Hyppää sisältöön
ISMS.online

ISO 27701:2025 -standardin mukainen valvonta A.1.3.10: Pyyntöjen käsittely

Kohdan A.1.3.10 mukainen valvonta edellyttää organisaatioilta, että ne määrittelevät ja dokumentoivat käytännöt ja menettelyt henkilötietojen käsittelijöiden oikeutettujen pyyntöjen käsittelyä ja niihin vastaamista varten. Tämä on toiminnallinen selkäranka, joka sitoo yhteen kaikki muut kohdan A.1.3 mukaiset valvontatoimet.

kirjailija
Max Edwards
Päivitetty maaliskuu 27, 2026
4/5 tähteä

Mitä kohta A.1.3.10 edellyttää?

Organisaation on määriteltävä ja dokumentoitava käytännöt ja menettelytavat henkilötietojen käsittelijöiden esittämien oikeutettujen pyyntöjen käsittelyä ja niihin vastaamista varten.

Tämä ohjaus sijaitsee Velvollisuudet henkilövakuutuksen haltijaa kohtaan tavoite (A.1.3). Kaikkien yksilön oikeuksien valvonnan perustana on operatiivinen valvonta: suostumuksen peruuttaminen, vastalause, pääsy, oikaisu ja poistaminen, kopioiden tarjoaminen ja kolmannen osapuolen ilmoitusIlman hyvin määriteltyä pyyntöjen käsittelykehystä yksilön oikeuksista tulee pikemminkin teoreettisia kuin käytännöllisiä.

Mitä käyttöönotto-ohjeissa sanotaan?

Liite B (kohta B.1.3.10) tarjoaa ohjeita kattavan pyyntöjen käsittelykehyksen rakentamiseen:

  • Vastausajat — Määrittele selkeät määräajat pyyntöjen vastaanottamiselle ja käsittelylle sovellettavien lakisääteisten vaatimusten mukaisesti (esim. yksi kuukausi alle 12 kuukauden kuluessa pyynnön vastaanottamisesta). GDPR, mahdollista kahden kuukauden jatkoaikaa monimutkaisten pyyntöjen tapauksessa)
  • Varmennusmenettelyt — Laadi oikeasuhteiset menettelyt pyynnön esittäjän henkilöllisyyden varmentamiseksi ennen pyynnön käsittelyä
  • Eskalaatiopolut — Määrittele, kuka käsittelee rutiinipyyntöjä, milloin ja miten pyynnöt eskaloidaan (esim. monimutkaiset pyynnöt, arkaluonteisia tietoja sisältävät pyynnöt, pyynnöt, joihin voidaan soveltaa poikkeuksia)
  • Pyyntöjen ja tulosten kirjaaminen — Pidä kattavaa lokia kaikista vastaanotetuista pyynnöistä, mukaan lukien päivämäärät, tyypit, päätökset, valmistumispäivät ja mahdolliset sovelletut poikkeukset
  • Itsepalveluvaihtoehdot — Harkitaan itsepalvelumekanismien (verkkoportaalien, etuuskeskusten) tarjoamista, joiden avulla PII-pääasialliset voivat käyttää tiettyjä oikeuksia ilman virallista pyyntöä
  • Henkilöstökoulutus — Kouluttaa kaikki asiaankuuluvat työntekijät pyyntöjen käsittelymenettelyissä, mukaan lukien pätevän pyynnön tunnistaminen, henkilöllisyyden varmentaminen ja pyyntöjen hallintajärjestelmän käyttö
  • Katso myös A.1.3.3: Henkilötietojen määrittäminen rekisterinpitäjille asiaankuuluvia vaatimuksia varten
  • Katso myös A.1.3.4: Tietojen toimittaminen henkilötietojen käsittelijöille asiaankuuluvia vaatimuksia varten

Ohjeistuksessa korostetaan, että pyyntöjen käsittelyn ei tulisi olla ad hoc -prosessi. Dokumentoitu ja toistettavissa oleva menettely varmistaa johdonmukaisuuden, vähentää määräaikojen ylittymisen riskiä ja tarjoaa tilintarkastajien odottaman evidenssipolun.

Miten tämä vastaa GDPR:ää?

