Hyppää sisältöön
ISMS.online

ISO 27701:2025 -valvonta A.1.2.8: Yhteinen PII-ohjain

Valvonta-asetuksen A.1.2.8 mukaan organisaatioiden on määritettävä ja sovittava henkilötietojen käsittelyyn liittyvät roolit ja vastuut kaikkien yhteisrekisterinpitäjien kanssa. Yhteisrekisterinpitäjät luovat yhteisiä velvoitteita, jotka on dokumentoitava virallisesti.

kirjailija
Max Edwards
Päivitetty maaliskuu 27, 2026
4/5 tähteä

Mitä kohta A.1.2.8 edellyttää?

Organisaation on määriteltävä henkilötietojen käsittelyä koskevat roolit ja vastuut (mukaan lukien henkilötietojen suojaus- ja turvallisuusvaatimukset) kaikkien yhteisrekisterinpitäjien kanssa.

Tämä ohjaus sijaitsee Keräyksen ja käsittelyn edellytykset tavoite (A.1.2). Se käsittelee tiettyä mutta yhä yleisempää tilannetta: jossa kaksi tai useampi organisaatio määrittää yhdessä henkilötietojen käsittelyn tarkoitukset ja keinot. Toisin kuin rekisterinpitäjän ja käsittelijän välinen suhde, jota säännellään A.1.2.7 Sopimukset henkilötietojen käsittelijöiden kanssayhteisvastuuseen liittyy jaettu päätöksentekovalta – ja siten jaettu vastuu.

Yhteisrekisterinpitoa tapahtuu, kun organisaatiot tekevät yhteistyötä toiminnoissa, joihin liittyy henkilötietoja – esimerkiksi yhteisissä markkinointikampanjoissa, jaetuissa alustoissa, tutkimuskumppanuuksissa tai integroiduissa palveluissa, joissa molemmat osapuolet vaikuttavat siihen, mitä tietoja kerätään ja miten niitä käytetään.

Mitä käyttöönotto-ohjeissa sanotaan?

Liitteessä B (kohta B.1.2.8) annetaan seuraavat ohjeet:

  • Sopikaa vastuualueista — Yhteisrekisterinpitäjien on sovittava siitä, mikä organisaatio on vastuussa kustakin henkilötietojen käsittelystä johtuvasta velvoitteesta, erityisesti seuraavien osalta:
  • Aseta järjestely PII-päähenkilöiden saataville — Yhteisrekisterinpitojärjestelyn ydinsisältö olisi asetettava niiden henkilöiden saataville, joiden henkilötietoja käsitellään, jotta he tietävät, mihin organisaatioon ottaa yhteyttä mistäkin asiasta.
  • Dokumentoi järjestely muodollisesti — Vaikka määräysvallassa ei käytetä sanaa ”sopimus”, vaatimus roolien ja vastuiden ”määrittämisestä” edellyttää osapuolten välistä virallista, dokumentoitua sopimusta.

Ohjeissa tunnustetaan, että käytännössä yksi yhteisrekisterinpitäjä voi ottaa johtoaseman tietyissä velvoitteissa (kuten olla ensisijainen yhteyshenkilö rekisteröityjen pyyntöjä varten), mutta tämä ei vapauta muita rekisterinpitäjiä heidän vastuistaan.

Miten tämä vastaa GDPR:ää?

Kontrolli A.1.2.8 liittyy suoraan kohtaan GDPR Artikla 26:

  • Article 26 (1) — Jos kaksi tai useampi rekisterinpitäjä määrittää yhdessä käsittelyn tarkoitukset ja keinot, heidän on läpinäkyvällä tavalla määritettävä vastuualueensa direktiivin mukaisten velvoitteiden noudattamiseksi. GDPR, erityisesti rekisteröityjen oikeuksien käyttämisen ja heidän velvollisuuksiensa osalta antaa tietoja
  • Article 26 (2) — Järjestelyn on asianmukaisesti otettava huomioon yhteisrekisterinpitäjien roolit ja suhteet rekisteröityihin nähden. Järjestelyn ydin on asetettava rekisteröidyn saataville.
  • Article 26 (3) — Järjestelyn ehdoista riippumatta rekisteröidyt voivat käyttää yleisen tietosuoja-asetuksen mukaisia ​​oikeuksiaan kaikkia rekisterinpitäjiä kohtaan ja heitä vastaan. Tämä on ratkaisevan tärkeää – sisäiset sopimukset eivät voi rajoittaa henkilötietojen käsittelyyn liittyvien päämiesten oikeuksia.

