ISO 27701 Abschnitt 7.3.1 – Bestimmung und Erfüllung von Verpflichtungen gegenüber PII-Auftraggebern
Zweck von Abschnitt 7.3.1
Organisationen müssen ihre Daten zunächst erstellen und dann vollständig dokumentieren legal, Regulierungsbehörden mit einem Geschäft Verpflichtungen gegenüber PII-Auftraggebern.
Anleitung zu Abschnitt 7.3.1
Organisationen sollten das bereitstellen, was die ISO als „geeignete Mittel“ erachtet, um den Bedürfnissen der PII-Leiter gerecht zu werden, einschließlich transparenter Dokumentation und einer benannten Kontaktstelle.
NB. Die Kontaktmethoden sollten mit den Methoden identisch sein, mit denen die Organisation personenbezogene Daten erfasst.
ISO 27701 Abschnitt 7.3.2 – Ermittlung von Informationen für PII-Principals
Zweck von Abschnitt 7.3.2
Organisationen müssen die Informationen, die PII-Auftraggeber im Zusammenhang mit der Verarbeitung personenbezogener Daten erhalten, darlegen und dokumentieren.
Anleitung zu Abschnitt 7.3.2
Organisationen sollten einen kategorischen Satz von Anforderungen darlegen, die vorschreiben, wann Informationen an PII-Prinzipale weitergegeben werden müssen und um welche Informationen es sich dabei handelt, zum Beispiel:
- Der Zweck der Erhebung und Verarbeitung der PII.
- Kontaktdaten des Unternehmens.
- Wie und wo die PII erlangt wurden.
- Vertragliche und/oder gesetzliche Anforderungen.
- Wie die Einwilligung widerrufen werden kann.
- PII-Übertragungen.
- So reichen Sie eine offizielle Beschwerde ein.
- Wie Entscheidungen bezüglich der Verarbeitung personenbezogener Daten getroffen werden.
- PII-Aufbewahrungsfristen.
ISO 27001 leicht gemacht
Ein Vorsprung von 81 % vom ersten Tag an
Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.
ISO 27701 Abschnitt 7.3.3 – Bereitstellung von Informationen für PII-Auftraggeber
Zweck von Abschnitt 7.3.3
Organisationen müssen „klare und zugängliche“ Informationen bereitstellen, aus denen hervorgeht, wer der PII-Verantwortliche ist und wie diese verarbeitet werden.
Anleitung zu Abschnitt 7.3.3
Alle Informationen sollten fehlerfrei und in einer Sprache bereitgestellt werden, die für die Personen, die sie lesen können, leicht verständlich ist (z. B. ohne Fachjargon, nicht übermäßig technisch) (siehe ISO 27702 Abschnitt 7.3.2).
Relevante ISO 27701-Klauseln
- ISO 27701 7.3.2
ISO 27701 Abschnitt 7.3.4 – Bereitstellung eines Mechanismus zur Änderung oder zum Widerruf der Einwilligung
Zweck von Abschnitt 7.3.4
PII-Personen müssen die Möglichkeit haben, ihre Einwilligung zur Erhebung oder Verarbeitung von PII zu widerrufen.
Anleitung zu Abschnitt 7.3.4
Grundsätzlich müssen Organisationen einen Mechanismus bereitstellen, der die Rechte jedes PII-Prinzipals darlegt, der seine Einwilligung widerrufen möchte, sowie Anweisungen dazu, wie dies zu tun ist, die mit den zur Erfassung PII verwendeten Methoden (z. B. E-Mail, Telefon) im Einklang stehen. .
PII-Prinzipale sollten auch in der Lage sein, die Einwilligung zu „ändern“, also den Verantwortlichen daran zu hindern, bestimmte Aktionen durchzuführen, wie etwa das Löschen von PII. Solche Anfragen sollten gemäß den Verfahren zum Widerruf der Einwilligung dokumentiert werden.
Organisationen sollten sich zu einer veröffentlichten Reaktionszeit für alle Anfragen zur Änderung oder zum Widerruf der Einwilligung verpflichten.
ISO 27701 Abschnitt 7.3.5 – Bereitstellung eines Mechanismus zur Änderung oder zum Widerruf der Einwilligung
Zweck von Abschnitt 7.3.5
PII-Auftraggebern muss die Möglichkeit gegeben werden, Einwände gegen die Verarbeitung ihrer PII zu erheben.
