Hyppää sisältöön
ISMS.online

ISO 27701:2025 -standardin valvonta A.1.2.7: Sopimukset henkilötietojen käsittelijöiden kanssa

Kontrolikohta A.1.2.7 edellyttää, että organisaatioilla on kirjalliset sopimukset jokaisen käyttämänsä henkilötietojen käsittelijän kanssa, jotta varmistetaan, että kyseisissä sopimuksissa käsitellään asianmukaisten liitteen A mukaisten kontrollien toteuttamista. Tässä vastuu ulottuu oman organisaatiosi ulkopuolelle.

kirjailija
Max Edwards
Päivitetty maaliskuu 27, 2026
4/5 tähteä

Mitä kohta A.1.2.7 edellyttää?

Organisaatiolla on oltava kirjallinen sopimus kaikkien käyttämiensä henkilötietojen käsittelijöiden kanssa, ja sen on varmistettava, että heidän sopimuksissaan henkilötietojen käsittelijöiden kanssa käsitellään asianmukaisten valvontatoimien toteuttamista Liite A (Ks. Taulukko A.2).

Tämä ohjaus sijaitsee Keräyksen ja käsittelyn edellytykset tavoite (A.1.2). Siinä tunnustetaan, että monet organisaatiot eivät käsittele henkilötietoja kokonaan itse – ne käyttävät pilvipalveluntarjoajia, palkanlaskentatoimistoja, markkinointialustoja ja muita kolmansia osapuolia henkilötietojen käsittelyssä puolestaan. A.1.2.7 varmistaa, että näitä järjestelyjä säännellään virallisilla sopimuksilla, jotka laajentavat yksityisyyden suojaa ja turvallisuutta koskevat velvoitteet koskemaan myös käsittelijää.

Viittaus Taulukko A.2 on merkittävä: se tarkoittaa, että sopimuksen on käsiteltävä henkilötietoja suoritin standardissa määritellyt valvontatoimet, ei pelkästään yleiset tietosuojalausekkeet.

Hankintatiimit vaativat yhä useammin ISO 27701 -sertifiointia jalostajilta – katso lisätietoja hankintavaatimusten opas ja toimittajien arviointiopas.

Mitä käyttöönotto-ohjeissa sanotaan?

Liitteessä B (kohta B.1.2.7) annetaan seuraavat ohjeet siitä, mitä jalostajasopimuksissa tulisi määritellä:

  • Käsittelyn luonne ja tarkoitus — Mitä käsittelijä tekee henkilötiedoilla ja miksi
  • Käsiteltävien henkilötietojen tyypit — Henkilötietojen käsittelijän käsittelemät henkilötietojen luokat (esim. yhteystiedot, taloudelliset tiedot, terveystiedot)
  • Käsittelyn kesto — Kuinka kauan käsittelijä käsittelee henkilötietoja ja mitä tiedoille tapahtuu sopimuksen päättyessä
  • Käsittelijän velvollisuudet — Käsittelijän erityistehtävät, mukaan lukien täytäntöönpano Taulukko A.2 käsittelyyn liittyvät asianmukaiset valvontatoimet
  • Rekisterinpitäjän oikeudet ja velvollisuudet — Organisaation oikeus tarkastaa, antaa ohjeita ja hyväksyä tai hylätä alihankkijoita
  • Toteuttamisvaatimukset Taulukko A.2 valvonta — Sopimuksessa on viitattava tai siinä on oltava liitteessä A mainitut erityiset käsittelijän suojaustoimenpiteet, jotka ovat olennaisia ​​käsittelytoimien kannalta.

Ohjeissa todetaan myös, että organisaatioiden tulisi ottaa huomioon alihankintamenettelyjä koskevat määräykset — saako käsittelijä käyttää muita käsittelijöitä, ja jos saa, millä ehdoilla ja millä ilmoitusvaatimuksilla.

Miten tämä vastaa GDPR:ää?

