulerende/administratiewe owerhede.
ISO 27701 Klousule 8.5.6 – Wetlik bindende PII-openbaarmakings
Doel van klousule 8.5.6
Voordat die organisasie kontak maak met enige subkontrakteurs wat vereis word om PII te verwerk, moet die organisasie eers die besonderhede van die verhouding bekend maak voordat die subkontrakteur toegelaat word om hul pligte uit te voer.
Leiding oor Klousule 8.5.6
Alle bepalings vir die gebruik van subkontrakteurs moet as sodanig in die SLA/kliëntkontrak gelys word.
Inligting oor subkontrakteurs moet die volgende insluit:
- Die subkontrakteurs se naam.
- Enige lande waarheen die subkontrakteur data kan oordra (sien ISO 27701 klousule 8.5.2), sodat die kliënt in staat is om enige PII-prinsipale in te lig.
- Hoe daar van die subkontrakteur verwag word om aan die behoeftes van die organisasie te voldoen (sien ISO 27701 klousule 8.5.7).
NDA's moet opgestel word om enige inligting bekend te maak wat 'n verhoogde sekuriteitsrisiko sou verteenwoordig as dit in die openbaar blootgestel word.
Relevante ISO 27701-klousules
- ISO 27701 8.5.2
- ISO 27701 8.5.7
Bestuur al jou nakoming op een plek
ISMS.online ondersteun meer as 100 standaarde
en regulasies, gee jou 'n enkele
platform vir al jou voldoeningsbehoeftes.
ISO 27701 Klousule 8.5.7 – Betrekking van 'n subkontrakteur om PII te verwerk
Doel van klousule 8.5.7
Die enigste keer wat dit aanvaarbaar is om PII-verwerkingsaktiwiteite te subkontrakteer, is saam met die bepalings vervat in 'n kontraktuele ooreenkoms.
Leiding oor Klousule 8.5.7
Organisasies moet skriftelike goedkeuring van hul kliënte verkry voordat enige PII deur 'n derdeparty-organisasie verwerk word.
Subkontrakteurs moet onderhewig wees aan 'n bindende ooreenkoms (gewoonlik in die vorm van 'n skriftelike kontrak), wat verseker dat subkontrakteurs hul verpligtinge verstaan ten opsigte van die implementering van die kontroles wat in ISO 27701 Bylae B gelys word.
Kontrakte moet verskeie risiko-assesseringsprosesse in ag neem (sien ISO 27701-klousule 5.4.1.2), en die hele omvang van die organisasie se PII-verwerkingsoperasie (sien ISO 27701-klousule 6.12). Soos hierbo, moet alle kontroles gelys in Bylae B nagekom word, met enige weglatings gelys, saam met die regverdigings daarvoor.
Relevante ISO 27701-klousules
- ISO 27701 5.4.1.2
- ISO 27701 6.12
ISO 27701 Klousule 8.5.8 – Verandering van Subkontrakteur na Proses PII
Doel van klousule 8.5.8
Wanneer die behoefte ontstaan om die manier waarop die organisasie enige element van sy PII-verwerkingsoperasie uitkontrakteer te verander, moet kliënte vroegtydig van die veranderinge ingelig word om hulle tyd te gee om genoemde veranderinge te bevraagteken of daarteen beswaar te maak.
Leiding oor Klousule 8.5.8
Kontrakte moet klousules insluit wat voorsiening maak vir skriftelike magtiging van die kliënt om voort te gaan met die verandering, voordat enige PII verwerk word.
Organisasies kan ook goedkeuring soek vir veranderinge binne ad-hoc geskrewe ooreenkomste, buite enige kontraktuele bepalings.
Ondersteunende GDPR-artikels
Verskeie elemente van ISO 27701 Klousule 8.5 is van toepassing binne die VK BBP wetgewing. Kyk na die onderstaande tabel vir die ooreenstemmende verwysings.
| ISO 27701 Klousule Identifiseerder | ISO 27701 Klousule Naam | Geassosieerde GDPR-artikels |
|---|---|---|
| 8.5.1 | Basis vir PII-oordrag tussen jurisdiksies | Artikels (44), (46)(48) (49) |
| 8.5.2 | Lande en internasionale organisasies waarna PII oorgedra kan word | Artikel (30) |
| 8.5.3 | Rekords van PII-openbaarmaking aan derde partye | Artikel (30) |
| 8.5.4 | Kennisgewing van PII-openbaarmakingsversoeke | Artikel (28) |
| 8.5.5 | Wetlik bindende PII-openbaarmakings | Artikel (48) |
| 8.5.6 | Openbaarmaking van subkontrakteurs wat gebruik word om PII te verwerk | Artikel (28) |
| 8.5.7 | Aanneming van 'n subkontrakteur om PII te verwerk | Artikel (28) |
| 8.5.8 | Verandering van Subkontrakteur na Proses PII | Artikel (28) |
Hoe ISMS.online help
By ISMS.online maak ons die dokumentasie van jou privaatheidinligtingbestuurstelsel makliker vir jou organisasie. Ons voorsien jou van 'n logiese, bruikbare, wolkgebaseerde inligtingbestuurskoppelvlak wat jou organisasie sal help om sy privaatheidsprosesse en vordering teen die ISO 27701 / PIMS-standaard na te gaan.
Ons wolk-gebaseerde platform laat jou toe om toegang tot al jou PIMS-bronne op een plek te kry.
Jy kan ons maklik-om-te gebruik platform gebruik om alles te dokumenteer wat jy nodig het om te wys dat jy aan die vereistes van ISO 27701 voldoen. Ons Assured Results Method (ARM) ontmystifiseer die vereistes van ISO 27701 en gee jou selfvertroue soos jy vorder na die bereiking van sertifisering.
Ons het 'n interne span inligtingsekuriteitskundiges wat leiding kan gee en vrae kan beantwoord om jou te help op pad na ISO 27701-sertifisering.
Vind meer uit deur bespreek 'n demo.
Spring na onderwerp
