ISO 27701 Abschnitt 8.5 beschreibt die Ziele einer Organisation, wenn personenbezogene Daten an andere Länder, Organisationen und Subunternehmer übertragen oder diesen offengelegt werden sollen.
Wann immer PII zwischen Gerichtsbarkeiten übertragen werden sollen, müssen Organisationen den Kunden rechtzeitig über die zugrunde liegende Notwendigkeit informieren.
Die Vorschriften für die Übermittlung personenbezogener Daten können von Region zu Region unterschiedlich sein, je nachdem, wohin die Daten übertragen werden.
Transferziele können sein:
Organisationen sollten den Kunden über etwaige Übertragungen rechtzeitig informieren, damit Einwände erhoben und unter bestimmten Umständen Kündigungswünsche gestellt werden können.
Unternehmen müssen ihre Kunden nicht immer über Änderungen ihrer Datenübertragungsvereinbarungen informieren, aber Verträge sollten klar darlegen, unter welchen Umständen sie eine Vorwarnung anbieten müssen.
Bei der Übertragung personenbezogener Daten in ein anderes Land sollten Organisationen offizielle Mechanismen in Betracht ziehen, wie zum Beispiel:
Organisationen sollten eine genaue und aktuelle Liste aller Länder oder Organisationen führen, in die personenbezogene Daten möglicherweise übertragen werden.
Kunden sollten jederzeit die Möglichkeit haben, eine Liste potenzieller Empfängerländer und -organisationen einzusehen, einschließlich eines Protokolls aller Länder, die an der Vergabe von PII-Unteraufträgen beteiligt sind (siehe ISO 27701 Abschnitt 8.5.1).
Unter bestimmten Umständen können Organisationen nicht immer im Voraus offenlegen, woher Transferanträge stammen – insbesondere bei Strafverfahren. Dies ist unvermeidbar und es sollte die Priorität der Organisation sein, die Integrität einer Strafverfolgungsmaßnahme aufrechtzuerhalten (siehe ISO 27701, Abschnitte 7.5.1, 8.5.4 und 8.5.5).
Organisationen sollten alle Fälle, in denen sie personenbezogene Daten an Dritte weitergeben müssen, sorgfältig protokollieren.
Wann immer personenbezogene Daten offengelegt werden – sei es im Rahmen von Standardgeschäftsabläufen oder unter besonderen Umständen, wie z. B. einem laufenden rechtlichen oder behördlichen Verfahren – sollten Organisationen aufzeichnen, was offengelegt wurde, den Empfänger und den zugrunde liegenden Grund dafür.
Wenn eine rechtsverbindliche Anfrage an die Organisation gestellt wird, personenbezogene Daten offenzulegen, sofern dies zulässig ist, sollte die Organisation den PII-Auftraggeber über die Anfrage informieren.
Organisationen sollten ein Verfahren entwerfen, das regelt, wie PII-Auftraggeber über rechtsverbindliche Informationsanfragen Dritter informiert werden, einschließlich eines angemessenen Zeitrahmens und einer vertraglichen Vereinbarung, die den gesamten Prozess umreißt.
Organisationen müssen es vor allem tun den Aufforderungen der Strafverfolgungsbehörden nachzukommen, die das Recht haben, zu verlangen, dass der Kunde nicht über eine Anfrage informiert wird, und sicherzustellen, dass sie nicht gegen Gesetze verstoßen, indem sie den Kunden versehentlich oder vorsätzlich über die Situation informieren.
Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo
Wir sind kostengünstig und schnell
Organisationen sollten umgehend Widerspruch gegen jede Anfrage zur Offenlegung personenbezogener Daten einlegen, die gegen geltende Datenschutzgesetze verstößt oder in irgendeiner Weise nicht rechtsverbindlich ist.
PII-Verantwortliche sollten konsultiert werden, bevor die Organisation PII-bezogene Informationen offenlegt, und Organisationen sollten sich an Vertragsbedingungen halten, die darlegen, welche Offenlegungen aus Sicht des Kunden zulässig sind.
In Verträgen muss klar dargelegt werden, was sie als rechtmäßigen Antrag betrachten, zusätzlich zu allen, die vom Kunden genehmigt wurden, einschließlich solcher, die von Folgendem stammen:
Bevor die Organisation mit Subunternehmern zusammenarbeitet, die personenbezogene Daten verarbeiten müssen, sollte sie zunächst die Einzelheiten der Beziehung offenlegen, bevor sie dem Subunternehmer die Ausübung seiner Aufgaben gestattet.
Alle Bestimmungen für den Einsatz von Subunternehmern sollten als solche im SLA/Kundenvertrag aufgeführt sein.
Informationen zu Subunternehmern sollten Folgendes umfassen:
NDAs sollten so gestaltet werden, dass alle Informationen offengelegt werden, deren öffentliche Offenlegung ein erhöhtes Sicherheitsrisiko darstellen würde.
