ISO 27701:2025 er publisert
Den oppdaterte ISO 27701:2025-standarden ble utgitt i juli 2025 og erstattet 2019-utgaven. Innholdet på denne siden gjelder 2019 utgave, som fortsatt er gyldig i overgangsperioden frem til oktober 2028.
Forstå ISO 27701 klausul 7.2: Betingelser for lovlig PII-behandling
ISO 27701 klausul 7.2 (Betingelser for innsamling og behandling) inneholder veiledning om hvordan man kan bevise og dokumentere at organisasjonens PII-behandlingsaktiviteter er lovlige, og opererer innenfor de relevante juridiske grensene.
Her er en oppsummering av ISOs klausulspesifikke veiledning, sammen med tilsvarende Storbritannia GDPR sitater (tabell over koblede sitater nederst på siden).
Vær oppmerksom på at GDPR-henvisninger kun er veiledende. Organisasjoner bør granske lovverket og gjøre sin egen vurdering av hvilke deler av loven som gjelder for dem.
ISO 27701 klausul 7.2.1 – Identifiser og dokumenter formål
Hensikten med punkt 7.2.1
Organisasjoner må først identifisere og deretter registrere de spesifikke årsakene til å behandle PII som de bruker.
Veiledning om punkt 7.2.1
PII-rektorer må være fullstendig kjent med alle de forskjellige årsakene til hvorfor deres PII blir behandlet.
Det er organisasjonens ansvar å formidle disse grunnene til PII-rektorer, sammen med en "klar erklæring" om hvorfor de trenger å behandle informasjonen sin.
All dokumentasjon må være klar, omfattende og lett å forstå av enhver PII-oppdragsgiver som leser den – inkludert alt som er relatert til samtykke, samt kopier av interne prosedyrer (se ISO 27701 klausuler 7.2.3, 7.3.2 og 7.2.8).
Relevante ISO 27701-klausuler
- ISO 27701
- ISO 27701
- ISO 27701
ISO 27001 gjort enkelt
Et forsprang på 81 % fra dag én
Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.
ISO 27701 klausul 7.2.2 – Identifiser lovlig grunnlag
Hensikten med punkt 7.2.2
Avhengig av jurisdiksjonen kan organisasjoner bli nødt til det bevise at PII-behandlingen deres er lovlig før de begynner.
Veiledning om punkt 7.2.2
For å danne et juridisk grunnlag for å behandle PII, bør organisasjoner:
- Søk samtykke fra PII-rektorer.
- Lag en kontrakt.
- Overhold diverse andre juridiske forpliktelser.
- Beskytt de "vitale interessene" til de forskjellige PII-oppdragsgiverne.
- Sikre at oppgavene som utføres er i allmennhetens interesse.
- Bekreft at PII-behandling er en legitim interesse.
For hvert punkt nevnt ovenfor bør organisasjoner kunne tilby dokumentert bekreftelse.
Organisasjoner må også vurdere eventuelle "spesielle kategorier" av PII som er relatert til deres organisasjon i deres dataklassifiseringsskjema (se ISO 27701 klausul 7.2.8) (klassifiseringer kan variere fra region til region).
Hvis organisasjoner opplever endringer i deres underliggende årsaker til å behandle PII, bør dette umiddelbart gjenspeiles i deres dokumenterte juridiske grunnlag.
Relevante ISO 27701-klausuler
- ISO 27701
ISO 27701 klausul 7.2.3 – Bestem når og hvordan samtykke skal innhentes
Hensikten med punkt 7.2.3
Organisasjoner må kunne demonstrere det samtykke til behandling var lovlig innhentet fra PII-rektorer.
Veiledning om punkt 7.2.3
Organisasjoner bør kunne dokumentere årsakene til å søke samtykke, og hvordan det skal innhentes.
PII-bestemmelser varierer fra region til region, så organisasjoner må kontinuerlig være oppmerksomme på eventuelle lokale og/eller nasjonale lover og forskrifter som kan regulere hvordan de innhenter samtykke, sammen med eventuelle spesielle betingelser knyttet til visse datatyper (f.eks. barn).
ISO 27701 klausul 7.2.4 – Innhent og registrer samtykke
Hensikten med punkt 7.2.4
Når de har slått fast at samtykke kreves, bør organisasjoner innhente samtykke i henhold til deres unike sett med krav.
Veiledning om punkt 7.2.4
Organisasjoner må innhente samtykke på en måte som gjør det enkelt for PII-subjekter å be om informasjon om hvordan det ble innhentet (tidsstempler, hvem som ba om det osv.) (se ISO 27701 klausul 7.3.3).
Samtykke er avhengig av tre underliggende juridiske bestemmelser: det må være det fritt gitt, knyttet til grunn til behandling og klar i sin hensikt.
Frigjør deg fra et fjell av regneark
Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.
ISO 27701 klausul 7.2.5 – Vurdering av personvernkonsekvenser
Hensikten med punkt 7.2.5
Personvernkonsekvensvurderinger lar organisasjoner måle eventuelle informasjonssikkerhetsimplikasjoner når de behandler et nytt sett med PII, eller endrer måten eksisterende data behandles på.
Veiledning om punkt 7.2.5
PII-behandling er en risikotung forretningsfunksjon som må vurderes grundig for å sikre integriteten, autentisiteten og lovligheten til dataene som behandles.
