Grundlegendes zu Klausel 27701 der ISO 7.2: Bedingungen für die rechtmäßige Verarbeitung personenbezogener Daten
ISO 27701 Abschnitt 7.2 (Bedingungen für die Erhebung und Verarbeitung) enthält Leitlinien zum Nachweis und zur Dokumentation, dass die PII-Verarbeitungsaktivitäten der Organisation rechtmäßig sind und innerhalb der relevanten rechtlichen Grenzen erfolgen.
Hier finden Sie eine Zusammenfassung der klauselspezifischen Leitlinien der ISO zusammen mit der entsprechenden UK-Anleitung Datenschutz Zitate (Tabelle der verlinkten Zitate unten auf der Seite).
Bitte beachten Sie, dass DSGVO-Zitate nur zu Informationszwecken dienen. Organisationen sollten die Gesetzgebung prüfen und selbst beurteilen, welche Teile des Gesetzes für sie gelten.
ISO 27701 Abschnitt 7.2.1 – Zweck identifizieren und dokumentieren
Zweck von Abschnitt 7.2.1
Organisationen müssen zunächst die spezifischen Gründe für die Verarbeitung der von ihnen verwendeten PII identifizieren und dann aufzeichnen.
Anleitung zu Abschnitt 7.2.1
PII-Auftraggeber müssen mit den verschiedenen Gründen für die Verarbeitung ihrer PII vollständig vertraut sein.
Es liegt in der Verantwortung der Organisation, diese Gründe den PII-Leitern mitzuteilen, zusammen mit einer „klaren Erklärung“, warum sie ihre Informationen verarbeiten müssen.
Die gesamte Dokumentation muss klar, umfassend und für jeden PII-Auftraggeber, der sie liest, leicht verständlich sein – einschließlich aller Unterlagen im Zusammenhang mit der Einwilligung sowie Kopien interner Verfahren (siehe ISO 27701, Abschnitte 7.2.3, 7.3.2 und 7.2.8).
Relevante ISO 27701-Klauseln
- ISO 27701 7.2.3
- ISO 27701 7.3.2
- ISO 27701 7.2.8
ISO 27001 leicht gemacht
Ein Vorsprung von 81 % vom ersten Tag an
Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.
ISO 27701 Abschnitt 7.2.2 – Rechtsgrundlage ermitteln
Zweck von Abschnitt 7.2.2
Abhängig von der Gerichtsbarkeit müssen Organisationen dies möglicherweise tun nachweisen, dass ihre PII-Verarbeitungsaktivitäten rechtmäßig sind bevor sie beginnen.
Anleitung zu Abschnitt 7.2.2
Um eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten zu schaffen, sollten Organisationen:
- Holen Sie die Zustimmung der PII-Leiter ein.
- Entwerfen Sie einen Vertrag.
- Erfüllen Sie verschiedene weitere gesetzliche Verpflichtungen.
- Schützen Sie die „lebenswichtigen Interessen“ der verschiedenen PII-Auftraggeber.
- Stellen Sie sicher, dass die ausgeführten Aufgaben im öffentlichen Interesse liegen.
- Bestätigen Sie, dass die PII-Verarbeitung ein berechtigtes Interesse darstellt.
Für jeden oben genannten Punkt sollten Organisationen eine dokumentierte Bestätigung anbieten können.
Organisationen müssen in ihrem Datenklassifizierungsschema auch alle „besonderen Kategorien“ personenbezogener Daten berücksichtigen, die sich auf ihre Organisation beziehen (siehe ISO 27701 Abschnitt 7.2.8) (Klassifizierungen können von Region zu Region unterschiedlich sein).
Wenn Organisationen Änderungen an ihren zugrunde liegenden Gründen für die Verarbeitung personenbezogener Daten feststellen, sollte sich dies unverzüglich in ihrer dokumentierten Rechtsgrundlage widerspiegeln.
Relevante ISO 27701-Klauseln
- ISO 27701 7.2.8
ISO 27701 Abschnitt 7.2.3 – Bestimmen Sie, wann und wie die Einwilligung eingeholt werden soll
Zweck von Abschnitt 7.2.3
Organisationen müssen dies nachweisen können Die Einwilligung zur Verarbeitung wurde rechtmäßig eingeholt von PII-Direktoren.