Kontrollin A.1.3.10 kohdennus GDPR 12 artiklan 3–6 kohta ja 15 artiklan 1 kohdan a alakohta:

  • Article 12 (3) — Rekisterinpitäjän on ilmoitettava pyynnön johdosta toteutetuista toimista ilman aiheetonta viivytystä ja joka tapauksessa kuukauden kuluessa pyynnön vastaanottamisesta. Määräaikaa voidaan tarvittaessa pidentää kahdella kuukaudella, jolloin rekisterinpitäjän on ilmoitettava tästä rekisteröidylle kuukauden kuluessa.
  • Article 12 (4) — Jos rekisterinpitäjä ei ryhdy pyyntöön, sen on viipymättä ja viimeistään kuukauden kuluessa ilmoitettava rekisteröidylle perustelut tälle ja oikeudesta tehdä valitus.
  • Article 12 (5) — Tiedot ja toteutetut toimenpiteet on toimitettava maksutta. Jos pyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia, rekisterinpitäjä voi periä kohtuullisen maksun tai kieltäytyä toimimasta.
  • Article 12 (6) — Jos rekisterinpitäjällä on perusteltu syy epäillä pyynnön esittäjän henkilöllisyyttä, se voi pyytää lisätietoja
  • 15 artiklan 1 kohdan a alakohta — Tarkat tiedot, jotka on annettava vastauksena tiedonsaantipyyntöön

GDPR:n artikla 12 on menettelykehys, joka säätelee kaikkien rekisteröityjen oikeuksien käyttämistä. Tämän oikeuden saaminen on olennaista vaatimustenmukaisen toiminnan kannalta.

Miten tämä liittyy ISO 29100 -standardin mukaisiin yksityisyyden suojaa koskeviin periaatteisiin?

Tämä ohjausobjekti tukee kahta ISO 29100 -standardin mukaista tietosuojaperiaatetta:

  • Yksilöllinen osallistuminen ja pääsy — Tehokas pyyntöjen käsittely on mekanismi, jonka kautta yksilöt käyttävät osallistumisoikeuksiaan
  • Vastuullisuus — Dokumentoidut menettelyt, lokikirjaus ja koulutus osoittavat, että organisaatio suhtautuu velvoitteisiinsa vakavasti ja pystyy osoittamaan niiden noudattamisen


ISMS.onlinen tehokas kojelauta

Aloita helposti henkilökohtaisella tuote-esittelyllä

Yksi perehdytysasiantuntijoistamme opastaa sinua alustamme läpi ja auttaa sinua alkuun luottavaisin mielin.

Varaa esittelysi


Mitä todisteita tilintarkastajat odottavat?

Arvioidessaan kohdan A.1.3.10 vaatimustenmukaisuutta tilintarkastajat etsivät tyypillisesti seuraavia seikkoja:

  • Pyyntöjen käsittelykäytäntö — Kattava ja dokumentoitu käytäntö, joka kattaa kaikki pyyntötyypit, aikataulut, roolit, eskalointikriteerit ja poikkeukset
  • Vakiotoimintamenettelyt — Vaiheittaiset menettelyt kullekin pyyntötyypille (tietojen käyttöoikeus, oikaisu, poistaminen, siirrettävyys, vastustaminen, suostumuksen peruuttaminen)
  • Pyydä rekisteriä — Ylläpidetty loki kaikista pyynnöistä, jotka sisältävät päivämäärät, tyypit, nimetyt käsittelijät, tilan, valmistumispäivämäärän ja tuloksen
  • Suorituskykymittarit — Tiedot, jotka osoittavat keskimääräiset vastausajat, määräaikaan mennessä valmistumisasteen ja mahdolliset aikataulujen ylitykset, joihin sisältyy perussyyanalyysi
  • Henkilöllisyyden varmennusmenettelyt — Dokumentoidut ja oikeasuhteiset varmennusvaiheet kullekin kanavalle, jonka kautta pyynnöt vastaanotetaan
  • Harjoittelukirjat — Todiste siitä, että pyyntöjä käsittelevä henkilöstö on koulutettu ja että koulutusta uusitaan säännöllisesti
  • Vastauspohjat — Vakiomuotoiset mallit kuittaukselle, täyttämiselle, osittaiselle täyttämiselle ja kieltäytymiselle, mikä varmistaa johdonmukaisen ja oikeudellisesti pätevän viestinnän

Mitä asiaan liittyviä ohjausobjekteja on?