Kontrolli A.1.2.7 vastaa seuraavaa GDPR määräykset:

  • Article 5 (2) — Vastuuvelvollisuusperiaate, joka edellyttää rekisterinpitäjiltä kykyä osoittaa vaatimustenmukaisuus. Kirjalliset käsittelijäsopimukset ovat keskeinen vastuuvelvollisuusmekanismi.
  • 28 artiklan 3 kohdan e alakohta — Käsittelijäsopimuksissa on edellytettävä, että käsittelijä avustaa rekisterinpitäjää varmistamaan 32–36 artiklan mukaisten velvoitteiden noudattamisen (turvallisuus, tietoturvaloukkauksesta ilmoittaminen, tietosuojaa koskevien vaikutustenarviointien tekeminen ja ennakkokuuleminen).
  • Article 28 (9) – Sopimuksen on oltava kirjallinen, myös sähköisessä muodossa

GDPR Artikla 28 sisältää ISO 27701 -standardin nimenomaisten vaatimusten lisäksi muita pakollisia sopimuslausekkeita, kuten vaatimukset, joiden mukaan käsittelijän on toimittava ainoastaan ​​dokumentoitujen ohjeiden mukaisesti, varmistettava käsittelyhenkilöstön luottamuksellisuus, poistettava tai palautettava tiedot sopimuksen päättymisen jälkeen ja asetettava saataville kaikki tarvittavat tiedot vaatimustenmukaisuuden osoittamiseksi. Organisaatioiden, jotka pyrkivät täydelliseen GDPR-yhteensopivuuteen, tulisi varmistaa, että niiden sopimukset kattavat kaikki 28(3) artiklan vaatimukset.

Miten tämä liittyy ISO 29100 -standardin mukaisiin yksityisyyden suojaa koskeviin periaatteisiin?

Tämä ohjausobjekti tukee kahta ISO 29100 -standardin mukaista tietosuojaperiaatetta:

  • Vastuullisuus — Sopimukset laajentavat henkilötietojen suojaa koskevan vastuun rekisterinpitäjän omien toimintojen ulkopuolelle myös sen käsittelijöihin varmistaen, että koko käsittelyketjua hallitaan.
  • Tietoturva — Sopimukset, jotka edellyttävät täytäntöönpanoa Taulukko A.2 valvonta varmistaa, että käsittelijät soveltavat asianmukaisia ​​turvatoimenpiteitä käsittelemiinsä henkilötietoihin


ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa

ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Varaa demo


Mitä todisteita tilintarkastajat odottavat?

Arvioidessaan kohdan A.1.2.7 vaatimustenmukaisuutta tilintarkastajat etsivät tyypillisesti seuraavia seikkoja:

  • Suoritinrekisteri — Täydellinen luettelo kaikista organisaation käyttämistä henkilötietojen käsittelijöistä ja heidän suorittamistaan ​​käsittelytoimista
  • Allekirjoitetut sopimukset tai tietopankit — Kirjalliset sopimukset kunkin käsittelijän kanssa, joko erillisinä tietojenkäsittelysopimuksina (DPA) tai lausekkeina laajemmissa palvelusopimuksissa
  • Taulukko A.2 kattavuusanalyysi — Todiste siitä, että sopimus käsittelee asiaankuuluvia käsittelijän valvontatoimia Taulukko A.2joko nimenomaisella viittauksella tai sisällyttämällä vastaavat vaatimukset
  • Alihankkijaa koskevat määräykset — Lausekkeet, jotka koskevat sitä, voiko käsittelijä käyttää muita käsittelijöitä ja miten, mukaan lukien ilmoitus- ja hyväksymismekanismit
  • Sopimusten tarkistustietueet — Todisteet siitä, että jalostajien sopimuksia tarkastellaan ja päivitetään säännöllisesti, erityisesti silloin, kun jalostustoiminta muuttuu tai standardia päivitetään
  • Due diligence -asiakirjat — Todiste siitä, että organisaatio arvioi käsittelijän kykyä toteuttaa vaaditut valvontatoimet ennen sopimuksen tekemistä

Mitä asiaan liittyviä ohjausobjekteja on?