Artikla 26(3) on erityisen tärkeä: vaikka yhteisrekisterinpitäjät sopisivatkin, että organisaatio A käsittelee kaikki rekisteröityjen pyynnöt, henkilö voi silti osoittaa pyyntönsä organisaatiolle B, jonka on joko käsiteltävä se tai toimitettava se asianmukaisesti eteenpäin. Molemmat organisaatiot pysyvät vastuussa.

Miten tämä liittyy ISO 29100 -standardin mukaisiin yksityisyyden suojaa koskeviin periaatteisiin?

Tämä ohjaus tukee Vastuullisuus periaate ISO 29100 -standardissa. Vastuullisuus edellyttää, että henkilötietojen käsittelystä vastaavat selkeästi tunnistetut osapuolet, jotka voidaan pitää vastuullisina toimistaan. Yhteisvastuu luo tilanteen, jossa vastuu on jaettava nimenomaisesti – ilman virallista sopimusta voi olla epäselvää, mikä organisaatio on vastuussa mistäkin velvoitteesta, mikä heikentää koko vastuullisuuskehystä.



ISMS.onlinen tehokas kojelauta

Aloita ilmainen kokeilu

Haluatko tutkia?

Rekisteröidy ilmaiseen kokeilujaksoon tänään ja pääset käyttämään kaikkia ISMS.onlinen tarjoamia yhteensopivuusominaisuuksia

Aloita


Mitä todisteita tilintarkastajat odottavat?

Arvioidessaan kohdan A.1.2.8 vaatimustenmukaisuutta tilintarkastajat etsivät tyypillisesti seuraavia seikkoja:

  • Yhteisrekisterinpitäjärekisteri — Dokumentoitu luettelo kaikista yhteisrekisterinpitojärjestelyistä, joissa organisaatio on osapuolena, sekä kunkin yhteisrekisterinpitäjän henkilöllisyys ja katetut käsittelytoimet
  • Yhteisrekisterinpitäjäsopimukset — Allekirjoitetut kirjalliset sopimukset, joissa esitetään osapuolten välinen vastuunjako
  • Vastuumatriisi — Selkeä selvitys siitä, mikä rekisterinpitäjä hoitaa mitäkin velvoitetta (rekisteröidyn oikeudet, tietoturvaloukkauksesta ilmoittaminen, turvallisuus, läpinäkyvyys)
  • PII-pääasiallisen tiedonanto — Todiste siitä, että yhteisrekisterijärjestelyn ydin on tiedotettu henkilötietojen käsittelystä vastaaville henkilöille, tyypillisesti tietosuojailmoitusten tai erillisten tietosivujen kautta
  • Yhteyspisteen nimeäminen — Dokumentoitu yksi yhteyspiste henkilötietojen vastuuhenkilöille, vaikka vastuut olisi jaettu rekisterinpitäjien kesken
  • Toimintamenettelyt — Prosessit sellaisten tilanteiden käsittelemiseksi, joissa henkilötietojen käsittelijä ottaa yhteyttä ”väärään” rekisterinpitäjään (esim. edelleenlähetysmenettelyt, vasteaikasopimukset)

Mitä asiaan liittyviä ohjausobjekteja on?

