ISO 27701 Clause 7.3.1 – Détermination et respect des obligations envers les responsables des informations personnelles
Objet de la clause 7.3.1
Les organisations doivent d’abord établir, puis documenter pleinement leurs le droit, régulateurs et la performance des entreprises obligations envers les responsables des informations personnelles.
Orientations sur la clause 7.3.1
Les organisations doivent fournir ce que l'ISO considère comme les « moyens appropriés » pour répondre aux besoins des responsables des informations personnelles, y compris une documentation transparente et un point de contact désigné.
N.-B.. Les méthodes de contact doivent être identiques à la manière dont l’organisation collecte les informations personnelles.
ISO 27701 Clause 7.3.2 – Détermination des informations pour les principaux PII
Objet de la clause 7.3.2
Les organisations doivent décrire et documenter les informations que les responsables des PII reçoivent, concernant le traitement des PII.
Orientations sur la clause 7.3.2
Les organisations doivent définir un ensemble catégorique d'exigences qui dictent le moment où les informations doivent être fournies aux responsables des informations personnelles et la nature de ces informations, par exemple :
- Le but de la collecte et du traitement des informations personnelles.
- Coordonnées de l'entreprise.
- Comment et où les informations personnelles ont été obtenues.
- Exigences contractuelles et/ou statutaires.
- Comment le consentement peut-il être retiré.
- Transferts de données personnelles.
- Comment déposer une plainte officielle.
- Comment les décisions sont prises concernant le traitement des informations personnelles.
- Périodes de conservation des informations personnelles.
La norme ISO 27001 simplifiée
Une avance de 81 % dès le premier jour
Nous avons fait le plus gros du travail pour vous, en vous offrant une avance de 81 % dès votre connexion. Il ne vous reste plus qu'à remplir les champs.
ISO 27701 Clause 7.3.3 – Fournir des informations aux responsables des informations personnelles
Objet de la clause 7.3.3
Les organisations doivent fournir des informations « claires et accessibles » qui établissent qui est le responsable du traitement des informations personnelles et comment elles sont traitées.
Orientations sur la clause 7.3.3
Toutes les informations doivent être fournies sans erreur et dans un langage facilement compréhensible (par exemple, dépourvu de jargon, pas trop technique) par les personnes ayant la capacité de les lire (voir ISO 27702 clause 7.3.2).
Clauses ISO 27701 pertinentes
- ISO 27701 7.3.2
ISO 27701 Clause 7.3.4 – Fournir un mécanisme pour modifier ou retirer le consentement
Objet de la clause 7.3.4
Les sujets PII doivent disposer d’un moyen de retirer leur consentement à la collecte ou au traitement des PII.
Orientations sur la clause 7.3.4
À la base, les organisations doivent fournir un mécanisme qui décrit les droits de tout mandant de PII qui souhaite retirer son consentement, ainsi que des instructions sur la façon de le faire qui soient conformes aux méthodes utilisées pour collecter des PII (par exemple, e-mail, téléphone). .
Les responsables des informations personnelles devraient également pouvoir « modifier » le consentement, c'est-à-dire empêcher le responsable du traitement d'effectuer certaines actions, telles que la suppression des informations personnelles. Ces demandes doivent être documentées conformément aux procédures de retrait du consentement.
Les organisations doivent s’engager à publier un délai de réponse pour toute modification ou retrait de demande de consentement.
ISO 27701 Clause 7.3.5 – Fournir un mécanisme pour modifier ou retirer le consentement
Objet de la clause 7.3.5
Les responsables des informations personnelles doivent avoir la possibilité de soulever des objections concernant le traitement de leurs informations personnelles.
Orientations sur la clause 7.3.5
Les lois varient d'une région à l'autre, mais certaines juridictions accordent aux responsables des informations personnelles le droit de soulever une objection concernant le traitement de leurs informations personnelles.
Les organisations doivent aborder cette fonction de deux manières :
- En documentant toutes les exigences légales ou réglementaires liées aux objections spécifiques soulevées par les responsables des PII.
- Donner aux directeurs des informations sur la manière dont ils peuvent s'opposer.
Libérez-vous d'une montagne de feuilles de calcul
Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.
ISO 27701 Clause 7.3.6 – Accès, correction et/ou effacement
Objet de la clause 7.3.6
Les organisations doivent rédiger, documenter et mettre en œuvre des procédures permettant aux responsables des informations personnelles de accès, correct et/ou delete leurs informations personnelles.
Orientations sur la clause 7.3.6
Les procédures doivent inclure des mécanismes par lesquels le responsable des PII est en mesure d'effectuer l'action ci-dessus, y compris la manière dont l'organisation doit informer le responsable si des corrections ne peuvent pas être apportées.
Les organisations doivent s'engager à publier un délai de réponse pour toutes les demandes d'accès, de correction ou de suppression.
Il est d'une importance vitale de communiquer toute demande de ce type à des tiers qui ont reçu des informations personnelles transférées (voir la clause 27701 de la norme ISO 7.3.7).
La capacité d'un mandant de PII à demander des corrections ou des suppressions est dictée par la juridiction dans laquelle l'organisation opère. À ce titre, les entreprises doivent se tenir au courant de tout changement légal ou réglementaire qui régit leurs obligations envers les PII.