Valvonta: Yhteys
A.1.3.2 Velvollisuudet henkilövakuutuksen haltijaa kohtaan Määrittelee oikeudet; A.1.3.10 tarjoaa operatiivisen kehyksen niiden täyttämiseksi
A.1.3.7 Tietojen saaminen, korjaaminen tai poistaminen Yleisimmät pyyntötyypit, joita käsittelykehyksen on tuettava
A.1.3.9 Käsiteltyjen henkilötietojen kopion toimittaminen Kopiointi- ja siirrettävyyspyyntöjä käsitellään tämän viitekehyksen puitteissa.
A.1.3.5 Suostumuksen muuttaminen tai peruuttaminen Suostumuksen peruutuspyyntöjä käsitellään tämän kehyksen puitteissa.
A.1.3.6 Vastusta henkilötietojen käsittelyä Vastaväitepyyntöjä käsitellään tämän kehyksen puitteissa.
A.1.3.8 Velvollisuus ilmoittaa kolmansille osapuolille Kolmannen osapuolen ilmoitus on pyyntöjen käsittelyn työnkulun loppuvaihe.

Mikä muuttui standardista ISO 27701:2019?

Vaiheittaisen lähestymistavan löydät kohdasta Siirtymäkausi vuodesta 2019 vuoteen 2025.

Vuoden 2019 painoksessa tämä vaatimus oli osa kohtaa 7.3.9 (Pyyntöjen käsittely). Vuoden 2025 painoksessa tälle on annettu oma kontrollinumero (A.1.3.10) ja siihen on omat ohjeet kohdassa B.1.3.10. Ydinvaatimukset ovat sisällöltään samat, mutta vuoden 2025 painoksessa painotetaan enemmän itsepalveluvaihtoehtoja ja henkilöstön koulutusta osana tehokasta käsittelykehystä. Jäsennelty muoto helpottaa myös tämän kontrollin itsenäistä auditointia. Katso Liitteen F vastaavuustaulukko koko kartoitusta varten.



kiipeily

Vapauta itsesi laskentataulukoiden vuorten vallasta

Ota käyttöön, laajenna ja skaalaa vaatimustenmukaisuus ilman sotkua. Io antaa sinulle joustavuutta ja luottamusta kasvaa turvallisesti.

Varaa esittelysi


Miksi valita ISMS.online rekisteröidyn pyyntöjen käsittelyä varten?

ISMS.online tarjoaa täydellisen pyyntöjenhallintajärjestelmän, joka on rakennettu yksityisyyden suojaa noudattaen:

  • Keskitetty pyyntöportaali — Yksi vastaanottopiste kaikille PII-pääasiallisille pyynnöille, joissa on automaattinen luokittelu pyyntötyypin mukaan ja osoite oikealle tiimin jäsenelle
  • Määräaikojen hallinta — Automaattinen määräaikojen laskenta sovellettavan lainkäyttöalueen perusteella, ja lähetetään hälytyksiä määräaikojen lähestyessä ja myöhästymisilmoituksia, jos ne ylittyvät.
  • Henkilöllisyyden varmentamisen työnkulku — Sisäänrakennetut varmennusvaiheet, jotka voidaan konfiguroida pyyntötyypin ja riskitason mukaan, varmistaen oikeasuhtaiset tarkastukset ilman kitkaa
  • Kokonaisvaltainen tarkastusketju — Jokainen pyynnön johdosta tehty toimenpide kirjataan aikaleimoilla alkuperäisestä vastaanotosta lopulliseen vastaukseen asti, mikä luo tilintarkastajien tarvitseman näyttöpohjan.
  • Suorituskyvyn kojelauta — Reaaliaikaiset mittarit pyyntöjen määristä, vastausajoista, valmistumisasteista ja trendeistä, jotka auttavat tunnistamaan toiminnalliset pullonkaulat ja osoittamaan jatkuvaa parantamista
  • Itsepalveluintegraatio — Tarjoa henkilötietojen vastuuhenkilöille itsepalveluvaihtoehtoja yleisiin pyyntöihin (suostumusten hallinta, asetusten päivitykset), mikä vähentää tiimisi käsittelemien virallisten pyyntöjen määrää.

