Mitä ovat PII-ohjaimen ohjausobjektit ISO 27701:2025 -standardissa?
Taulukko A.1 ISO 27701:2025 liite A määrittelee 31 valvontaa, joita sovelletaan kaikkiin henkilötietojen rekisterinpitäjinä toimiviin organisaatioihin. Henkilötietojen rekisterinpitäjä on organisaatio, joka määrittää henkilötietojen käsittelyn tarkoitukset ja keinot.
Nämä kontrollit on ryhmitelty neljään tavoitteeseen:
- Keräyksen ja käsittelyn edellytykset (A.1.2) — 8 valvontaa, jotka kattavat laillisen perusteen, suostumuksen, yksityisyyden suojaan liittyvän vaikutustenarvioinnin, sopimukset ja tiedot
- Henkilövakuutuksen päämiehiä koskevat velvollisuudet (A.1.3) — 10 valvontaa, jotka kattavat läpinäkyvyyden, rekisteröidyn oikeudet, automatisoidut päätökset ja pyyntöjen käsittelyn
- Sisäänrakennettu yksityisyydensuoja ja oletusarvoinen yksityisyydensuoja (A.1.4) — 9 valvontaa, jotka kattavat tietojen minimoinnin, säilyttämisen, hävittämisen ja siirron
- Henkilötietojen jakaminen, siirtäminen ja luovuttaminen (A.1.5) — 4 valvontaa, jotka kattavat rajat ylittävät siirrot ja tiedonantorekisterit
Jokaisella kontrollilla on vastaavat toteutusohjeet liitteessä B (kohta B.1). Esimerkiksi ohjeita kontrollille A.1.2.2 Tarkoituksen tunnistaminen ja dokumentointi löytyy kohdasta B.1.2.2.
Keräyksen ja käsittelyn edellytykset (A.1.2)
Tavoite: Osoittaa, että käsittely on laillista, että sillä on sovellettavien lainkäyttöalueiden mukainen oikeusperusta ja että sillä on selkeästi määritellyt ja lailliset tarkoitukset.
| Valvonta: | Otsikko | Yhteenveto |
|---|---|---|
| A.1.2.2 Tarkoituksen tunnistaminen ja dokumentointi | Tunnista ja dokumentoi tarkoitus | Tunnista ja dokumentoi henkilötietojen käsittelyn erityistarkoitukset |
| A.1.2.3 Oikeudellisen perustan tunnistaminen | Määritä laillinen peruste | Määrittää, dokumentoida ja osoittaa asiaankuuluvan laillisen perusteen noudattamisen |
| A.1.2.4 Suostumuksen määrittäminen | Määritä, milloin ja miten suostumus hankitaan | Dokumentoi prosessi, joka osoittaa, onko suostumus saatu, milloin ja miten |
| A.1.2.5 Suostumuksen hankkiminen ja kirjaaminen | Hanki ja kirjaa suostumus | Hanki ja kirjaa henkilötietojen käsittelijöiden suostumus dokumentoitujen prosessien mukaisesti |
| A.1.2.6 Tietosuojaan liittyvä vaikutustenarviointi | Tietosuojavaikutusten arviointi | Arvioi uusien tai muuttuneiden käsittelyjen yksityisyyden suojaa koskevien vaikutustenarviointien tarvetta ja toteuta ne |
| A.1.2.7 Sopimukset henkilötietojen käsittelijöiden kanssa | Sopimukset henkilötietojen käsittelijöiden kanssa | Varmista, että henkilötietojen käsittelijöiden kanssa tehdyt kirjalliset sopimukset käsittelevät asianmukaiset asiat Liite A valvonta |
| A.1.2.8 Yhteinen henkilötietojen rekisterinpitäjä | Yhteinen PII-rekisterinpitäjä | Määritä roolit ja vastuut kaikkien yhteisten henkilötietojen rekisterinpitäjien kanssa |
| A.1.2.9 Henkilötietojen käsittelyä koskevat tiedot | Henkilötietojen käsittelyyn liittyvät tiedot | Määritä ja ylläpidä turvallisesti henkilötietojen käsittelyvelvoitteita tukevia tietoja |
Aloita ilmainen kokeilu
Haluatko tutkia?
