Comprendre la clause 27701 de la norme ISO 8.2 : Conditions de traitement licite des données
Le respect de la clause 27701 de la norme ISO 8.2 garantit que les organisations agissent de manière légale lors de la collecte et du traitement des informations personnelles, et qu'elles sont en conformité avec toutes les lois ou stipulations réglementaires en vigueur partout où elles traitent des informations personnelles.
ISO 27701 Clause 8.2.1 – Accord client
Objet de la clause 8.2.1
Des contrats traitant du traitement des informations personnelles doivent être rédigés pour répondre au besoin de l'organisation de fournir une assistance au client et à ses obligations.
Orientations sur la clause 8.2.1
Les contrats doivent inclure :
- Le concept de « confidentialité dès la conception » (voir ISO 27701, articles 7.4 et 8.4).
- Comment l'organisation entend assurer la sécurité du traitement.
- Comment les violations doivent être signalées, y compris les clients, les donneurs d'ordre et les autorités réglementaires.
- Comment les évaluations des facteurs relatifs à la vie privée doivent être traitées.
- Confirmation de l'intention de l'organisation de fournir une assistance aux autorités de protection des informations personnelles.
Clauses ISO 27701 pertinentes
- ISO 27701 7.4
- ISO 27701 8.4
ISO 27701 Clause 8.2.2 – Objectifs de l'organisation
Objet de la clause 8.2.2
Dès le départ, les informations personnelles ne doivent être traitées que conformément aux instructions du client.
Orientations sur la clause 8.2.2
Les contrats doivent inclure des SLA relatifs aux objectifs mutuels et tous les délais associés dans lesquels ils doivent être exécutés.
Les organisations doivent reconnaître leur droit de choisir les méthodes distinctes utilisées pour traiter les informations personnelles, qui permettent d'obtenir légalement ce que le client recherche, mais sans avoir besoin d'obtenir des autorisations granulaires sur la façon dont l'organisation s'y prend au niveau technique.
Libérez-vous d'une montagne de feuilles de calcul
Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.
ISO 27701 Clause 8.2.3 – Utilisation marketing et publicitaire
Objet de la clause 8.2.3
Les organisations doivent obtenir l'autorisation du principe PII avant d'utiliser les données fournies à des fins de marketing ou de publicité, et s'assurer que l'acceptation d'une telle utilisation n'est pas une condition préalable au traitement des PII.
Orientations sur la clause 8.2.3
Les stipulations de marketing et de publicité doivent être clairement documentées dans tout contrat ou accord de service, conformément à l'objectif ci-dessus.
Les organisations doivent rechercher un « consentement exprès » basé sur une représentation transparente et à jour de la manière dont les informations personnelles doivent être utilisées.
ISO 27701 Clause 8.2.4 – Instruction en infraction
Objet de la clause 8.2.4
Les organisations doivent dénoncer toute instruction de traitement du client qui contrevient aux lois ou réglementations.
Orientations sur la clause 8.2.4
Les organisations doivent maintenir une compréhension approfondie de la manière dont les instructions peuvent potentiellement entrer en conflit avec la législation applicable ou les obligations réglementaires.
Les infractions se produisent généralement autour de trois facteurs.
- Comment la technologie est utilisée.
- La prémisse de l'instruction.
- Toutes obligations contractuelles.
ISO 27701 Clause 8.2.5 – Obligations du client
Objet de la clause 8.2.5
Les organisations doivent être en mesure de fournir à leurs clients suffisamment d’informations pour que ceux-ci soient en mesure de remplir leurs obligations à tout moment.
Orientations sur la clause 8.2.5
Les informations requises peuvent intégrer un large éventail de fonctions, mais sont généralement liées aux audits internes et au rôle de l'organisation dans leur facilitation par la fourniture d'informations.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
ISO 27701 Clause 8.2.6 – Enregistrements liés au traitement des informations personnelles
Objet de la clause 8.2.6
Les organisations doivent conserver des enregistrements précis et à jour qui leur permettent, à tout moment, de prouver le respect de toute obligation contractuelle liée au traitement des informations personnelles.
Orientations sur la clause 8.2.6
Selon la juridiction, les dossiers peuvent devoir inclure :
- Listes catégoriques de traitement, client par client.
- Tout transfert de données vers d'autres pays ou organisations internationales.
- Contrôles techniques de sécurité.
Articles de support du RGPD
Divers éléments de la norme ISO 27701, clause 8.2, sont applicables au Royaume-Uni. GDPR législation. Jetez un œil au tableau ci-dessous pour les références correspondantes.
Comment ISMS.online vous aide
La plateforme ISMS.online offre une assistance intégrée à chaque étape, ainsi que notre approche de mise en œuvre « Adopter, Adapter, Ajouter » de la norme ISO 27701, pour rendre le processus beaucoup plus facile. Vous bénéficierez également d’une variété de fonctionnalités permettant de gagner du temps.
Nous faisons du mappage de données une tâche simple. Il est facile d'enregistrer et de réviser tout cela, en ajoutant les détails de votre organisation à notre outil dynamique préconfiguré d'enregistrement des activités de traitement.
Vous devrez montrer dans quelle mesure vous gérez les demandes de droits des personnes concernées (DRR). Notre espace RRC sécurisé conserve tout cela au même endroit, en le soutenant avec des rapports et des informations automatisés.
Il est facile de configurer et d'exécuter différents types d'évaluation de la confidentialité, depuis les évaluations d'impact sur la protection des données jusqu'aux évaluations de préparation à la réglementation ou à la conformité.
En savoir plus par réserver une démo.
