ISO 27701 Abschnitt 8.2 verstehen: Bedingungen für eine rechtmäßige Datenverarbeitung
Durch die Einhaltung von ISO 27701 Abschnitt 8.2 wird sichergestellt, dass Organisationen bei der Erfassung und Verarbeitung personenbezogener Daten rechtmäßig handeln und sich an alle geltenden Gesetze oder behördlichen Bestimmungen halten, wo immer sie personenbezogene Daten verarbeiten.
ISO 27701 Abschnitt 8.2.1 – Kundenvereinbarung
Zweck von Abschnitt 8.2.1
Es sollten Verträge über die Verarbeitung personenbezogener Daten erstellt werden, die den Bedarf der Organisation, dem Kunden Unterstützung zu leisten, und ihre Pflichten berücksichtigen.
Anleitung zu Abschnitt 8.2.1
Verträge sollten Folgendes umfassen:
- Das Konzept des „Privacy by Design“ (siehe ISO 27701 Abschnitte 7.4 und 8.4).
- Wie die Organisation die Sicherheit der Verarbeitung erreichen will.
- Wie Verstöße zu melden sind, einschließlich Kunden, Auftraggebern und Aufsichtsbehörden.
- Wie mit Datenschutzfolgenabschätzungen umzugehen ist.
- Bestätigung der Absicht der Organisation, den PII-Schutzbehörden Unterstützung zu leisten.
Relevante ISO 27701-Klauseln
- ISO 27701 7.4
- ISO 27701 8.4
ISO 27701 Abschnitt 8.2.2 – Ziele der Organisation
Zweck von Abschnitt 8.2.2
Die Verarbeitung personenbezogener Daten sollte von Beginn an ausschließlich nach den Weisungen des Kunden erfolgen.
Anleitung zu Abschnitt 8.2.2
Verträge sollten SLAs in Bezug auf gemeinsame Ziele und alle damit verbundenen Zeitrahmen enthalten, innerhalb derer sie abgeschlossen werden müssen.
Organisationen sollten ihr Recht anerkennen, die verschiedenen Methoden zur Verarbeitung personenbezogener Daten zu wählen, die rechtmäßig das erreichen, was der Kunde sucht, ohne jedoch detaillierte Genehmigungen dafür einholen zu müssen, wie die Organisation auf technischer Ebene vorgeht.
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
ISO 27701 Abschnitt 8.2.3 – Verwendung in Marketing und Werbung
Zweck von Abschnitt 8.2.3
Organisationen müssen die Erlaubnis nach dem PII-Prinzip einholen, bevor sie bereitgestellte Daten für Marketing- oder Werbezwecke nutzen, und sicherstellen, dass die Zustimmung zu einer solchen Nutzung keine Voraussetzung für die Verarbeitung von PII ist.
Anleitung zu Abschnitt 8.2.3
Marketing- und Werbebestimmungen sollten im Einklang mit dem oben genannten Zweck in allen Verträgen oder Dienstleistungsvereinbarungen klar dokumentiert werden.
Organisationen sollten eine „ausdrückliche Zustimmung“ einholen, die auf einer transparenten und aktuellen Darstellung der Verwendung personenbezogener Daten basiert.
ISO 27701 Klausel 8.2.4 – Anweisung zu Verstößen
Zweck von Abschnitt 8.2.4
Organisationen müssen jede Verarbeitungsanweisung des Kunden, die gegen Gesetze oder Vorschriften verstößt, deutlich machen.
Anleitung zu Abschnitt 8.2.4
Organisationen müssen ein umfassendes Arbeitsverständnis darüber haben, wie Anweisungen möglicherweise mit geltenden Gesetzen oder behördlichen Verpflichtungen in Konflikt geraten können.
Verstöße treten in der Regel im Zusammenhang mit drei Faktoren auf.
- Wie Technologie genutzt wird.
- Die Prämisse der Anweisung.
- Eventuelle vertragliche Verpflichtungen.
ISO 27701 Abschnitt 8.2.5 – Pflichten des Kunden
Zweck von Abschnitt 8.2.5
Organisationen müssen in der Lage sein, ihren Kunden ausreichende Informationen zur Verfügung zu stellen, damit diese jederzeit in der Lage sind, ihren Verpflichtungen nachzukommen.
Anleitung zu Abschnitt 8.2.5
Die erforderlichen Informationen können ein breites Spektrum an Funktionen umfassen, beziehen sich jedoch in der Regel auf interne Audits und die Rolle der Organisation, diese durch die Bereitstellung von Informationen zu erleichtern.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
ISO 27701 Abschnitt 8.2.6 – Aufzeichnungen im Zusammenhang mit der Verarbeitung personenbezogener Daten
Zweck von Abschnitt 8.2.6
Organisationen sollten genaue und aktuelle Aufzeichnungen führen, die es ihnen ermöglichen, jederzeit die Einhaltung vertraglicher Verpflichtungen im Zusammenhang mit der Verarbeitung personenbezogener Daten nachzuweisen.
Anleitung zu Abschnitt 8.2.6
Abhängig von der Gerichtsbarkeit müssen die Aufzeichnungen möglicherweise Folgendes umfassen:
- Kategorisierte Verarbeitungslisten für jeden einzelnen Kunden.
- Etwaige Datenübermittlungen in andere Länder oder internationale Organisationen.
- Technische Sicherheitskontrollen.
Unterstützende DSGVO-Artikel
Verschiedene Elemente von ISO 27701 Abschnitt 8.2 sind im Vereinigten Königreich anwendbar Datenschutz Gesetzgebung. Die entsprechenden Referenzen finden Sie in der folgenden Tabelle.
| ISO 27701-Klauselkennung | Name der ISO 27701-Klausel | Zugehörige DSGVO-Artikel |
|---|---|---|
| 8.2.1 | Kundenvereinbarung | Beiträge (28), (35) |
| 8.2.2 | Ziele der Organisation | Beiträge (5), (28), (29), (32) |
| 8.2.3 | Marketing- und Werbenutzung | Artikel (7) |
| 8.2.4 | Verletzende Anweisung | Artikel (28) |
| 8.2.5 | Pflichten des Kunden | Artikel (28) |
| 8.2.6 | Aufzeichnungen im Zusammenhang mit der Verarbeitung personenbezogener Daten | Artikel (30) |
Wie ISMS.online hilft
Die ISMS.online-Plattform bietet integrierte Unterstützung in jeder Phase und unseren „Adopt, Adapt, Add“-Implementierungsansatz für ISO 27701, um den Prozess erheblich zu vereinfachen. Darüber hinaus profitieren Sie von einer Vielzahl zeitsparender Funktionen.
Wir machen die Datenzuordnung zu einer einfachen Aufgabe. Es ist einfach, alles aufzuzeichnen und zu überprüfen, indem Sie die Details Ihrer Organisation zu unserem vorkonfigurierten dynamischen Tool zur Aufzeichnung von Verarbeitungsaktivitäten hinzufügen.
Sie müssen nachweisen, wie gut Sie mit Data Subject Rights Requests (DRR) umgehen. Unser sicherer DRR-Bereich hält alles an einem Ort und unterstützt es durch automatisierte Berichte und Einblicke.
Es ist einfach, verschiedene Arten von Datenschutzbewertungen einzurichten und durchzuführen, von Datenschutz-Folgenabschätzungen bis hin zu Prüfungen zur Regulierungs- oder Compliance-Bereitschaft.
Erfahren Sie mehr von eine Demo buchen.
