Hyppää sisältöön
ISMS.online

ISO 27701:2025 Ohjaus A.1.3.11: Automaattinen päätöksenteko

Kontroli A.1.3.11 edellyttää organisaatioilta, että ne tunnistavat ja käsittelevät yksinomaan henkilötietojen automaattiseen käsittelyyn perustuvista päätöksistä johtuvat velvoitteet. Tämä on yksi ISO 27701:2025 -standardin tarkimmista kontrolleista, ja se heijastaa kasvavaa sääntelyn painopistettä algoritmien vastuullisuuteen.

kirjailija
Max Edwards
Päivitetty maaliskuu 27, 2026
4/5 tähteä

Mitä kohta A.1.3.11 edellyttää?

Organisaation on tunnistettava henkilötietojen käsittelijöihin kohdistuvat velvoitteet, mukaan lukien lakisääteiset velvoitteet, jotka johtuvat organisaation tekemistä, henkilötietojen käsittelijään liittyvistä päätöksistä, jotka perustuvat yksinomaan henkilötietojen automaattiseen käsittelyyn, ja kyettävä osoittamaan, miten se hoitaa nämä velvoitteet.

Tämä valvonta kuuluu Velvollisuudet henkilövakuutuksen haltijaa kohtaan tavoite (A.1.3), jolla varmistetaan, että organisaatiot tarjoavat asianmukaista läpinäkyvyyttä ja oikeuksia yksilöille, joiden tietoja ne käsittelevät. Automatisoitu päätöksenteko on kasvavan sääntelyn ja yleisön huolenaihe, ja tämä valvonta edellyttää organisaatioilta ennakoivaa päätösten tekopaikkojen tunnistamista ja merkityksellisten suojatoimien toteuttamista.

Mitä käyttöönotto-ohjeissa sanotaan?

Liitteessä B (kohta B.1.3.11) annetaan seuraavat ohjeet:

  • Tunnista automatisoidut päätökset — Määritä, missä päätöksiä tehdään yksinomaan automatisoidun käsittelyn perusteella, ja joilla on oikeusvaikutuksia tai vastaavia merkittäviä vaikutuksia PII-pääasiallisiin tahoihin (esim. luottoluokitus, automatisoitu rekrytointien seulonta, vakuutusten hinnoittelu)
  • Anna merkityksellistä tietoa — Antaa henkilötietojen käsittelijöille merkityksellistä tietoa automatisoituun päätökseen liittyvästä logiikasta, käsittelyn merkityksestä ja yksilölle suunnitelluista seurauksista
  • Toteuta suojatoimet — Ottaa käyttöön toimenpiteitä, kuten oikeus saada pätevän henkilön apua asian käsittelyssä, PII-vastuuhenkilön mahdollisuus ilmaista näkökulmansa ja PII-vastuuhenkilön mahdollisuus riitauttaa päätös
  • Organisaation tulisi dokumentoida, mitkä käsittelytoimet sisältävät yksinomaan automatisoitua päätöksentekoa ja mitä suojatoimia on käytössä kunkin osalta
  • Katso myös A.1.3.2: Velvollisuudet PII-päämiehille asiaankuuluvia vaatimuksia varten
  • Katso myös A.1.3.6: Vastusta henkilötietojen käsittelyä asiaankuuluvia vaatimuksia varten

Painopiste on sen varmistamisessa, että yksilöt eivät ole alttiita kokonaan koneiden tekemille seurauksille ilman muutoksenhakuoikeutta. Tämä on hyvin linjassa avoimuusvelvoitteiden kanssa, jotka koskevat A.1.3.3 ja A.1.3.4.

Miten tämä vastaa GDPR:ää?

Kontrolli A.1.3.11 kohdistuu useisiin GDPR määräykset:

  • 13 artiklan 2 kohdan f alakohta ja 14 artiklan 2 kohdan g alakohta — Vaaditaan organisaatioita tiedottamaan rekisteröidyille automatisoidun päätöksenteon, mukaan lukien profiloinnin, olemassaolosta ja antamaan merkityksellistä tietoa käytetystä logiikasta, merkityksestä ja suunnitelluista seurauksista
  • Article 22 (1) — Antaa rekisteröidyille oikeuden olla joutumatta sellaisen yksinomaan automaattiseen käsittelyyn perustuvan päätöksen kohteeksi, jolla on oikeusvaikutuksia tai joka vaikuttaa heihin vastaavalla tavalla merkittävästi
  • Article 22 (3) — Edellyttää rekisterinpitäjää toteuttamaan asianmukaiset toimenpiteet rekisteröidyn oikeuksien suojaamiseksi, mukaan lukien oikeus ihmisen suorittamaan käsittelyä, oikeus ilmaista näkökulmansa ja riitauttaa päätös

Täydellinen GDPR:n ja ISO 27701 -standardin välinen vastaavuus on lueteltu alla. GDPR-vaatimustenmukaisuusopas.

Miten tämä liittyy ISO 29100 -standardin mukaisiin yksityisyyden suojaa koskeviin periaatteisiin?