Rekisteröidy ilmaiseen kokeilujaksoon tänään ja pääset käyttämään kaikkia ISMS.onlinen tarjoamia yhteensopivuusominaisuuksia
Henkilövakuutuksen päämiehiä koskevat velvollisuudet (A.1.3)
Tavoite: Varmistaa, että henkilötietojen käsittelystä vastaaville tahoille annetaan asianmukaiset tiedot heidän henkilötietojensa käsittelystä ja että kaikki muut sovellettavat velvoitteet täytetään.
| Valvonta: | Otsikko | Yhteenveto |
|---|---|---|
| A.1.3.2 Velvollisuudet henkilötietojen vakuutuksenottajia kohtaan | Henkilövastuuvakuutusten päämiehiin liittyvien velvoitteiden määrittäminen ja täyttäminen | Määritä ja dokumentoi lakisääteiset, sääntelyyn liittyvät ja liiketoimintaan liittyvät velvoitteet PII-päämiehiin nähden |
| A.1.3.3 Tietoja henkilötietojen käsittelijöille | Henkilötietojen määrittäminen päämiehille | Määritä ja dokumentoi, mitä tietoja annetaan PII-päälliköille ja milloin |
| A.1.3.4 Tietojen antaminen | Tietojen antaminen PII-päälliköille | Anna selkeät ja helposti saatavilla olevat tiedot rekisterinpitäjän tunnistamiseksi ja käsittelyn kuvaamiseksi |
| A.1.3.5 Suostumuksen muuttaminen tai peruuttaminen | Tarjotaan mekanismi suostumuksen muuttamiseksi tai peruuttamiseksi | Tarjoa mekanismi, jolla PII-pääasialliset voivat muuttaa tai peruuttaa suostumuksensa |
| A.1.3.6 Vastusta henkilötietojen käsittelyä | Tarjoaa mekanismin henkilötietojen käsittelyn vastustamiseksi | Tarjoa mekanismi, jolla PII-pääasialliset henkilöt voivat vastustaa käsittelyä |
| A.1.3.7 Tietojen saaminen, korjaaminen tai poistaminen | Tietojen käyttö, korjaaminen tai poistaminen | Toteuta käytäntöjä ja mekanismeja tiedonsaanti-, korjaus- tai poistovelvoitteiden täyttämiseksi |
| A.1.3.8 Kolmansille osapuolille tiedottaminen | Henkilötietojen rekisterinpitäjien velvollisuus ilmoittaa kolmansille osapuolille | Ilmoita kolmansille osapuolille jaettujen henkilötietojen muutoksista, peruutuksista tai vastustuksista |
| A.1.3.9 Henkilötietojen kopion toimittaminen | Käsiteltyjen henkilötietojen kopion toimittaminen | Toimita kopio käsitellyistä henkilötiedoista henkilötietojen vastuuhenkilön pyynnöstä |
| A.1.3.10 Pyyntöjen käsittely | Pyyntöjen käsittely | Määrittele ja dokumentoi käytännöt henkilötietojen käsittelijöiden laillisten pyyntöjen käsittelyyn |
| A.1.3.11 Automaattinen päätöksenteko | Automaattinen päätöksenteko | Tunnista velvoitteet päätöksistä, jotka perustuvat yksinomaan henkilötietojen automaattiseen käsittelyyn |
Sisäänrakennettu yksityisyydensuoja ja oletusarvoinen yksityisyydensuoja (A.1.4)
Tavoite: Varmistaa, että prosessit ja järjestelmät on suunniteltu siten, että henkilötietojen kerääminen ja käsittely rajoittuu siihen, mikä on tarpeen tunnistetun tarkoituksen kannalta.