Die Vergabe von PII-Verarbeitungsaktivitäten an Subunternehmer ist nur dann akzeptabel, wenn die in einer vertraglichen Vereinbarung enthaltenen Bestimmungen erfüllt sind.
Organisationen müssen die schriftliche Genehmigung ihrer Kunden einholen, bevor personenbezogene Daten von einer Drittorganisation verarbeitet werden.
Subunternehmer sollten einer verbindlichen Vereinbarung (normalerweise in Form eines schriftlichen Vertrags) unterliegen, die sicherstellt, dass Subunternehmer ihre Pflichten zur Umsetzung der in ISO 27701 Anhang B aufgeführten Kontrollen verstehen.
Verträge sollten verschiedene Risikobewertungsprozesse (siehe ISO 27701 Abschnitt 5.4.1.2) und den gesamten Umfang des PII-Verarbeitungsvorgangs der Organisation (siehe ISO 27701 Abschnitt 6.12) berücksichtigen. Wie oben sollten alle in Anhang B aufgeführten Kontrollen eingehalten werden, wobei etwaige Auslassungen zusammen mit den Begründungen dafür aufgeführt werden sollten.
Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo
Uns fällt kein Unternehmen ein, dessen Service mit ISMS.online mithalten kann.
Wenn die Notwendigkeit besteht, die Art und Weise zu ändern, in der die Organisation Elemente ihrer PII-Verarbeitung auslagert, sollten Kunden rechtzeitig über die Änderungen informiert werden, um ihnen Zeit zu geben, diese Änderungen in Frage zu stellen oder Einwände dagegen zu erheben.
Verträge sollten Klauseln enthalten, die eine schriftliche Genehmigung des Kunden zur Durchführung der Änderung vorsehen, bevor personenbezogene Daten verarbeitet werden.
Organisationen können die Genehmigung für Änderungen auch im Rahmen schriftlicher Ad-hoc-Vereinbarungen außerhalb etwaiger Vertragsbedingungen einholen.
Verschiedene Elemente von ISO 27701 Abschnitt 8.5 sind im Vereinigten Königreich anwendbar DSGVO Gesetzgebung. Die entsprechenden Referenzen finden Sie in der folgenden Tabelle.
ISO 27701-Klauselkennung | Name der ISO 27701-Klausel | Zugehörige DSGVO-Artikel |
---|---|---|
8.5.1 | Grundlage für die PII-Übertragung zwischen Gerichtsbarkeiten | Beiträge (44), (46)(48) (49) |
8.5.2 | Länder und internationale Organisationen, an die PII übertragen werden können | Artikel (30) |
8.5.3 | Aufzeichnungen über die Offenlegung personenbezogener Daten an Dritte | Artikel (30) |
8.5.4 | Benachrichtigung über PII-Offenlegungsanfragen | Artikel (28) |
8.5.5 | Rechtsverbindliche PII-Offenlegungen | Artikel (48) |
8.5.6 | Offenlegung von Subunternehmern, die zur Verarbeitung personenbezogener Daten eingesetzt werden | Artikel (28) |
8.5.7 | Beauftragung eines Subunternehmers mit der Verarbeitung personenbezogener Daten | Artikel (28) |
8.5.8 | Wechsel des Subunternehmers zur Verarbeitung personenbezogener Daten | Artikel (28) |
Bei ISMS.online erleichtern wir Ihrer Organisation die Dokumentation Ihres Datenschutz-Informationsmanagementsystems. Wir stellen Ihnen eine logische, benutzerfreundliche, cloudbasierte Informationsmanagement-Schnittstelle zur Verfügung, die Ihrem Unternehmen dabei hilft, seine Datenschutzprozesse zu überprüfen und Fortschritte im Hinblick auf den ISO 27701/PIMS-Standard zu erzielen.
Unsere cloudbasierte Plattform ermöglicht Ihnen den Zugriff auf alle Ihre PIMS-Ressourcen an einem Ort.
Mit unserer benutzerfreundlichen Plattform können Sie alles dokumentieren, was Sie benötigen, um nachzuweisen, dass Sie die Anforderungen von ISO 27701 erfüllen. Unsere Assured Results Method (ARM) entmystifiziert die Anforderungen von ISO 27701 und gibt Ihnen Sicherheit auf Ihrem Weg zur Erreichung Zertifizierung.
Wir verfügen über ein internes Team von Informationssicherheitsexperten, die Ihnen mit Rat und Tat zur Seite stehen und Fragen beantworten können, um Sie auf Ihrem Weg zur ISO 27701-Zertifizierung zu unterstützen.
Erfahren Sie mehr von eine Demo buchen.
Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo
Entdecken Sie den besten Weg zum ISMS-Erfolg
Holen Sie sich Ihren kostenlosen Ratgeber