Anleitung zu Abschnitt 7.3.5
Die Gesetze variieren von Region zu Region, aber einige Gerichtsbarkeiten geben PII-Auftraggebern das Recht, Einspruch gegen die Verarbeitung ihrer PII einzulegen.
Organisationen sollten diese Funktion auf zwei Arten angehen:
- Durch die Dokumentation aller gesetzlichen oder behördlichen Anforderungen, die sich auf die spezifischen Einwände der PII-Auftraggeber beziehen.
- Den Schulleitern Informationen darüber geben, wie sie Widerspruch einlegen können.
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
ISO 27701 Abschnitt 7.3.6 – Zugriff, Berichtigung und/oder Löschung
Zweck von Abschnitt 7.3.6
Organisationen sollten Verfahren entwerfen, dokumentieren und implementieren, die PII-Prinzipalen dies ermöglichen Zugang, und beseitigen Muskelschwäche und / oder löschen ihre personenbezogenen Daten.
Anleitung zu Abschnitt 7.3.6
Die Verfahren sollten Mechanismen umfassen, mit denen der PII-Auftraggeber die oben genannte Aktion durchführen kann, einschließlich der Art und Weise, wie die Organisation den Auftraggeber informieren soll, wenn Korrekturen nicht vorgenommen werden können.
Organisationen sollten sich zu einer veröffentlichten Reaktionszeit für alle Zugriffs-, Korrektur- oder Löschanfragen verpflichten.
Es ist von entscheidender Bedeutung, solche Anfragen an Dritte weiterzugeben, denen PII übertragen wurden (siehe ISO 27701 Abschnitt 7.3.7).
Die Möglichkeit eines PII-Auftraggebers, Korrekturen oder Löschungen zu beantragen, hängt von der Gerichtsbarkeit ab, in der die Organisation tätig ist. Daher sollten Unternehmen sich über alle rechtlichen oder behördlichen Änderungen auf dem Laufenden halten, die ihre Verpflichtungen gegenüber PII regeln.
Relevante ISO 27701-Klauseln
- ISO 27701 7.3.7
ISO 27701 Abschnitt 7.3.7 – Pflichten von PII-Controllern, Dritte zu informieren
Zweck von Abschnitt 7.3.7
Von Zeit zu Zeit kann es erforderlich sein, personenbezogene Daten (über die entsprechenden Kanäle) an Dritte weiterzugeben.
Organisationen müssen solche Unternehmen über alle Änderungswünsche, den Widerruf der Einwilligung oder Einwände im Zusammenhang mit weitergegebenen personenbezogenen Daten informieren.
Anleitung zu Abschnitt 7.3.7
Organisationen sollten die geeigneten technischen Kanäle nutzen, um sicherzustellen, dass Dritte schnell und genau sowie im Einklang mit regionalen gesetzlichen oder behördlichen Anforderungen informiert werden.
Wenn möglich, sollten Organisationen diese Funktion an eine bestimmte Person delegieren und Maßnahmen ergreifen, um sicherzustellen, dass solche Anfragen berücksichtigt werden.
ISO 27701 Abschnitt 7.3.8 – Bereitstellung einer Kopie der verarbeiteten personenbezogenen Daten
Zweck von Abschnitt 7.3.8
Es ist von entscheidender Bedeutung, dass Organisationen auf Anfrage eine Kopie aller verarbeiteten personenbezogenen Daten zur Verfügung stellen können.
Anleitung zu Abschnitt 7.3.8
ISO verlangt von Organisationen, dass sie eine Kopie der PII in einem benutzerfreundlichen Format bereitstellen, auf das der PII-Prinzipal leicht zugreifen kann.
Organisationen sollten große Sorgfalt darauf verwenden, sicherzustellen, dass alle bereitgestellten Informationen zutreffend sind allein an den PII-Auftraggeber, der es angefordert hat.
Die Gesetze zur Identifizierung personenbezogener Daten variieren von Region zu Region. Wenn die personenbezogenen Daten jedoch einem Anonymisierungsprozess unterzogen wurden, sollten die Organisationen nicht versuchen, sich erneut zu identifizieren, es sei denn, dies ist gesetzlich vorgeschrieben.