| Valvonta: | Otsikko | Yhteenveto |
|---|---|---|
| A.1.4.2 Rajakeräys | Rajoita keräämistä | Rajoita henkilötietojen kerääminen siihen, mikä on olennaista, oikeasuhtaista ja välttämätöntä. |
| A.1.4.3 Raja-arvojen käsittely | Rajoita käsittelyä | Rajoita käsittely siihen, mikä on asianmukaista, olennaista ja välttämätöntä yksilöityjen tarkoitusten kannalta |
| A.1.4.4 Tarkkuus ja laatu | Tarkkuus ja laatu | Varmista, että henkilötiedot ovat oikeita, täydellisiä ja ajantasaisia koko niiden elinkaaren ajan |
| A.1.4.5 Henkilökohtaisten tietojen minimointi | PII-tietojen minimointitavoitteet | Määrittele ja dokumentoi tiedon minimoinnin tavoitteet ja mekanismit |
| A.1.4.6 Tunnistamattomuuden poistaminen ja poistaminen | Henkilötietojen poistaminen tunnistamattomiksi | Poista henkilötiedot tai tee niistä tunnistamattomia, kun niitä ei enää tarvita |
| A.1.4.7 Väliaikaistiedostot | Väliaikaiset tiedostot | Hävitä PII-käsittelyn väliaikaiset tiedostot dokumentoidun ajan kuluessa |
| A.1.4.8 Säilytys | Säilyttäminen | Älä säilytä henkilötietoja pidempään kuin on tarpeen käsittelytarkoituksiin |
| A.1.4.9 Hävittäminen | hävittäminen | Dokumentoidut käytännöt, menettelyt ja mekanismit henkilötietojen hävittämiseksi |
| A.1.4.10 PII-lähetysten ohjaimet | PII-lähetysohjaimet | Rekisteröidyn henkilötiedot siirretään verkkojen kautta asianmukaisiin valvontayksiköihin |
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.
Henkilötietojen jakaminen, siirtäminen ja luovuttaminen (A.1.5)
Tavoite: Määrittää, jaetaanko, siirretäänkö tai luovutetaanko henkilötietoja sovellettavien velvoitteiden mukaisesti ja milloin ne jaetaan, siirretään.
| Valvonta: | Otsikko | Yhteenveto |
|---|---|---|
| A.1.5.2 Henkilötietojen siirron peruste | Määritä perusteet henkilötietojen siirrolle lainkäyttöalueiden välillä | Tunnista ja dokumentoi kansainvälisten henkilötietojen siirtojen perusteet |
| A.1.5.3 Maat, joissa henkilötietoja siirretään | Maat ja kansainväliset järjestöt henkilötietojen siirtoa varten | Määritä ja dokumentoi maat ja organisaatiot, joille henkilötietoja voidaan siirtää |
| A.1.5.4 Henkilötietojen siirtoa koskevat tiedot | Henkilötietojen siirtoa koskevat tiedot | Henkilötietojen siirtojen kirjaaminen kolmansille osapuolille tai kolmansilta osapuolilta ja yhteistyön varmistaminen |
| A.1.5.5 Henkilötietojen luovutusten tiedot | Kolmansille osapuolille annettujen henkilötietojen tiedot | Kirjaa tiedonannot, mukaan lukien mitä on luovutettu, kenelle ja milloin |
Miten nämä hallintalaitteet liittyvät GDPR:ään?