Clauses ISO 27701 pertinentes
- ISO 27701 7.3.7
ISO 27701 Clause 7.3.7 – Obligations des responsables du traitement des informations personnelles d'informer les tiers
Objet de la clause 7.3.7
De temps en temps, il peut être nécessaire de partager des informations personnelles avec des tiers (en utilisant les canaux appropriés).
Les organisations doivent informer ces sociétés de toute demande de modification, de retrait de consentement ou d'objection relative aux informations personnelles partagées.
Orientations sur la clause 7.3.7
Les organisations doivent utiliser les canaux techniques appropriés pour garantir que les tiers sont informés rapidement et précisément, et conformément à toute exigence légale ou réglementaire régionale.
Dans la mesure du possible, les organisations doivent déléguer cette fonction à une personne dédiée et prendre des mesures pour garantir que ces demandes ont été reconnues.
ISO 27701 Clause 7.3.8 – Fournir une copie des informations personnelles traitées
Objet de la clause 7.3.8
Il est extrêmement important que les organisations soient en mesure de fournir, sur demande, une copie de toutes les informations personnelles traitées.
Orientations sur la clause 7.3.8
L'ISO exige que les organisations fournissent une copie des informations personnelles dans un format convivial et facilement accessible par le responsable des informations personnelles.
Les organisations doivent veiller particulièrement à ce que toute information fournie se rapporte uniquement au directeur des PII qui l'a demandé.
Les lois sur l'identification des informations personnelles varient d'une région à l'autre, mais si les informations personnelles ont fait l'objet d'un processus de désidentification, les organisations ne doivent pas tenter de se réidentifier, à moins que la loi n'y oblige.
Les organisations devraient également explorer des méthodes de transfert des informations personnelles directement à une autre organisation, si cela vous est demandé.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
ISO 27701 Clause 7.3.9 – Traitement des demandes
Objet de la clause 7.3.9
Les organisations doivent respecter un ensemble concret de procédures qui régissent la manière dont elles doivent répondre aux demandes des responsables des PII.
Orientations sur la clause 7.3.9
Les demandes peuvent aller (sans toutefois s'y limiter) d'une copie des informations personnelles ou du dépôt d'une plainte, et doivent être traitées dans un délai de réponse publié, qui prend en compte la nature de la demande.
Selon la juridiction, les organisations peuvent également facturer des frais de traitement, mais ceux-ci sont généralement limités aux demandes excessives ou répétitives.
ISO 27701 Clause 7.3.10 – Prise de décision automatisée
Objet de la clause 7.3.10
Les organisations doivent répondre à toutes les obligations légales envers les responsables des PII liées au traitement automatisé des PII.
Orientations sur la clause 7.3.10
Les organisations doivent prendre en compte les différences juridictionnelles dans la prise de décision automatisée concernant les informations personnelles – plus précisément, permettre aux responsables des informations personnelles de s'opposer et de demander une intervention humaine à la place des procédures automatisées.
Articles de support du RGPD
Divers éléments de la norme ISO 27701, clause 7.3, sont applicables au Royaume-Uni. GDPR législation. Jetez un œil au tableau ci-dessous pour les références correspondantes.
| Identificateur de clause ISO 27701 | Nom de la clause ISO 27701 | Articles associés au RGPD |
|---|---|---|
| 7.3.1 | Détermination et respect des obligations envers les responsables des informations personnelles | Article (12) |
| 7.3.2 | Détermination des informations pour les principaux PII | Les articles (11), (13), (14), (15), (18), (21) |
| 7.3.3 | Fournir des informations aux responsables des informations personnelles | Les articles (11), (12), (13), (21) |
| 7.3.4 | Fournir un mécanisme pour modifier ou retirer le consentement | Les articles (7), (13), (14), (18) |
| 7.3.5 | Fournir un mécanisme pour s'opposer au traitement des informations personnelles | Les articles (13), (14), (21) |
| 7.3.6 | Accès, correction et/ou effacement | Les articles (5), (13), (14), (16), (17) |
| 7.3.7 | Obligations des responsables du traitement des informations personnelles d'informer les tiers | Article (19) |
| 7.3.8 | Fournir une copie des informations personnelles traitées | Les articles (15), (20) |
| 7.3.9 | Traitement des demandes | Les articles (12), (15) |
| 7.3.10 | Prise de décision automatisée | Les articles (13), (14), (22) |
Comment ISMS.online vous aide
La plateforme ISMS.online offre une assistance intégrée à chaque étape, ainsi que notre approche de mise en œuvre « Adopter, Adapter, Ajouter » de la norme ISO 27701, pour rendre le processus beaucoup plus facile.
Vous bénéficierez également d’une variété de fonctionnalités permettant de gagner du temps.
Si, pour une raison quelconque, vous ressentez un manque de confiance, de capacité ou de volonté d'agir au cours de votre parcours vers la norme ISO 27701, nous pouvons mettre à votre disposition notre équipe d'experts internes ou recommander l'un de nos partenaires de confiance pour donner un coup de pouce à vos efforts.
En savoir plus par réserver une démo.