Tämä ohjaus tukee ISO 29100 periaate Tarkoituksen oikeutus ja täsmennysAutomatisoidut päätökset on tehtävä alun perin määriteltyjen ja laillisten tarkoitusten puitteissa. Jos automatisoitua käsittelyä käytetään johtopäätösten tekemiseen, organisaation on osoitettava, että tämä käyttö on henkilötietojen käsittelystä vastaaville ilmoitettujen tarkoitusten mukaista ja että asianmukaiset suojatoimet ovat käytössä.



ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa

ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Varaa esittelysi


Mitä todisteita tilintarkastajat odottavat?

Arvioidessaan kohdan A.1.3.11 vaatimustenmukaisuutta tilintarkastajat etsivät tyypillisesti seuraavia seikkoja:

  • Automatisoitu päätöksentekovarasto — Rekisteri kaikista käsittelytoimista, joihin liittyy yksinomaan automatisoitua päätöksentekoa, mukaan lukien tehtyjen päätösten tyypit ja niiden vaikutukset henkilötietojen käsittelijöihin
  • Logiikkadokumentaatio — Mielekkäät kuvaukset päätöksenteossa käytetyistä algoritmeista, malleista tai säännöistä, jotka on kirjoitettu tavalla, jonka myös ei-tekninen henkilö voi ymmärtää
  • Suojamenettelyt — Dokumentoidut prosessit ihmisen toimintaa varten, mukaan lukien kenellä on valtuudet tarkastella automatisoituja päätöksiä, miten henkilötietojen käsittelystä vastaavat henkilöt voivat pyytää tarkistusta ja vastausajat
  • Tietosuojailmoitukset — Todiste siitä, että henkilötietojen käsittelystä vastaaville tahoille ilmoitetaan automatisoidusta päätöksenteosta ennen sen toteuttamista, mukaan lukien tietosuojailmoitusten tai erityisten ilmoitusten kautta
  • Haasteiden tiedot — Lokitiedot kaikista ihmisen suorittamasta tarkastuksesta, tuloksista ja organisaation vastauksista
  • Vaikutustenarvioinnit — Yksityisyyden suojaan liittyvät vaikutustenarvioinnit tai tietosuojaan liittyvät vaikutustenarvioinnit, jotka kattavat automatisoidut päätöksentekojärjestelmät

Mitä asiaan liittyviä ohjausobjekteja on?

Valvonta: Yhteys
A.1.3.3 Henkilötietojen määrittäminen päämiehille Läpinäkyvyysvaatimukset, joihin kuuluu yksilöiden tiedottaminen automatisoidusta päätöksenteosta
A.1.3.4 Tietojen toimittaminen henkilötietojen suojauspäälliköille Automatisoitua päätöksentekoa koskevien tietojen välittämiseen tarkoitettu mekanismi
A.1.2.2 Tarkoituksen tunnistaminen ja dokumentointi Automatisoidun päätöksenteon on tapahduttava dokumentoitujen tarkoitusten puitteissa
A.1.2.3 Oikeudellisen perustan määrittäminen Automatisoituun käsittelyyn vaaditaan pätevä laillinen peruste
A.1.4.3 Raja-arvojen käsittely Automatisoidun käsittelyn on oltava oikeasuhteista tunnistettuun tarkoitukseen nähden
A.1.4.4 Tarkkuus ja laatu Syöttötietojen tarkkuus on kriittistä oikeudenmukaisten automatisoitujen päätösten kannalta

Mikä muuttui standardista ISO 27701:2019?

Vaiheittaisen lähestymistavan löydät kohdasta Siirtymäkausi vuodesta 2019 vuoteen 2025.

Vuoden 2019 painoksessa tätä vaatimusta käsiteltiin kohdassa 7.3.10 (automatisoitu päätöksenteko). Vuoden 2025 painoksessa automatisoitu päätöksenteko on erotettu omaksi erilliseksi valvontamekanismikseen (A.1.3.11), mikä heijastaa kasvavaa sääntelyn painotusta algoritmien läpinäkyvyyteen ja vastuuvelvollisuuteen. Vaatimuksen sisältö on samankaltainen, mutta ihmisen puuttumisoikeuksien, mielipiteiden ilmaisumahdollisuuden ja päätösten riitauttamismahdollisuuden nimenomainen mainitseminen on näkyvämpää. Katso Liitteen F vastaavuustaulukko koko kartoitusta varten.



Löydä vaatimustenmukaisuusvarmuutesi ISMS.onlinen avulla

Aloita helposti henkilökohtaisella tuote-esittelyllä

Yksi perehdytysasiantuntijoistamme opastaa sinua alustamme läpi ja auttaa sinua alkuun luottavaisin mielin.

Varaa esittelysi


Miksi valita ISMS.online automatisoidun päätöksenteon vaatimustenmukaisuuden hallintaan?