PII-ohjaimen ohjaukset vastaavat laajasti GDPR vaatimukset. Tärkeimpiä liitäntöjä ovat:
- A.1.2 (Kerääminen ja käsittely) vastaa GDPR:n artikloja 5–6 (periaatteet ja oikeusperuste), 7 artiklaa (suostumus) ja 8–9 artiklaa (lapset ja erityisryhmät)
- A.1.3 (Velvollisuudet henkilövakuutuksen päämiehiä kohtaan) vastaa GDPR:n artikloja 12–22 (rekisteröidyn oikeudet, mukaan lukien tiedonsaanti, oikaisu, poistaminen, siirrettävyys ja automatisoidut päätökset)
- A.1.4 (Sisäänrakennettu yksityisyyden suoja) vastaa GDPR:n artiklaa 25 (sisäänrakennettu ja oletusarvoinen tietosuoja) ja artiklaa 5(1)(c–e) (minimointi, tarkkuus, tallennusrajoitus)
- A.1.5 (Siirrot) vastaa GDPR:n artikloja 44–49 (kansainväliset siirrot, tietosuojan riittävyys, suojatoimet, BCR-säännöt)
Miksi valita ISMS.online PII-ohjaimen vaatimustenmukaisuuden varmistamiseksi?
ISMS.online auttaa sinua toteuttamaan ja todentamaan jokaisen taulukon A.1 mukaisen valvonnan:
- Valmiiksi rakennettu ohjauskehys — Kaikki 31 ohjainta on kartoitettu ja valmiina sovellettavuuslausuntaasi varten
- Suostumusten hallinta — Dokumenttien suostumusprosessit, tiedot ja peruutusmekanismit
- PIA-työnkulku — Suorita ja seuraa yksityisyyden suojaa koskevien vaikutustenarviointien mallipohjia
- Rekisteröidyn pyyntöjen seuranta — Kirjaa ja hallinnoi käyttö-, korjaus- ja poistopyyntöjä palvelutasosopimuksen seurannan avulla
- Siirrä tietueet — Ylläpitää kansainvälisten siirtojen rekisteriä oikeusperustan dokumentoinnilla
- Suoritinsopimusten hallinta — Seuraa sopimuksia, due diligence -velvoitteita ja vaatimustenmukaisuusvelvoitteita kunkin käsittelijän osalta
UKK
Koskevatko kaikki 31 ohjausta jokaista PII-ohjainta?
Ei välttämättä. Sinun on sisällytettävä kaikki sovellettavat kontrollit sovellettavuuslausuntoosi, mutta kontrollit voidaan sulkea pois, jos riskinarviointisi perusteella ne eivät ole välttämättömiä tai jos sovellettava laki ei niitä edellytä. Kaikki poissulkemiset on perusteltava.
Mitä eroa on taulukoilla A.1 ja A.3?
Taulukko A.1 sisältää henkilötietojen rekisterinpitäjille ominaisia suojaustoimenpiteitä (esim. suostumus, rekisteröidyn oikeudet, yksityisyyden suojaa koskevien vaikutustenarviointien valvonta). Taulukko A.3 sisältää tietoturvakontrolleja, jotka koskevat sekä rekisterinpitäjiä että käsittelijöitä (esim. käyttöoikeuksien hallinta, lokinkäsittely, salaus). Henkilökohtaisesti tunnistettujen tietojen rekisterinpitäjänä molemmat taulukot koskevat sinua.
Mistä löydän näiden kontrollien käyttöönotto-ohjeet?
Liitteen B osiossa B.1 on toteutusohjeet jokaiselle taulukon A.1 mukaiselle ohjausobjektille. Numerointi vastaa suoraan seuraavaa: ohjeet A.1.2.2 Tarkoituksen tunnistaminen ja dokumentointi on kohdassa B.1.2.2, ohjeistus A.1.3.7 Tietojen saaminen, korjaaminen tai poistaminen on kohdassa B.1.3.7, ja niin edelleen.
Dokumentoi ohjaimen ohjausvalintasi muistiin Ilmoitus soveltuvuudesta osoittaaksesi perustelusi tilintarkastajille.
Tietosuojavastaavat voivat löytää kattavan yleiskatsauksen rekisterinpitäjän velvollisuuksistaan osoitteesta opas tietosuojavastaaville.
Katso tarkastusevidenssivaatimusten opas mitä tilintarkastajat odottavat näiltä kontrolleilta.