Valvonta: Yhteys
Taulukko A.2 (PII-prosessorin ohjausobjektit) Käsittelijäsopimuksissa käsiteltävät valvontatoimet
A.1.2.6 Yksityisyydensuojaa koskevien vaikutusten arviointi Tietosuojavaltuutusten tulisi ottaa huomioon käsittelijäjärjestelyistä johtuvat riskit
A.1.5.2 Perusteet henkilötietojen siirrolle lainkäyttöalueiden välillä Henkilötietojen jakaminen käsittelijöiden kanssa on tiedonantomuoto, jota on säänneltävä
A.1.2.8 Yhteinen PII-ohjain Jos kyseessä on yhteisrekisterinpitäjäsuhde eikä rekisterinpitäjän ja henkilötietojen käsittelijän suhde, sovelletaan erilaisia ​​sopimusvaatimuksia.
A.1.2.9 Henkilötietojen käsittelyä koskevat tiedot Käsittelytietojen tulisi yksilöidä, mitkä toiminnot sisältävät käsittelijöitä
ISO 27001 A.5.19–A.5.22 Toimittajasuhteiden tietoturvakontrollit taustalla olevassa tietoturvan hallintajärjestelmässä

Mikä muuttui standardista ISO 27701:2019?

Vuoden 2019 painoksessa tämä vaatimus esiintyi lausekkeena 7.2.6 (sopimukset henkilötietojen käsittelijöiden kanssa). Ydinvaatimus – kirjalliset sopimukset asianmukaisista valvontatoimista – on pysynyt muuttumattomana. Vuoden 2025 painos vahvistaa vaatimusta viittaamalla nimenomaisesti Taulukko A.2, joka tarjoaa selkeämmän ja jäsennellymmän joukon käsittelijän suojatoimia kuin vuoden 2019 painoksen liite A. Tämä helpottaa organisaatioiden tunnistamaan tarkalleen, mitkä suojatoimet niiden sopimusten on käsiteltävä. Katso Liitteen F vastaavuustaulukko koko kartoitusta varten.



ISMS.onlinen tehokas kojelauta

Aloita helposti henkilökohtaisella tuote-esittelyllä

Yksi perehdytysasiantuntijoistamme opastaa sinua alustamme läpi ja auttaa sinua alkuun luottavaisin mielin.

Varaa esittelysi


Miksi valita ISMS.online PII-käsittelijöiden sopimusten hallintaan?

ISMS.online yksinkertaistaa koko käsittelijän sopimuksen elinkaarta due diligence -tarkastuksesta jatkuvaan vaatimustenmukaisuuden seurantaan:

  • Suoritinrekisteri — Ylläpidä keskitettyä rekisteriä kaikista henkilötietojen käsittelijöistä, jotka sisältävät heidän käsittelytoimintansa, sopimusten tilan ja tarkistuspäivämäärät yhdessä paikassa
  • DPA-lausekkeiden kirjasto — Valmiita sopimuslausekkeiden pohjamalleja ISO 27701 -standardin mukaisesti Taulukko A.2 vaatimukset ja GDPR:n 28 artikla, valmiina sisällytettäväksi sopimuksiisi
  • Taulukko A.2 kartoitus — Tunnistaa automaattisesti, mitkä käsittelijän suojaustoimenpiteet koskevat kutakin käsittelyjärjestelyä, varmistaen, ettei mitään pakollisia lausekkeita jää huomiotta
  • Alikäsittelijän seuranta — Kirjaa kunkin käsittelijän hyväksytyt alihankkijat ja ilmoita, kun uusia alihankkijoita ilmoitetaan
  • Sopimustarkistuksen muistutukset — Automaattiset ilmoitukset, kun sopimukset on määrä tarkistaa, kun käsittelytoiminnot muuttuvat tai kun standardia päivitetään
  • Toimittaja due diligence — Integroidut kyselylomakkeet käsittelijän kyvykkyyden arvioimiseksi ennen sopimuksen allekirjoittamista, pisteytetyillä arvioinneilla ja dokumentoiduilla tuloksilla

UKK

Tarvitseeko jokainen toimittaja tietojenkäsittelysopimuksen?