Organisationen sollten auch Methoden zur Übertragung der personenbezogenen Daten prüfen Direkt an eine andere Organisation, wenn Sie dazu aufgefordert werden.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
ISO 27701 Abschnitt 7.3.9 – Bearbeitung von Anfragen
Zweck von Abschnitt 7.3.9
Organisationen müssen sich an eine Reihe konkreter Verfahren halten, die regeln, wie sie auf Anfragen von PII-Hauptverantwortlichen reagieren sollen.
Anleitung zu Abschnitt 7.3.9
Anfragen können von einer Kopie des PII oder der Einreichung einer Beschwerde reichen (sind aber nicht darauf beschränkt) und sollten innerhalb einer veröffentlichten Antwortzeit bearbeitet werden, die die Art der Anfrage berücksichtigt.
Abhängig von der Gerichtsbarkeit erheben Organisationen möglicherweise auch eine Bearbeitungsgebühr, diese ist jedoch normalerweise auf übermäßige oder wiederholte Anfragen beschränkt.
ISO 27701 Abschnitt 7.3.10 – Automatisierte Entscheidungsfindung
Zweck von Abschnitt 7.3.10
Organisationen sollten alle rechtlichen Verpflichtungen gegenüber PII-Auftraggebern erfüllen, die sich auf die automatisierte Verarbeitung von PII beziehen.
Anleitung zu Abschnitt 7.3.10
Organisationen sollten bei der automatisierten Entscheidungsfindung in Bezug auf personenbezogene Daten die Unterschiede in der Rechtsprechung berücksichtigen – insbesondere sollten sie den Auftraggebern der personenbezogenen Daten die Möglichkeit geben, Einwände zu erheben und menschliches Eingreifen anstelle automatisierter Verfahren zu fordern.
Unterstützende DSGVO-Artikel
Verschiedene Elemente von ISO 27701 Abschnitt 7.3 sind im Vereinigten Königreich anwendbar Datenschutz Gesetzgebung. Die entsprechenden Referenzen finden Sie in der folgenden Tabelle.
| ISO 27701-Klauselkennung | Name der ISO 27701-Klausel | Zugehörige DSGVO-Artikel |
|---|---|---|
| 7.3.1 | Festlegung und Erfüllung von Verpflichtungen gegenüber PII-Auftraggebern | Artikel (12) |
| 7.3.2 | Ermittlung von Informationen für PII-Principals | Artikel (11), (13), (14), (15), (18), (21) |
| 7.3.3 | Bereitstellung von Informationen für PII-Auftraggeber | Artikel (11), (12), (13), (21) |
| 7.3.4 | Bereitstellung eines Mechanismus zur Änderung oder zum Widerruf der Einwilligung | Artikel (7), (13), (14), (18) |
| 7.3.5 | Bereitstellung eines Widerspruchsmechanismus gegen die Verarbeitung personenbezogener Daten | Artikel (13), (14), (21) |
| 7.3.6 | Zugriff, Berichtigung und/oder Löschung | Artikel (5), (13), (14), (16), (17) |
| 7.3.7 | Informationspflichten der PII-Verantwortlichen gegenüber Dritten | Artikel (19) |
| 7.3.8 | Bereitstellung einer Kopie der verarbeiteten PII | Artikel (15), (20) |
| 7.3.9 | Bearbeitung von Anfragen | Artikel (12), (15) |
| 7.3.10 | Automatisierte Entscheidungsfindung | Artikel (13), (14), (22) |
Wie ISMS.online hilft
Die ISMS.online-Plattform bietet integrierte Unterstützung in jeder Phase und unseren „Adopt, Adapt, Add“-Implementierungsansatz für ISO 27701, um den Prozess erheblich zu vereinfachen.
Darüber hinaus profitieren Sie von einer Vielzahl zeitsparender Funktionen.
Wenn Ihnen auf Ihrem Weg zur ISO 27701 aus irgendeinem Grund das Selbstvertrauen, die Fähigkeit oder der Tatendrang zum Handeln mangelt, können wir Ihnen unser Team aus internen Experten zur Verfügung stellen oder einen unserer vertrauenswürdigen Partner empfehlen, um Ihren Bemühungen einen Schub zu geben.
Erfahren Sie mehr von eine Demo buchen.
