Digiturvamalli.fi
Kokeile
Kirjaudu
Aiheet
Alkuun pääsy
ISO 27001
NIS2
Tiedonhallinta
Jatkuva parantaminen
Tiimin yhteistyö
Dokumentointi
Henkilöstön ohjeet
Raportointi
Tehtävien hallinta
Yhteisö
Asetukset & advanced
Kokeilu ja tilaus
Käyttäjähallinta
Tuotteen tietoturva
Vaatimuskehikkojen hallinta
Henkilöstöturvallisuus
Riskien hallinta
Sisäinen auditointi
Työskentely kumppanina
GDPR
Näytä kaikki aiheet
Webinaarit
ISO 27001: Rakenna digiturvasuunnitelma, joka täyttää standardin vaatimukset
Intro NIS2-direktiiviin, Kyberturvallisuuslakiin sekä Digiturvamalli-työkaluun
Näytä kaikki webinaarit
Videot
Automatisoi henkilöstön tietoturvaohjeistus Teamsissa
Digiturvamallin yleisesittely
Dokumentoi oma tietojenkäsittely-ympäristö yhteistyössä
GDPR & ISO 27701:n hyvät käytännöt
ISO 27001 ja henkilöstön osaaminen
ISO 27001 ja riskien hallinta
ISO 27001 ja sertifiointiauditoinnin avainasiat
ISO 27001:n yleisesittely
Luo tehokas tietoturvariskien hallinnan toimintamalli
NIS2:n yleisesittely
Oman ISMS:n jatkuva parantaminen
Paranna omaa tietoturvasuunnitelmaa jatkuvasti
Tiedonhallintamalli ja riskien hallinta
Tiedonhallintamalli ja tietoturvatoimenpiteet
Tiedonhallintamallin perusteet
Näytä kaikki videot
Ohjeet
Asennus ja integraatiot
Dokumentaatio
Kumppaneille
Käyttäjähallinta
Muut ominaisuudet
Ohjeiden hallinta
Pääkäyttäjälle
Raportointi
Tehtävien hallinta
Vaatimuskehikot
Näytä kaikki ohjeet
Blogit
10 vaatimustenmukaisuuden sudenkuoppaa ja miten välttää niitä
Kyberturvallisuuslaki & NIS2: kansalliset lainsäädännöt ja soveltaminen
ISO 9001 -standardi: Katsaus vaatimuskehikkoon
Top 7 tietoturvastandardia, vaatimuskehikkoa ja lakia tutuksi
Selviytyminen tietoturvan labyrintissa: Hallitse NIS2 ISO 27001 -standardin avulla
Näytä kaikki blogit
Sisältökirjasto
Kiitos! Saat jatkossa uutiskirjeen sähköpostiisi joka perjantai.
Valitettavasti jotain meni pieleen. Voit olla yhteydessä tiimi@tietosuojamalli.fi.
Kiitos! Saat jatkossa uutiskirjeen sähköpostiisi joka perjantai.
Unfortunately something went wrong. You can contact us at team@cyberday.ai.
Sisältökirjasto
SOC 2
P2.1: Communication of choices about personal information to data subjects
SOC 2 (järjestelmät ja organisaation hallintakeinot)
P2.1

Communication of choices about personal information to data subjects

The entity communicates choices available regarding the collection, use, retention, disclosure, and disposal of personal information to the data subjects and the consequences, if any, of each choice. Explicit consent for the collection, use, retention, disclosure, and disposal of personal information is obtained from data subjects or other authorized persons, if required. Such consent is obtained only for the intended purpose of the information to meet the entity’s objectives related to privacy. The entity’s basis for determining implicit consent for the collection, use, retention, disclosure, and disposal of personal information is documented.

Points of focus:

- Communicates to Data Subjects
- Communicates Consequences of Denying or Withdrawing Consent
- Obtains Implicit or Explicit Consent
- Documents and Obtains Consent for New Purposes and Uses
- Obtains Explicit Consent for Sensitive Information
- Obtains Consent for Data Transfers

Aloita ilmainen kokeilu

Kuinka täyttää vaatimus

SOC 2 (järjestelmät ja organisaation hallintakeinot)

P2.1: Communication of choices about personal information to data subjects

Tehtävän nimi
Prioriteetti
Tila
Teema
Politiikka
Muut vaatimukset

Suostumuksen edellytysten dokumentointi relevanteille käyttötarkoituksille

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Tietosuoja
Käsittelyperiaatteet ja osoitusvelvollisuus
8
vaatimusta
Tehtävä toteuttaa näitä vaatimuskehikkojen vaatimuksia
7. Suostumuksen edellytykset
GDPR
17. Oikeus tietojen poistamiseen (”oikeus tulla unohdetuksi”)
GDPR
A.7.2.3: Determine when and how consent is to be obtained
ISO 27701
A.7.2.4: Obtain and record consent
ISO 27701
A.7.3.4: Providing mechanism to modify or withdraw consent
ISO 27701
1. Tehtävän vaatimuskuvaus

Mikäli organisaatiomme toteuttaa henkilötietojen käsittelyä, jossa oikeusperusteena on rekisteröidyltä saatu suostumus, meidän on varmistettava suostumuksen edellytysten täyttyminen. Lainmukaisen suostumuksen edellytyksiä ovat:

  • Rekisterinpitäjän on pystyttävä osoittamaan, että rekisteröity on antanut suostumuksen henkilötietojensa käsittelyyn
  • Suostumuksen antamista koskeva pyyntö on esitettävä selvästi erillään muista asioista helposti ymmärrettävässä muodossa
  • Rekisteröity voi peruuttaa suostumuksensa milloin tahansa ja on saanut ohjeet tämän tekemiseen ennen suostumuksen antamista
  • Suostumuksen peruuttamisen on oltava yhtä helppoa kuin sen antaminen

Tietosuojavastaava voi olla vastuussa suostumuksen edellytysten arvioinnista. Tärkeää on myös huomioida muuten, soveltuuko suostumus yleensäkin käsittelyn oikeusperusteeksi.

