Hyppää sisältöön
ISMS.online

ISO 27701:2025 -standardin mukainen valvonta A.1.2.6: Tietosuojaan liittyvien vaikutusten arviointi

Kontrolli A.1.2.6 edellyttää organisaatioilta, että ne arvioivat yksityisyyden suojaan liittyvän vaikutustenarvioinnin tarpeen aina, kun suunnitellaan uutta tai muutettua henkilötietojen käsittelyä. Yksityisyyden suojaa koskevat vaikutustenarvioinnit ovat yksi käytännöllisimmistä työkaluista yksityisyyden suojaan liittyvien riskien tunnistamiseen ja lieventämiseen ennen niiden toteutumista.

kirjailija
Max Edwards
Päivitetty maaliskuu 27, 2026
4/5 tähteä

Mitä kohta A.1.2.6 edellyttää?

Organisaation on arvioitava yksityisyyden suojaa koskevan vaikutustenarvioinnin tarve ja toteutettava tarvittaessa sellainen aina, kun suunnitellaan uutta henkilötietojen käsittelyä tai muutoksia olemassa olevaan henkilötietojen käsittelyyn.

Tämä ohjaus sijaitsee Keräyksen ja käsittelyn edellytykset tavoite (A.1.2). Toisin kuin edelliset valvontamekanismit, jotka keskittyvät lailliseen perusteeseen ja suostumukseen, kohdassa A.1.2.6 otetaan käyttöön riskinarviointi vaatimus. Se edellyttää kaksivaiheista lähestymistapaa: ensin arvioidaan, onko henkilötietoisuuden arviointi tarpeen (seulontavaihe), ja toiseksi, jos se on tarpeen, se suoritetaan ennen käsittelyn aloittamista.

Mitä käyttöönotto-ohjeissa sanotaan?

Liitteessä B (kohta B.1.2.6) annetaan seuraavat ohjeet:

  • Ajoitus on ratkaisevan tärkeää — PIA-arvioinnit olisi suoritettava ennen käsittely alkaa. Ne ovat ennaltaehkäiseviä toimenpiteitä, eivät takautuvaa perustelua
  • PIA:n tulisi arvioida:
    • Tarpeellisuus ja suhteellisuus — Onko käsittely tarpeen ilmoitettua tarkoitusta varten, ja onko kerättyjen henkilötietojen määrä oikeassa suhteessa tarpeeseen?
    • PII-päämiehiin kohdistuvat riskit — Mitä mahdollisia haittoja käsittelystä voi aiheutua, mukaan lukien luvaton pääsy tietoihin, menetys, syrjintä tai mainevahinko?
    • Ehdotetut lievennykset — Mitkä kontrollit, suojatoimet tai suunnitteluvalinnat vähentävät tunnistetut riskit hyväksyttävälle tasolle?
    • Katso myös A.1.2.4: Määritä, milloin ja miten suostumus on hankittava asiaankuuluvia vaatimuksia varten
    • Katso myös A.1.2.5: Suostumuksen hankkiminen ja kirjaaminen asiaankuuluvia vaatimuksia varten
  • Tulosten pitäisi olla dokumentoitu ja käytetään käsittelyä koskevien päätösten tueksi – PIA ei ole pelkkä rasti ruutuun -tehtävä, vaan päätöksentekoväline
  • Ohjeviitteet ISO / IEC 29134 (Yksityisyydensuojaa koskevien vaikutustenarviointien ohjeet) yksityiskohtainen menetelmästandardi yksityisyydensuojaa koskevien vaikutustenarviointien suorittamiseksi

Käytännössä tämä tarkoittaa, että organisaatiot tarvitsevat sekä seulontaprosessin (jotta voidaan päättää, milloin PIA vaaditaan) että PIA-menetelmän (jotta arviointi voidaan suorittaa tarvittaessa).

Miten tämä vastaa GDPR:ää?