Anleitung zu Abschnitt 7.2.3
Organisationen sollten in der Lage sein, die Gründe für die Einholung der Einwilligung und die Art und Weise, wie diese eingeholt wird, zu dokumentieren.
Die PII-Bestimmungen variieren von Region zu Region, daher müssen Organisationen stets alle lokalen und/oder nationalen Gesetze und Vorschriften im Auge behalten, die möglicherweise regeln, wie sie ihre Einwilligung einholen, sowie alle besonderen Bedingungen, die an bestimmte Datentypen (z. B. Kinder) geknüpft sind.
ISO 27701 Abschnitt 7.2.4 – Einwilligung einholen und protokollieren
Zweck von Abschnitt 7.2.4
Sobald Organisationen festgestellt haben, dass eine Einwilligung erforderlich ist, sollten sie die Einwilligung gemäß ihren individuellen Anforderungen einholen.
Anleitung zu Abschnitt 7.2.4
Organisationen müssen die Einwilligung auf eine Weise einholen, die es PII-Personen erleichtert, Informationen darüber anzufordern, wie sie eingeholt wurden (Zeitstempel, wer sie angefordert hat usw.) (siehe ISO 27701 Abschnitt 7.3.3).
Die Einwilligung beruht auf drei grundlegenden rechtlichen Bestimmungen: Sie muss vorhanden sein kostenlos zur Verfügung gestellt, bezogen auf Grund der Verarbeitung mit einem klar in seiner Absicht.
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
ISO 27701 Abschnitt 7.2.5 – Datenschutz-Folgenabschätzung
Zweck von Abschnitt 7.2.5
Mithilfe von Datenschutz-Folgenabschätzungen können Unternehmen etwaige Auswirkungen auf die Informationssicherheit abschätzen, wenn sie einen neuen Satz personenbezogener Daten verarbeiten oder die Art und Weise ändern, wie bestehende Daten verarbeitet werden.
Anleitung zu Abschnitt 7.2.5
Die PII-Verarbeitung ist eine risikoreiche Geschäftsfunktion, die gründlich bewertet werden muss, um die Integrität, Authentizität und Rechtmäßigkeit der verarbeiteten Daten sicherzustellen.
Abhängig von der Gerichtsbarkeit müssen einige Organisationen eine kategorische Liste von Szenarien einhalten, in denen eine Datenschutz-Folgenabschätzung erforderlich ist, wie zum Beispiel:
- Automatisierte Entscheidungsfindung.
- Verarbeitung spezieller PII-Kategorien auf Unternehmensebene.
- Überwachung großer öffentlicher Bereiche.
Organisationen müssen festlegen, was eine angemessene Folgenabschätzung darstellt, einschließlich (aber nicht beschränkt auf):
- Welche Art von PII wird gespeichert?
- Wo es gespeichert wird.
- Wohin es verschoben werden kann.
ISO 27701 Klausel 7.2.6 – Verträge mit PII-Verarbeitern
Zweck von Abschnitt 7.2.6
Organisationen müssen mit jedem externen PII-Verarbeiter, den sie nutzen, schriftliche, verbindliche Verträge abschließen.
Anleitung zu Abschnitt 7.2.6
Alle Verträge müssen sicherstellen, dass der PII-Verarbeiter alle in ISO 27701 Anhang B enthaltenen erforderlichen Informationen umsetzt, mit besonderem Augenmerk auf Risikobewertungskontrollen (ISO 27701 Abschnitt 5.4.1.2) und den Gesamtumfang der Verarbeitungsaktivitäten (siehe ISO 27701 Abschnitt 6.12). )
Organisationen müssen in der Lage sein, das Weglassen von in Anhang B enthaltenen Kontrollen in ihrer Beziehung zum PII-Verarbeiter zu rechtfertigen (siehe ISO 27701 Abschnitt 5.4.1.3).
ISO 27701 Abschnitt 7.2.7 – Gemeinsamer PII-Controller
Zweck von Abschnitt 7.2.7
Organisationen müssen die Einzelheiten jeder gemeinsamen PII-Verarbeitungsvereinbarung mit einem begleitenden PII-Controller darlegen – dazu gehören allgemeine Schutzmaßnahmen und alle damit verbundenen Sicherheitsanforderungen.