Valvonta: Yhteys
A.1.2.7 Sopimukset henkilötietojen käsittelijöiden kanssa Sopimusvaatimukset vaihtelevat riippuen siitä, onko kyseessä yhteisrekisterinpitäjän vai rekisterinpitäjän ja käsittelijän välinen suhde.
A.1.3.3 Tietoja henkilötietojen käsittelijöille Yhteisrekisterinpitäjien on sovittava, kuka toimittaa mitä tietoja ja miten
A.1.3.2 Velvollisuudet henkilötietojen vakuutuksenottajia kohtaan Vastuu rekisteröityjen pyyntöjen käsittelystä on jaettava yhteisrekisterinpitäjien kesken
A.1.2.6 Yksityisyydensuojaa koskevien vaikutusten arviointi Yhteiskäsittelyjärjestelyt voivat johtaa PIA-vaatimuksiin
A.1.5.2 Perusteet henkilötietojen siirrolle lainkäyttöalueiden välillä Henkilötietojen jakamista yhteisrekisterinpitäjien välillä on säänneltävä
A.1.2.9 Henkilötietojen käsittelyä koskevat tiedot Käsittelytietojen tulisi yksilöidä yhteisrekisterijärjestelyt

Mikä muuttui standardista ISO 27701:2019?

Vaiheittaisen lähestymistavan löydät kohdasta Siirtymäkausi vuodesta 2019 vuoteen 2025.

Vuoden 2019 painoksessa tämä vaatimus esiintyi lausekkeena 7.2.7 (yhteisrekisterinpitäjä henkilötietojen osalta). Ydinvaatimus on pysynyt muuttumattomana – yhteisrekisterinpitäjien on sovittava vastuualueistaan. Vuoden 2025 uudelleenjärjestely muotoon Taulukko A.1 selkeyttää valvontalausunnon (A.1.2.8) ja ohjeistuksen (B.1.2.8) välistä eroa. Painopiste järjestelyn saatavuudessa PII-päähenkilöille on säilytetty, mikä heijastaa sekä ISO 27701 -standardin että GDPR:n perustavanlaatuisia avoimuusvaatimuksia. Katso Liitteen F vastaavuustaulukko koko kartoitusta varten.



ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa

ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Varaa esittelysi


Miksi valita ISMS.online yhteisrekisterinpitäjäjärjestelyjen hallintaa varten?

ISMS.online auttaa sinua virallistamaan, seuraamaan ja operatiiviseen toimintaan yhteisrekisterinpidon selkeästi:

  • Yhteisrekisterinpitäjärekisteri — Dokumentoi jokainen yhteisrekisterinpitoa koskeva järjestely asianosaisten osapuolten kanssa, katetut käsittelytoimet ja sopimuksen tila
  • Vastuunjakomallit — Valmiiksi rakennetut vastuumatriisit, jotka kattavat rekisteröityjen oikeudet, tietomurroista ilmoittamisen, turvallisuuden ja läpinäkyvyyden, joten mikään ei jää huomaamatta
  • Sopimusten hallinta — Säilytä, versioi ja tarkista yhteisrekisterinpitäjien sopimukset muiden vaatimustenmukaisuusasiakirjojen ohella
  • Linkitetyt tietosuojailmoitukset — Yhdistä yhteisrekisterinpitojärjestelyt tietosuojailmoituksiin, jotka tiedottavat henkilötietojen käsittelijöille, varmistaen läpinäkyvyysvaatimusten täyttymisen
  • Organisaatioiden väliset työnkulut — Määritellä ja seurata menettelyjä rekisteröityjen pyyntöjen välittämiseksi yhteisrekisterinpitäjien välillä palvelutasosopimuksen seurannan avulla
  • Auditointivalmiit todisteet — Laadi vaatimustenmukaisuutta koskevia todistepaketteja, jotka osoittavat vastuiden jaon ja niiden operatiivisen toteutuksen

UKK

Miten määritämme, onko kyseessä yhteisrekisterinpitäjän suhde vai rekisterinpitäjän ja käsittelijän suhde?