Kontrolli A.1.2.6 vastaa huomattavaa lohkoa GDPR määräykset:

  • 35 artiklan 1–11 kohta — Tietosuojaa koskevan vaikutustenarvioinnin (DPIA) vaatimukset. GDPR edellyttää tietosuojaa koskevien vaikutustenarviointien tekemistä, jos käsittely ”todennäköisesti aiheuttaa korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille”, ja asettaa vähimmäissisältövaatimukset, mukaan lukien: käsittelyn systemaattinen kuvaus, tarpeellisuuden ja oikeasuhteisuuden arviointi, riskienarviointi ja toimenpiteet riskien hallitsemiseksi
  • Artikla 36(1) (ei liitettä D, mutta läheisesti siihen liittyvä)–(5) — Ennakkokuuleminen valvontaviranomaisen kanssa. Jos tietosuojaa koskevassa vaikutustenarvioinnissa todetaan korkea jäännösriski, jota ei voida lieventää, rekisterinpitäjän on kuultava valvontaviranomaista ennen käsittelyn aloittamista.

GDPR:n DPIA-vaatimus on ISO 27701 -standardia tiukempi – se edellyttää arviointia korkean riskin käsittelyssä, kun taas A.1.2.6 edellyttää organisaatioilta arvioi tarve PIA-arviointia varten kaikille uusille tai muuttuneille käsittelyille. Käytännössä kohdan A.1.2.6 täytäntöönpano täyttää GDPR:n tietosuoja-asetuksen DPIA-vaatimuksen, edellyttäen, että seulontakriteerit kattavat kaikki 35 artiklan laukaisevat skenaariot.

Miten tämä liittyy ISO 29100 -standardin mukaisiin yksityisyyden suojaa koskeviin periaatteisiin?

Tämä ohjausobjekti tukee useita ISO 29100 -standardin mukaisia ​​yksityisyydensuojaperiaatteita:

  • Suostumus ja valinta — PIA:t auttavat tunnistamaan, missä suostumusmekanismeja on suunniteltava tai vahvistettava
  • Keräyksen rajoitus — Tarpeellisuuden ja oikeasuhteisuuden arvioinnissa tarkastellaan suoraan sitä, kerätäänkö liikaa henkilötietoja
  • Yksityisyyden noudattaminen — Tietosuoja-arvioinnit ovat mekanismi, jolla varmistetaan ja osoitetaan yksityisyyden suojaa koskevien vaatimusten noudattaminen ennen käsittelyn aloittamista.


Löydä vaatimustenmukaisuusvarmuutesi ISMS.onlinen avulla

Aloita helposti henkilökohtaisella tuote-esittelyllä

Yksi perehdytysasiantuntijoistamme opastaa sinua alustamme läpi ja auttaa sinua alkuun luottavaisin mielin.

Varaa esittelysi


Mitä todisteita tilintarkastajat odottavat?

Arvioidessaan kohdan A.1.2.6 vaatimustenmukaisuutta tilintarkastajat etsivät tyypillisesti seuraavia seikkoja:

  • PIA-seulontakriteerit — Dokumentoitu kynnysarvo tai tarkistuslista, jota käytetään sen määrittämiseen, tarvitaanko tietty käsittelytoiminto tai muutos täydellisen tietoturvavaikutusten arvioinnin (PIA) osalta
  • Seulontatiedot — Todisteet siitä, että seulontaprosessia sovellettiin uusiin ja muuttuneisiin käsittelytoimintoihin, mukaan lukien tapaukset, joissa tehtiin täydellinen tietoturvavaikutusten arviointi emme katsotaan tarpeelliseksi (dokumentoiduin perusteluin)
  • Valmiit PIA-raportit — Täydelliset arviointiasiakirjat, jotka kattavat tarpeellisuuden, suhteellisuuden, riskianalyysin ja ehdotetut lieventävät toimenpiteet
  • Riskienhallinnan päätökset — Todisteet siitä, että PIA-havaintoihin on ryhdytty toimiin — lieventäviä toimenpiteitä toteutettu, käsittelyä muutettu tai joissakin tapauksissa käsittely keskeytetty
  • Kuittaustiedot — Asianomaisten sidosryhmien (esim. tietosuojavastaavan, ylimmän johdon) hyväksyntä sille, että tietoturvavaikutusten arviointi on tarkistettu ja jäännösriski hyväksytty
  • Aiempien kuulemisten tiedot — Jos jäännösriski pysyi korkeana lieventämisen jälkeen, näyttö siitä, että valvontaviranomaista on kuultu (yleisen tietosuoja-asetuksen 36 artikla)

Mitä asiaan liittyviä ohjausobjekteja on?