Prosessi suostumuksen muokkaamiseen tai perumiseen

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Tietosuoja
Informointi ja tietopyynnöt
2
vaatimusta
Tehtävä toteuttaa näitä vaatimuskehikkojen vaatimuksia
A.7.3.4: Providing mechanism to modify or withdraw consent
ISO 27701
P2.1: Communication of choices about personal information to data subjects
SOC 2
1. Tehtävän vaatimuskuvaus

Kun henkilötietojen käsitellään rekisteröidyn suostumuksen perusteella, organisaation tulisi tarjota rekisteröidyille selkeä prosessi suostumuksen muokkaamiseen tai perumiseen. Muokkaaminen voi tarkoittaa myös henkilötietojen käsittelyn rajoittamista, mikä voi vaikuttaa rekisterinpitäjän oikeuteen poistaa kysessä olevia tietoja.

Prosessiin tulisi sisältyä muokkaamispyyntöjen kirjaaminen suostumuksen kirjaamista vastaavalla tavalla. Muutokset suostumukseen tulee kommunikoida kaikkiin asianmukaisiin järjestelmiin, valtuutetuille käyttäjille sekä kolmansille osapuolille. Prosessissa pitäisi myös määritellä vasteaika, jossa pyynnöt tulisi käsitellä.

Huom.! Eri lainkäyttöalueilla voi olla rajoituksia siihen, miten ja koska rekisteröity voi suostumustaan muokata.

Suostumuksen edellytysten tarkastaminen

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Tietosuoja
Käsittelyperiaatteet ja osoitusvelvollisuus
2
vaatimusta
Tehtävä toteuttaa näitä vaatimuskehikkojen vaatimuksia
A.7.2.4: Obtain and record consent
ISO 27701
P2.1: Communication of choices about personal information to data subjects
SOC 2
1. Tehtävän vaatimuskuvaus

Organisaation on säännöllisesti katselmoitava läpi tapansa suostumusten keräämiseen rekisteröidyiltä, jotta varmistetaan suostumuksen olevan yksiselitteinen ja täsmällinen.

Selkeä viestintä suostumuksen vaikutuksista

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Tietosuoja
Informointi ja tietopyynnöt
1
vaatimusta
Tehtävä toteuttaa näitä vaatimuskehikkojen vaatimuksia
P2.1: Communication of choices about personal information to data subjects
SOC 2
1. Tehtävän vaatimuskuvaus

Organisaatio on määritellyt tavat, joilla rekisteröidyn ymmärrys hänen antamansa suostumuksen vaikutuksista varmistetaan.

Rekisteröidylle kommunikoidaan selvästi vähintään seuraavat näkökulmat:

  • Mitä vaikutuksia hänen antamallaan suostumuksella on?
  • Mitä vaikutuksia on suostumuksesta kieltäytymisellä tai sen myöhemmällä perumisella?
No items found.

Liity Akatemian postituslistalle tänään

Paranna osaamistasi viikoittaisten webinaarien, videokurssien, artikkeleiden ja blogien avulla.

Kiitos! Saat jatkossa uutiskirjeen sähköpostiisi joka perjantai.
Valitettavasti jotain meni pieleen. Voit olla yhteydessä tiimi@tietosuojamalli.fi.

Tutustu tiimiimme

Tiimillämme on vankka osaaminen tietourvasta, ohjelmistokehityksestä, tietosuojasta sekä compliancesta.

Lähde mukaan kumppaniksi? 

Kumppanoidumme mielellään muiden alan osaajien kanssa. Varaa palaveri, niin keskustellaan asiasta lisää.
Aiheet
NIS2
Tuotteen tietoturva
Alkuun pääsy
Vaatimuskehikkojen hallinta
Sisäinen auditointi
Näytä kaikki
Webinarit
Intro NIS2-direktiiviin, Kyberturvallisuuslakiin sekä Digiturvamalli-työkaluun
ISO 27001: Rakenna digiturvasuunnitelma, joka täyttää standardin vaatimukset
Näytä kaikki
Videot
Tiedonhallintamalli ja tietoturvatoimenpiteet
GDPR & ISO 27701:n hyvät käytännöt
Automatisoi henkilöstön tietoturvaohjeistus Teamsissa
NIS2:n yleisesittely
ISO 27001 ja riskien hallinta
Näytä kaikki
Ohjeet
Tehtävien hallinta
Käyttäjähallinta
Vaatimuskehikot
Dokumentaatio
Asennus ja integraatiot
Näytä kaikki
Blogit
10 vaatimustenmukaisuuden sudenkuoppaa ja miten välttää niitä
Kyberturvallisuuslaki & NIS2: kansalliset lainsäädännöt ja soveltaminen
ISO 9001 -standardi: Katsaus vaatimuskehikkoon
Selviytyminen tietoturvan labyrintissa: Hallitse NIS2 ISO 27001 -standardin avulla
Yritysten tietoturva: Riskialttiiden sovellusten tunnistaminen työntekijöiden puhelimissa
Näytä kaikki
Sisältökirjasto
Avaa sisältökirjastoLabs
Kiitos! Saat jatkossa uutiskirjeen sähköpostiisi joka perjantai.
Valitettavasti jotain meni pieleen. Voit olla yhteydessä tiimi@tietosuojamalli.fi.