Ilmainen e-kirja: NIS2 haltuun hyödyntäen ISO 27001 -käytäntöjä
Lataa e-kirja

Tutustu tehtävään liittyviin vaatimuskehikkoihin tarkemmin

44
GDPR

Yleinen tietosuoja-asetus

44-49
GDPR

Yleinen tietosuoja-asetus

45
GDPR

Yleinen tietosuoja-asetus

46
GDPR

Yleinen tietosuoja-asetus

47
GDPR

Yleinen tietosuoja-asetus

48
GDPR

Yleinen tietosuoja-asetus

49
GDPR

Yleinen tietosuoja-asetus

67

A.12.1
ISO 27018

ISO 27018

A.7.5.1
ISO 27701

ISO 27701

A.8.5.1
ISO 27701

ISO 27701

TSU-18
Julkri

Julkisen hallinnon tietoturvakriteeristö

Muita saman teeman digiturvatehtäviä

Henkilötiedon siirtoperusteiden dokumentointi relevanteille kumppaneille

Critical
High
Normal
Low

Tietosuoja-asetus määrittelee edellytykset henkilötietojen lainmukaiselle siirtämiselle EU:n tai ETA:n ulkopuolelle.

Organisaatio dokumentoi kaikki tietosiirrot ja niissä sovellettavat siirtoperusteet. Tietosiirtoja voi syntyä esimerkiksi tietojärjestelmän, tietoja käsittelevän kumppanin tai tietoluovutuksen vastaanottajan sijainnin perusteella.

44. Siirtoja koskeva yleinen periaate
GDPR
45. Siirto tietosuojan riittävyyttä koskevan päätöksen perusteella
GDPR
46. Siirto asianmukaisia suojatoimia soveltaen
GDPR
47. Yritystä koskevat sitovat säännöt
GDPR
48. Siirrot ja luovutukset, joita ei sallita unionin lainsäädännössä
GDPR

Käsittelysopimusten inventaario ja dokumentointi

Critical
High
Normal
Low

Henkikötietojen käsittelijät (esim. tietojärjestelmien toimittajat, muut henkilötietojen käsittelijät) sekä henkilötietojen käsittelyyn liittyvät sopimukset on kartoitettu. Dokumentaatio sisältää mm.:

  • Käsittelijän nimen ja sijainnin
  • Henkilötietojen käsittelyn luonne ja tarkoitus
  • Sopimuksen statuksen
28. Henkilötietojen käsittelijä
GDPR
13.2.2: Agreements on information transfer
ISO 27001
15.1.2: Addressing security within supplier agreements
ISO 27001
A.8.2.4: Infringing instruction
ISO 27701
5.14: Tietojen siirtäminen
ISO 27001

Tietoluovutusten dokumentointi tietovarannoille

Critical
High
Normal
Low

Tietovarannon tiedot ovat lähtökohtaisesti vain kyseisen rekisterinpitäjän käytössä ja samalla vastuulla. Mikäli luovutat tietoja eteenpäin toiselle organisaatiolle muuta käyttöä varten, siitä on informoitava selkeästi ja kerrottava mm. luovutuksen vastaanottaja sekä peruste.

12. Läpinäkyvä informointi, viestintä ja yksityiskohtaiset säännöt rekisteröidyn oikeuksien käyttöä varten
GDPR
28. Henkilötietojen käsittelijä
GDPR
30. Seloste käsittelytoimista
GDPR
A.6.2: Recording of PII disclosures
ISO 27018
A.7.3.7: PII controllers' obligations to inform third parties
ISO 27701

Henkilötietojen ei-sitovien luovutuspyyntöjen hylkääminen

Critical
High
Normal
Low

Organisaation tulisi hylätä kaikki oikeudellisesti ei-sitovat henkilötietojen luovutuspyynnöt, mutta hyväksyttävä kaikki sopimuksissa määritellyt henkilötietojen luovutuspyynnöt, jotka asiakas on hyväksynyt. Asiaankuuluvalta asiakkaalta on kysyttävä ennen henkilötietojen luovuttamista.

A.8.5.5: Legally binding PII disclosures
ISO 27701

Tallenteet henkilötietojen luovutuksista kolmansille osapuolille

Critical
High
Normal
Low

Organisaation tulisi tallentaa henkilötietojen luovutusta kolmansille osapuolille koskevat tiedot. Tietoihin kuuluu mitä henkilötietoja, kenelle ja milloin on luovutettu.

A.7.5.4: Records of PII disclosure to third parties
ISO 27701
HAL-07.1: Seuranta ja valvonta - tietojen käyttö ja luovutukset
Julkri
TEK-12.1: Turvallisuuteen liittyvien tapahtumien jäljitettävyys - tietojen luovutukset
Julkri

Tallenteet henkilötietojen siirroista kolmansille osapuolille

Critical
High
Normal
Low

Organisaation tulisi tallentaa henkilötietojen siirrot kolmanislle osapuolille ja kolmansilta osapuolilta. Organisaation olisi myös varmistettava asiaan kuuluvien tahojen yhteistyö myös tulevaisuudessa rekisteröityihin liittyvien velvotteita koskevien pyyntöjen toteuttamisen mahdollistamiseksi.

Siirtoja koskevissa tallenteissa on huomioitava tietojen minimoinnin periaate ja säilytettävä vain varsinaisesti tarvittu tieto.

A.7.5.3: Records of transfer of PII
ISO 27701
A.8.5.3: Records of PII disclosure to third parties
ISO 27701

Henkilötietoja vastaanottavien valtioiden ja kansainvälisten organisaatioiden dokumentointi

Critical
High
Normal
Low

Organisaation tulisi määrittää ja dokumentoida valtiot ja kansainväliset organisaatiot, joille henkilötietoja voidaan siirtää.

Valtiot ja kansainväliset organisaatiot, joille normaalitilanteissa voidaan siirtää henkilötietoja, tulee kommunikoida rekisteröidyille.

A.7.5.2: Countries and international organizations to which PII can be transferred
ISO 27701
A.8.5.2: Countries and international organizations to which PII can be transferred
ISO 27701

Perusteet henkilötietojen siirtämiseen lainkäyttöalueiden välillä

Critical
High
Normal
Low

Organisaatio on tunnistanut mahdolliset lainkäyttöalueiden väliset henkilötietojen siirrot.

Henkilötietojen siirroille lainkäyttöalueiden välillä on tunnistetut ja dokumentoidut oikeusperusteet.

A.7.5.1: Identity basis for PII transfer between jursdictions
ISO 27701

Valmius tarjota listaus tietoluovutuksista rekisteröidylle

Critical
High
Normal
Low

Organisaatio tarjoaa rekisteröidylle pyyntöä vastaan selkeän listauksen hänen henkilötietojensa luovutuksista kolmansille osapuolille.

Listauksesta käy ilmi etenkin, mitä henkilötietoja on luovutettu, mille organisaatiolle, millä perusteella ja milloin.