Valvonta: Yhteys
A.1.2.2 Tarkoituksen tunnistaminen ja dokumentointi Tarkoitusdokumentaatio on PIA:n syöte – et voi arvioida tarpeellisuutta tietämättä tarkoitusta
A.1.2.3 Oikeudellisen perustan määrittäminen Tietojenkäsittelyn asiantuntijan tulisi varmistaa, että suunnitellulle käsittelylle on olemassa pätevä laillinen peruste.
A.1.4.3 Raja-arvojen käsittely PIA:n suhteellisuusarviointi ohjaa tietojen minimointia koskevia päätöksiä
A.1.4.6 Henkilötietojen poistaminen ja anonymisointi Tietojen havaitsemistutkimukset voivat määrittää tunnistamattomuuden tai poistamisen riskinhallintatoimenpiteeksi
A.1.2.7 Sopimukset henkilötietojen käsittelijöiden kanssa Jos käsittelyyn osallistuu kolmannen osapuolen käsittelijöitä, tietosuojaselosteessa tulisi arvioida käsittelijään liittyviä riskejä.
ISO / IEC 29134 Viitattu standardi, joka tarjoaa yksityiskohtaisen PIA-menetelmän ja ohjeet

Mikä muuttui standardista ISO 27701:2019?

Vaiheittaisen lähestymistavan löydät kohdasta Siirtymäkausi vuodesta 2019 vuoteen 2025.

Vuoden 2019 painoksessa tämä vaatimus esiintyi kohdassa 7.2.5 (yksityisyyden suojan vaikutustenarviointi). Ydinvaatimus on pysynyt muuttumattomana – arvioi yksityisyyden suojan vaikutustenarvioinnin tarve ja suorita sellainen tarvittaessa. Vuoden 2025 uudelleenjärjestely muotoon Taulukko A.1 selkeyttää valvontalausunnon (A.1.2.6) ja ohjeistuksen (B.1.2.6) välistä eroa. Viittaus ISO/IEC 29134 -standardiin yksityiskohtaisena PIA-menetelmästandardina on säilytetty, mikä vahvistaa, että organisaatioiden tulisi noudattaa jäsenneltyä lähestymistapaa ad hoc -arvioinnin sijaan. Ks. Liitteen F vastaavuustaulukko koko kartoitusta varten.



ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa

ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Varaa esittelysi


Miksi valita ISMS.online yksityisyydensuojaa koskevien vaikutustenarviointien osalta?

ISMS.online tarjoaa kokonaisvaltaisen PIA-työnkulun, joka vie sinut seulonnasta hyväksyntään:

  • PIA-seulontatyökalu — Sisäänrakennettu kyselylomake, joka määrittää, onko täydellinen arviointi tarpeen, ja jokaiselle päätökselle on dokumentoidut perustelut
  • Strukturoidut PIA-mallit — Valmiiksi tehdyt ISO/IEC 29134 -standardin mukaiset arviointipohjat, jotka ohjaavat arvioijia tarpeellisuuden, suhteellisuuden, riskien tunnistamisen ja lieventämissuunnittelun läpi
  • Riskien pisteytys ja lämpökartat — Visuaalinen riskianalyysi todennäköisyys- ja vaikutuspisteytyksellä, mikä helpottaa lieventävien toimien priorisointia ja havaintojen viestimistä sidosryhmille
  • Lieventämisen seuranta — Määritä riskienhallintatoimenpiteet omistajille määräajoineen ja seuraa toteutuksen edistymistä samalla alustalla
  • Hyväksyntätyönkulut — Reititä valmiit tietoturvavaikutusten arvioinnit tietosuojavastaavalle tai ylemmälle johdolle tarkastettavaksi ja hyväksyttäväksi, ja hyväksymisprosessista on oltava täydellinen kirjausketju.
  • Yhdistetty näyttö — Yhdistä PIA:t käsittelytoimiin, laillisiin perusteisiin ja niihin liittyviin suostumustietoihin, jolloin saadaan kattava kuva vaatimustenmukaisuudesta

UKK

Milloin yksityisyydensuojan vaikutustenarviointi on pakollinen?