UKK

Mikä tekee pyynnöstä "ilmeisen perusteettoman tai kohtuuttoman"?

GDPR:n mukaan pyyntö voi olla ilmeisen perusteeton, jos henkilöllä ei selvästikään ole aikomusta käyttää oikeuksiaan (esimerkiksi pyynnön esittäminen pelkästään häiriön aiheuttamiseksi). Pyyntö voi olla kohtuuton, jos se on toistuva, esimerkiksi jos samoja tietoja pyydetään useita kertoja lyhyen ajan sisällä ilman, että olosuhteet muuttuvat. Rekisterinpitäjän on osoitettava, että pyyntö on perusteeton tai kohtuuton. Tämä kynnys on tarkoituksella korkea, ja useimmat aidot pyynnöt tulisi täyttää.

Miten suullisiin tai epävirallisiin pyyntöihin tulisi suhtautua?

Pätevän rekisteröidyn pyynnön ei tarvitse olla kirjallinen eikä siinä tarvitse käyttää tiettyä kieltä. Henkilökuntaa tulisi kouluttaa tunnistamaan, milloin suullinen tiedustelu tai sähköpostiviesti on pätevä pyyntö. Paras käytäntö on kirjata pyyntö välittömästi seurantajärjestelmään ja noudattaa samaa menettelyä kuin virallisten pyyntöjen kohdalla. Jos henkilöllisyyden varmentaminen on tarpeen, selitä tämä henkilölle ja opasta häntä prosessin läpi. Määräaika alkaa pyynnön vastaanottopäivästä, ei henkilöllisyyden varmentamisesta.

Mitä sinun pitäisi tehdä, kun pyyntöön liittyy useita oikeuksia?

Yksittäinen henkilötietojen vastuuhenkilön lähettämä viestintä voi sisältää useita pyyntöjä (esimerkiksi pääsy tietoihin ja tiettyjen tietueiden poistaminen). Jokainen elementti tulee kirjata ja seurata erikseen, koska niihin voi soveltua eri aikarajoja, poikkeuksia tai menettelyjä. Vastaus voidaan kuitenkin yhdistää yhdeksi viestiksi henkilölle. Jos yksi elementti on riippuvainen toisesta (esimerkiksi pääsyn tarjoaminen ennen tietojen poistamista, jotta henkilö voi tarkistaa tiedot), hallitse järjestystä vastaavasti.

Yhtiömme tarkastusevidenssivaatimusten opas yksityiskohdat, joita dokumentaation tarkastajat odottavat rekisteröityjen oikeuksien valvonnalta.

Näitä velvoitteita hallinnoivien tietosuojavastaavien tulisi lukea opas tietosuojavastaaville saadaksesi täydellisen yleiskatsauksen.

Max Edwards

Max toimii osana ISMS.online-markkinointitiimiä ja varmistaa, että verkkosivustomme päivitetään hyödyllisellä sisällöllä ja tiedolla kaikesta ISO 27001, 27002 ja vaatimustenmukaisuudesta.

Tee virtuaalikierros

Aloita ilmainen kahden minuutin interaktiivinen demosi nyt ja katso
ISMS.online toiminnassa!

Kokeile nyt
alustan kojelauta täysin uudenveroinen

Olemme alamme johtaja

4/5 tähteä
Käyttäjät rakastavat meitä
Johtaja - kevät 2026
Huippusuorittaja - kevät 2026 Pienyritykset Isossa-Britanniassa
Aluejohtaja - kevät 2026 EU
Aluejohtaja - kevät 2026 EMEA
Aluejohtaja - kevät 2026, Iso-Britannia
Huippusuorittaja - kevät 2026, keskikokoinen markkina-alue EMEA-alueella

"ISMS.Online, erinomainen työkalu sääntelyn noudattamiseen"

—Jim M.

"Tekee ulkoisista tarkastuksista helppoa ja yhdistää kaikki ISMS:si osat saumattomasti yhteen"

—Karen C.

"Innovatiivinen ratkaisu ISO- ja muiden akkreditointien hallintaan"

—Ben H.