ISMS.online tarjoaa työkalut, joita tarvitset automatisoidun päätöksenteon hallintaan yksityisyyden hallintajärjestelmässäsi:

  • Automatisoitu päätösrekisteri — Luetteloi jokainen automatisoitu päätöksentekoprosessi, siinä käytetyt tiedot, sen tuottamat päätökset ja käytössä olevat suojatoimet
  • Vaikuttavuuden arvioinnin työnkulut — Suorita automatisoitujen päätöksentekojärjestelmien tietosuojavaikutusten arviointeja sisäänrakennettujen mallien ja hyväksyntätyönkulkujen avulla
  • Ihmisen suorittamien tarkistusten seuranta — Kirjaa ja seuraa ihmisen toimia koskevia pyyntöjä varmistaen, että vastaukset ovat oikea-aikaisia ​​ja dokumentoituja
  • Politiikan hallinta — Ylläpidä versiohallittuja algoritmisen vastuuvelvollisuuden käytäntöjä, jotka on linkitetty käsittelytietoihisi
  • Ristikontrollien yhdistäminen — Katso yhdestä näkymästä, miten automatisoidun päätöksenteon vaatimukset liittyvät läpinäkyvyyteen, lailliseen perusteeseen ja tietojen laadun valvontaan
  • Auditointivalmiit todistusaineistopaketit — Vie täydellinen dokumentaatio automatisoidusta päätöksenteostasi sertifiointitarkastuksia varten

UKK

Koskeeko tämä valvonta kaikkea automatisoitua käsittelyä?

Ei.1.3.11 koskee erityisesti päätöksiä, jotka perustuvat Yksin automatisoituun käsittelyyn, jolla on oikeusvaikutuksia tai vastaavanlaisia ​​merkittäviä vaikutuksia henkilötietojen haltijaan. Automatisoitu käsittely, joka tukee päätöstä, mutta ei yksinomaan määrää sitä (esimerkiksi järjestelmä, joka merkitsee hakemukset ihmisen tarkastettavaksi), kuuluu harvemmin soveltamisalaan, vaikka avoimuusvelvoitteet ovat edelleen voimassa.

Mitä pidetään "samankaltaisen merkittävänä vaikutuksena"?

Oikeudellisten vaikutusten (kuten luottohakemuksen hylkäämisen) lisäksi yhtä merkittäviä vaikutuksia ovat päätökset, jotka vaikuttavat olennaisesti jonkun olosuhteisiin, käyttäytymiseen tai valintoihin. Esimerkkejä ovat työhakemuksen automaattinen hylkääminen, vakuutusmaksujen laskeminen tai palvelujen käytön epääminen. Raja-arvo on se, onko päätöksellä merkityksellinen vaikutus yksilön elämään.

Miten organisaatioiden tulisi selittää algoritmien logiikkaa yksilöille?

Standardi edellyttää "merkityksellistä tietoa käytetystä logiikasta" algoritmin täydellisen teknisen selvityksen sijaan. Käytännössä tämä tarkoittaa sen selittämistä, mitä tietoja käytetään, mitä yleisiä tekijöitä otetaan huomioon, miten ne vaikuttavat lopputulokseen ja mitkä ovat mahdolliset seuraukset. Selityksen tulee olla selkeällä kielellä, jota PII-vastuuhenkilö voi kohtuudella ymmärtää.

Yhtiömme tarkastusevidenssivaatimusten opas kattaa dokumentaation, jota tilintarkastajat odottavat automatisoiduilta päätöksentekokontrolleilta.

Tekoälyjärjestelmiä käyttöön ottavien organisaatioiden osalta katso kattavat Tekoälyn yksityisyyden hallinta opas, joka käsittelee ISO 27701:2025 -standardin ja tekoälyriskin yhtymäkohtia.

Automatisoitua käsittelyä valvovien tietosuojavastaavien tulisi lukea opas tietosuojavastaaville.

Max Edwards

Max toimii osana ISMS.online-markkinointitiimiä ja varmistaa, että verkkosivustomme päivitetään hyödyllisellä sisällöllä ja tiedolla kaikesta ISO 27001, 27002 ja vaatimustenmukaisuudesta.

Tee virtuaalikierros

Aloita ilmainen kahden minuutin interaktiivinen demosi nyt ja katso
ISMS.online toiminnassa!

Kokeile nyt
alustan kojelauta täysin uudenveroinen

Olemme alamme johtaja

4/5 tähteä
Käyttäjät rakastavat meitä
Johtaja - kevät 2026
Huippusuorittaja - kevät 2026 Pienyritykset Isossa-Britanniassa
Aluejohtaja - kevät 2026 EU
Aluejohtaja - kevät 2026 EMEA
Aluejohtaja - kevät 2026, Iso-Britannia
Huippusuorittaja - kevät 2026, keskikokoinen markkina-alue EMEA-alueella

"ISMS.Online, erinomainen työkalu sääntelyn noudattamiseen"

—Jim M.

"Tekee ulkoisista tarkastuksista helppoa ja yhdistää kaikki ISMS:si osat saumattomasti yhteen"

—Karen C.

"Innovatiivinen ratkaisu ISO- ja muiden akkreditointien hallintaan"

—Ben H.