Keskeinen kysymys on, kuka määrittää tarkoitukset ja keinot käsittelystä. Jos molemmat organisaatiot vaikuttavat siihen, miksi ja miten henkilötietoja käsitellään, kyseessä on yhteisrekisterinpitäjä. Jos toinen organisaatio määrittää käsittelytarkoituksen ja toinen vain toimii ohjeiden mukaisesti, kyseessä on rekisterinpitäjän ja käsittelijän välinen suhde. Käytännössä monet suhteet sijoittuvat harmaalle alueelle. Harkitse: onko toisella osapuolella omat intressinsä käsittelyn tulokseen? Päättääkö se, mitä tietoja kerätään tai miten niitä käytetään? Jos kyllä, se on todennäköisesti yhteisrekisterinpitäjä eikä käsittelijä.

Voidaanko toista yhteisrekisterinpitäjää pitää vastuussa toisen rekisterinpitäjän laiminlyönneistä?

GDPR:n artiklan 26(3) nojalla henkilötietojen käsittelystä vastaavat rekisterinpitäjät voivat käyttää oikeuksiaan mitä tahansa yhteisrekisterinpitäjää vastaan ​​sisäisistä sopimuksista riippumatta. Tämä tarkoittaa, että jos yksi rekisterinpitäjä ei käsittele rekisteröidyn pyyntöä, toinen voidaan pitää vastuullisena. Valvontaviranomaiset voivat myös ryhtyä täytäntöönpanotoimiin mitä tahansa tai kaikkia yhteisrekisterinpitäjiä vastaan. Sisäisillä sopimuksilla voidaan jakaa taloudellista vastuuta osapuolten kesken, mutta ne eivät voi rajoittaa henkilötietojen käsittelystä vastaavien oikeuksia tai sääntelyviranomaisten valtuuksia.

Mitä meidän tulisi kertoa henkilötietojen suojan vastuuhenkilöille yhteisrekisterinpitäjistä?

Järjestelyn ydin on asetettava henkilötietojen käsittelystä vastaavien rekisterinpitäjien saataville. Tämän tulisi sisältää vähintään kunkin yhteisrekisterinpitäjän henkilöllisyys, kunkin rekisterinpitäjän vastuulla olevat käsittelytavat ja se, miten henkilötietojen käsittelystä vastaavat rekisterinpitäjät voivat käyttää oikeuksiaan (mukaan lukien yhteystiedot). Nämä tiedot annetaan tyypillisesti tietosuojailmoituksessa. Sen ei tarvitse paljastaa kaikkia sisäisen sopimuksen yksityiskohtia – vain sen verran, että yksilöt ymmärtävät, kuka on vastuussa ja miten he voivat ottaa yhteyttä.

Katso tarkastusevidenssivaatimusten opas mitä tilintarkastajat odottavat tätä kontrollia arvioidessaan.

Max Edwards

Max toimii osana ISMS.online-markkinointitiimiä ja varmistaa, että verkkosivustomme päivitetään hyödyllisellä sisällöllä ja tiedolla kaikesta ISO 27001, 27002 ja vaatimustenmukaisuudesta.

Tee virtuaalikierros

Aloita ilmainen kahden minuutin interaktiivinen demosi nyt ja katso
ISMS.online toiminnassa!

Kokeile nyt
alustan kojelauta täysin uudenveroinen

Olemme alamme johtaja

4/5 tähteä
Käyttäjät rakastavat meitä
Johtaja - kevät 2026
Huippusuorittaja - kevät 2026 Pienyritykset Isossa-Britanniassa
Aluejohtaja - kevät 2026 EU
Aluejohtaja - kevät 2026 EMEA
Aluejohtaja - kevät 2026, Iso-Britannia
Huippusuorittaja - kevät 2026, keskikokoinen markkina-alue EMEA-alueella

"ISMS.Online, erinomainen työkalu sääntelyn noudattamiseen"

—Jim M.

"Tekee ulkoisista tarkastuksista helppoa ja yhdistää kaikki ISMS:si osat saumattomasti yhteen"

—Karen C.

"Innovatiivinen ratkaisu ISO- ja muiden akkreditointien hallintaan"

—Ben H.