Anleitung zu Abschnitt 7.2.7
Rollen und Verantwortlichkeiten müssen klar und eindeutig sein und in einem rechtsverbindlichen Dokument (manchmal auch „Datenfreigabevereinbarung“ genannt) dargelegt werden.
Vereinbarungen können (neben anderen Maßnahmen) Folgendes umfassen:
- Warum personenbezogene Daten weitergegeben werden.
- Datenkategorien.
- Ein allgemeiner Überblick über den PII-Verarbeitungsvorgang.
- Alle relevanten Rollen und Verantwortlichkeiten.
- Wie die Sicherheit von Datenschutzinformationen geregelt werden soll.
- Welche Maßnahmen sind im Falle einer Datenschutzverletzung zu ergreifen?
- Wie PII aufbewahrt und vernichtet werden sollen, wenn sie nicht mehr benötigt werden.
- Was passiert, wenn eine der Parteien gegen eine Vereinbarung verstößt?
- Was sind die Pflichten beider Parteien gegenüber PII-Auftraggebern?
- Welche Mechanismen sind vorhanden, um PII-Auftraggebern relevante Einzelheiten der gemeinsamen Vereinbarung zur Verfügung zu stellen?
- Wie PII-Direktoren offizielle Anfragen stellen können und wie sie eine Antwort formulieren und übermitteln.
- Ansprechpartner – sowohl intern als auch für PII-Auftraggeber.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
ISO 27701 Abschnitt 7.2.8 – Aufzeichnungen im Zusammenhang mit der Verarbeitung personenbezogener Daten
Zweck von Abschnitt 7.2.8
Organisationen müssen umfassende Aufzeichnungen führen, die ihre Handlungen und Pflichten als PII-Verarbeiter unterstützen.
Anleitung zu Abschnitt 7.2.8
Datensätze (auch als „Inventarlisten“ bezeichnet) sollten einen delegierten Eigentümer haben und können Folgendes umfassen:
- Operativ – die spezifische Art der PII-Verarbeitung, die durchgeführt wird.
- Begründungen – warum die PII verarbeitet wird.
- Kategorisch – Listen der PII-Empfänger, einschließlich internationaler Organisationen.
- Sicherheit – ein Überblick darüber, wie personenbezogene Daten geschützt werden.
- Datenschutz – d. h. ein Bericht zur Datenschutz-Folgenabschätzung.
Unterstützende DSGVO-Artikel
Verschiedene Elemente von ISO 27701 Abschnitt 7.2 sind in der britischen DSGVO-Gesetzgebung anwendbar. Die entsprechenden Referenzen finden Sie in der folgenden Tabelle.
| ISO 27701-Klauselkennung | Name der ISO 27701-Klausel | Zugehörige DSGVO-Artikel |
|---|---|---|
| 7.2.1 | Zweck identifizieren und dokumentieren | Artikel (5), (32) |
| 7.2.2 | Identifizieren Sie die Rechtsgrundlage | Artikel (5), (6), (8), (9), (10), (17), (18), (22) |
| 7.2.3 | Bestimmen Sie, wann und wie die Einwilligung eingeholt werden soll | Artikel (8) |
| 7.2.4 | Einwilligung einholen und dokumentieren | Artikel (7)(9) |
| 7.2.5 | Datenschutz-Folgenabschätzung | Artikel (35), (36) |
| 7.2.6 | Verträge mit PII-Verarbeitern | Artikel (5), (28) |
| 7.2.7 | Gemeinsamer PII-Controller | Artikel (26) |
| 7.2.8 | Aufzeichnungen im Zusammenhang mit der Verarbeitung personenbezogener Daten | Artikel (5), (24), (30) |
Wie ISMS.online hilft
Der Prozess der Implementierung von ISO 27701 kann eine Herausforderung sein, insbesondere wenn Sie noch nie zuvor ein Projekt wie dieses übernommen haben. ISMS.online kann Ihnen helfen!
Mit unseren ISO 27701-Frameworks kann Ihr Unternehmen die Einhaltung des ISO 27701-Standards nachweisen.
Unsere Informationssicherheitsspezialisten können Sie bei der Erstellung eines logischen Implementierungsverfahrens unterstützen, das dem Framework entspricht.
Erfahren Sie mehr von eine Demo buchen.