Avhengig av jurisdiksjonen, vil noen organisasjoner måtte følge en kategorisk liste over scenarier der det kreves en konsekvensvurdering for personvern, for eksempel:
- Automatisert beslutningstaking.
- Behandling på bedriftsnivå av spesielle PII-kategorier.
- Overvåking av store offentlige områder.
Organisasjoner må fastslå hva som utgjør en tilstrekkelig konsekvensanalyse, inkludert (men ikke begrenset til):
- Hva slags PII blir lagret.
- Hvor den blir lagret.
- Hvor den kan flyttes til.
ISO 27701 klausul 7.2.6 – Kontrakter med PII-prosessorer
Hensikten med punkt 7.2.6
Organisasjoner må inngå skriftlige, bindende kontrakter med enhver ekstern PII-behandler som de bruker.
Veiledning om punkt 7.2.6
Eventuelle kontrakter må sikre at PII-behandleren implementerer all nødvendig informasjon i ISO 27701 vedlegg B, med spesiell oppmerksomhet til risikovurderingskontroller (ISO 27701 klausul 5.4.1.2) og det overordnede omfanget av behandlingsaktivitetene (se ISO 27701 klausul 6.12 )
Organisasjoner må kunne rettferdiggjøre utelatelsen av kontroller i vedlegg B, i forhold til PII-behandleren (se ISO 27701 klausul 5.4.1.3).
ISO 27701 klausul 7.2.7 – Joint PII Controller
Hensikten med punkt 7.2.7
Organisasjoner må skissere detaljene for enhver felles PII-behandlingsordning, med en tilhørende PII-kontrollør – dette inkluderer generelle beskyttelsestiltak og alle tilhørende sikkerhetskrav.
Veiledning om punkt 7.2.7
Roller og ansvar må være klare og utvetydige, og skissert i et juridisk bindende dokument (noen ganger kalt en "datadelingsavtale").
Avtaler kan inkludere (blant andre tiltak):
- Hvorfor PII deles.
- Datakategorier.
- En generell oversikt over PII-behandlingsoperasjonen.
- Eventuelle relevante roller og ansvar.
- Hvordan personverninformasjonssikkerhet skal styres.
- Hvilke tiltak skal iverksettes i tilfelle et databrudd.
- Hvordan PII skal beholdes og ødelegges når det ikke lenger er nødvendig.
- Hva skjer når en av partene bryter avtalen.
- Hva er partenes forpliktelser overfor PII-oppdragsgivere.
- Hvilke mekanismer er på plass for å gi PII-oppdragsgivere gjeldende detaljer om fellesavtalen.
- Hvordan PII-rektorer kan komme med offisielle forespørsler, og hvordan formulere og levere et svar.
- Kontaktpunkter – både internt og for PII-oppdragsgivere å benytte.
Administrer all samsvarskontroll, alt på ett sted
ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.
ISO 27701 klausul 7.2.8 – Opptegnelser knyttet til behandling av PII
Hensikten med punkt 7.2.8
Organisasjoner må opprettholde et grundig sett med poster som støtter deres handlinger og forpliktelser som PII-behandler.
Veiledning om punkt 7.2.8
Poster (ellers kjent som "beholdningslister") bør ha en delegert eier, og kan omfatte:
- Operativ – den spesifikke typen PII-behandling som blir utført.
- Begrunnelser – hvorfor PII blir behandlet.
- Kategorisk – lister over PII-mottakere, inkludert internasjonale organisasjoner.
- Sikkerhet – en oversikt over hvordan PII blir beskyttet.
- Personvern – dvs. en konsekvensvurderingsrapport for personvern.
Støtte GDPR-artikler
Ulike elementer i ISO 27701 klausul 7.2 er gjeldende innenfor britisk GDPR-lovgivning. Ta en titt på tabellen nedenfor for de tilsvarende referansene.
| ISO 27701 klausulidentifikator | ISO 27701 Klausulnavn | Tilknyttede GDPR-artikler |
|---|---|---|
| 7.2.1 | Identifiser og dokumenter formål | Artikler (5), (32) |
| 7.2.2 | Identifiser lovlig grunnlag | Artikler (5), (6), (8), (9), (10), (17), (18), (22) |
| 7.2.3 | Bestem når og hvordan samtykke skal innhentes | Artikkel (8) |
| 7.2.4 | Innhent og registrer samtykke | Artikler (7)(9) |
| 7.2.5 | Vurdering av personvernet | Artikler (35), (36) |
| 7.2.6 | Kontrakter med PII-prosessorer | Artikler (5), (28) |
| 7.2.7 | Felles PII-kontroller | Artikkel (26) |
| 7.2.8 | Oppføringer knyttet til behandling av PII | Artikler (5), (24), (30) |
Hvordan ISMS.online hjelper
Prosessen med å implementere ISO 27701 kan være utfordrende, spesielt hvis du aldri har tatt på deg et prosjekt som dette før. ISMS.online kan hjelpe deg!
Våre ISO 27701-rammeverk lar bedriften din demonstrere samsvar med ISO 27701-standarden.
Våre informasjonssikkerhetsspesialister kan hjelpe deg med å lage en logisk implementeringsprosedyre som følger rammeverket.
Finn ut mer av bestille en demo.