Vain toimittajat, jotka käsittelevät henkilötietoja puolestasi (eli toimivat henkilötietojen käsittelijöinä), tarvitsevat kohdan A.1.2.7 mukaisen sopimuksen. Toimittajat, jotka tarjoavat palveluita, joihin ei liity pääsyä henkilötietoihin – kuten toimistotarviketoimittajat – eivät tarvitse tietosuojasopimusta. Keskeinen kysymys on, käsitteleekö, käyttääkö vai tallentaako toimittaja henkilötietoja osana palvelua. Jos olet epävarma, luokittele toimittaja käsittelijäksi ja tee sopimus – on parempi olla tarpeeton tietosuojasopimus kuin jättää pakollinen noudattamatta.

Mitä meidän pitäisi tehdä alihankkijoiden suhteen?

Sopimuksessasi jokaisen käsittelijän kanssa tulisi käsitellä alihankintakäsittelyä. Yleisiä lähestymistapoja ovat: kaikkien alihankkijoiden kirjallisen ennakkohyväksynnän vaatiminen, ilmoituksen vaatiminen ja vastustamisoikeus tai alihankkijoista nimetyn luettelon ennakkohyväksyntä. GDPR:n 28 artiklan mukaan käsittelijä ei saa käyttää toista käsittelijää ilman rekisterinpitäjän etukäteen antamaa nimenomaista tai yleistä kirjallista lupaa. Valitsemastasi lähestymistavasta riippumatta varmista, että sopimus edellyttää käsittelijältä vastaavien sopimusvelvoitteiden asettamista alihankkijoilleen.

Miten käsittelemme käsittelijöitä, jotka kieltäytyvät allekirjoittamasta tietosuojasopimustamme?

Suuret käsittelijät (erityisesti SaaS-palveluntarjoajat) tarjoavat usein omaa vakiomuotoista tietosuojasopimustaan ​​sinun allekirjoittamasi sijaan. Tämä on yleensä hyväksyttävää, jos heidän tietosuojasopimuksensa kattaa vaaditut elementit – käsittelyn luonteen ja tarkoituksen, henkilötietojen tyypit, keston, velvoitteet ja asiaankuuluvat säännökset. Taulukko A.2 valvonta. Tarkista heidän tietosuojasopimuksensa vaadittujen lausekkeiden tarkistuslistaa vasten. Jos puutteita on, neuvottele lisäyksistä tai täydentävistä ehdoista. Jos käsittelijä kieltäytyy tekemästä kirjallista sopimusta henkilötietojen käsittelystä, sinun ei tule käyttää kyseistä käsittelijää – valvonta edellyttää nimenomaisesti kirjallista sopimusta.

Katso tarkastusevidenssivaatimusten opas mitä tilintarkastajat odottavat tätä kontrollia arvioidessaan.

Max Edwards

Max toimii osana ISMS.online-markkinointitiimiä ja varmistaa, että verkkosivustomme päivitetään hyödyllisellä sisällöllä ja tiedolla kaikesta ISO 27001, 27002 ja vaatimustenmukaisuudesta.

Tee virtuaalikierros

Aloita ilmainen kahden minuutin interaktiivinen demosi nyt ja katso
ISMS.online toiminnassa!

Kokeile nyt
alustan kojelauta täysin uudenveroinen

Olemme alamme johtaja

4/5 tähteä
Käyttäjät rakastavat meitä
Johtaja - kevät 2026
Huippusuorittaja - kevät 2026 Pienyritykset Isossa-Britanniassa
Aluejohtaja - kevät 2026 EU
Aluejohtaja - kevät 2026 EMEA
Aluejohtaja - kevät 2026, Iso-Britannia
Huippusuorittaja - kevät 2026, keskikokoinen markkina-alue EMEA-alueella

"ISMS.Online, erinomainen työkalu sääntelyn noudattamiseen"

—Jim M.

"Tekee ulkoisista tarkastuksista helppoa ja yhdistää kaikki ISMS:si osat saumattomasti yhteen"

—Karen C.

"Innovatiivinen ratkaisu ISO- ja muiden akkreditointien hallintaan"

—Ben H.