ISO 27701:2025 -standardin mukaan PIA ei ole automaattisesti pakollinen jokaiselle käsittelytoiminnolle – valvonta edellyttää, että arvioi tarve yhden. Yleisen tietosuoja-asetuksen 35 artiklan nojalla tietosuojavaikutusten arviointi on kuitenkin pakollinen, jos käsittely todennäköisesti aiheuttaa korkean riskin yksilöiden oikeuksille. Euroopan tietosuojaneuvosto on julkaissut kriteerit, mukaan lukien: henkilökohtaisten ominaisuuksien systemaattinen arviointi (profilointi), erityisryhmien laajamittainen käsittely ja julkisesti saatavilla olevien alueiden systemaattinen valvonta. Organisaatioiden tulisi sisällyttää nämä laukaisevat tekijät seulontakriteereihinsä.

Voidaanko PIA tehdä käsittelyn jo alkamisen jälkeen?

Sekä standardi että GDPR edellyttävät PIA:iden suorittamista ennen käsittely alkaa. Jos kuitenkin huomaat, että PIA olisi pitänyt tehdä, mutta sitä ei tehty, jälkikäteen tehtävä PIA on parempi kuin jättää se tekemättä ollenkaan. Jälkikäteen tehtävä PIA voi tunnistaa riskejä, jotka vaativat välitöntä lieventämistä tai jopa käsittelyn lopettamista. Tilintarkastajat panevat merkille aikataulueron, mutta suhtautuvat myöhäiseen PIA:han myönteisemmin kuin PIA:n tekemättä jättämiseen.

Kuinka usein olemassa olevia PIA-selvityksiä tulisi tarkastella?

Tietosuojaselostukset (PIA) tulisi tarkistaa aina, kun niiden piiriin kuuluvaan käsittelyyn tulee olennainen muutos – kuten uusia tietoluokkia, uusia vastaanottajia, teknologian muutoksia tai muutoksia sääntely-ympäristössä. Paras käytäntö on myös asettaa säännöllinen tarkistusaikataulu (esim. vuosittain), jotta voidaan havaita vähittäiset muutokset, jotka eivät välttämättä ole käynnistäneet yksittäistä tarkistusta. Tarkastelussa tulisi arvioida, ovatko alkuperäinen riskianalyysi ja lieventävät toimenpiteet edelleen päteviä.

Katso tarkastusevidenssivaatimusten opas mitä tilintarkastajat odottavat tätä kontrollia arvioidessaan.

A kuiluanalyysi voi auttaa sinua arvioimaan, täyttääkö nykyinen PIA-prosessisi vuoden 2025 vaatimukset.

Max Edwards

Max toimii osana ISMS.online-markkinointitiimiä ja varmistaa, että verkkosivustomme päivitetään hyödyllisellä sisällöllä ja tiedolla kaikesta ISO 27001, 27002 ja vaatimustenmukaisuudesta.

Tee virtuaalikierros

Aloita ilmainen kahden minuutin interaktiivinen demosi nyt ja katso
ISMS.online toiminnassa!

Kokeile nyt
alustan kojelauta täysin uudenveroinen

Olemme alamme johtaja

4/5 tähteä
Käyttäjät rakastavat meitä
Johtaja - kevät 2026
Huippusuorittaja - kevät 2026 Pienyritykset Isossa-Britanniassa
Aluejohtaja - kevät 2026 EU
Aluejohtaja - kevät 2026 EMEA
Aluejohtaja - kevät 2026, Iso-Britannia
Huippusuorittaja - kevät 2026, keskikokoinen markkina-alue EMEA-alueella

"ISMS.Online, erinomainen työkalu sääntelyn noudattamiseen"

—Jim M.

"Tekee ulkoisista tarkastuksista helppoa ja yhdistää kaikki ISMS:si osat saumattomasti yhteen"

—Karen C.

"Innovatiivinen ratkaisu ISO- ja muiden akkreditointien hallintaan"

—Ben H.