Hyppää sisältöön
ISMS.online

ISO 27701:2025 -valvonta A.1.3.2: Velvollisuudet henkilötietojen suojaa koskeviin pääasiallisiin tietoihin

Kohdan A.1.3.2 mukainen valvonta edellyttää organisaatioilta, että ne määrittävät ja dokumentoivat lakisääteiset, sääntelyyn liittyvät ja liiketoimintaan liittyvät velvoitteensa henkilötietojen suojaa koskevista päämiehiin nähden ja tarjoavat keinot niiden täyttämiseksi. Tämä on koko kohdan A.1.3 velvoitetavoitteen perusta.

kirjailija
Max Edwards
Päivitetty maaliskuu 27, 2026
4/5 tähteä

Mitä kohta A.1.3.2 edellyttää?

Organisaation on määriteltävä ja dokumentoitava lakisääteiset, sääntelyyn liittyvät ja liiketoimintaan liittyvät velvoitteensa henkilötietojen käsittelystä vastaavia kohtaan ja tarjottava keinot näiden velvoitteiden täyttämiseksi.

Tämä ohjaus sijaitsee Velvollisuudet henkilövakuutuksen haltijaa kohtaan tavoite (A.1.3), joka varmistaa, että organisaatiot täyttävät velvollisuutensa niitä henkilöitä kohtaan, joiden tietoja ne käsittelevät. A.1.3.2 on tämän ryhmän perustavanlaatuinen valvonta: sinun on ensin ymmärrettävä, mitä oikeuksia ja velvollisuuksia sovelletaan, ennen kuin voit ottaa käyttöön mekanismit niiden täyttämiseksi.

Mitä käyttöönotto-ohjeissa sanotaan?

Liite B (kohta B.1.3.2) antaa ohjeita velvoitteista, jotka organisaatioiden tulisi tunnistaa ja dokumentoida. Nämä vaihtelevat lainkäyttöalueittain, mutta niihin kuuluvat yleensä:

  • Oikeus saada tietoa — Annetaan PII-päämiehille selkeät tiedot siitä, miten heidän tietojaan käsitellään (ks. A.1.3.3 ja A.1.3.4)
  • Oikeus tutustua asiaan — Yksilöiden henkilötietojen kopion saamisen salliminen (ks. A.1.3.7 ja A.1.3.9)
  • Oikeus oikaisuun — Virheellisten tai puutteellisten henkilötietojen korjaaminen (katso A.1.3.7)
  • Oikeus poistaa — Henkilötietojen poistaminen, kun niitä ei enää tarvita tai suostumus peruutetaan (ks. A.1.3.7)
  • Oikeus rajoittaa käsittelyä — Käsittelyn rajoittaminen tietyissä olosuhteissa
  • Oikeus tietojen siirrettävyyteen — Henkilötietojen toimittaminen jäsennellyssä, koneellisesti luettavassa muodossa (ks. A.1.3.9)
  • Oikeus vastustaa — Yksilöiden mahdollisuus vastustaa käsittelyä (ks. A.1.3.6)

Ohjeistuksessa korostetaan, että velvoitteet vaihtelevat eri lainkäyttöalueilla. Useilla alueilla toimivien organisaatioiden on kartoitettava kullakin alueella sovellettavat erityisoikeudet ja varmistettava, että niillä on käytössä asianmukaiset mekanismit.

Miten tämä vastaa GDPR:ää?

Kontrollin A.1.3.2 kohdennus GDPR Artiklan 12(2), jossa edellytetään rekisterinpitäjiltä rekisteröidyn oikeuksien käytön helpottamista. Kohta A.1.3.2 koskee kaikkien velvoitteiden määrittämistä ja dokumentointia, mutta artiklan 12(2) mukaan erityisesti on varmistettava, että henkilötietojen käsittelystä vastaaville henkilöille tarjotut keinot ovat käytännöllisiä ja helposti saatavilla. GDPRedellä luetellut oikeudet on kodifioitu 15–22 artiklassa.

Miten tämä liittyy ISO 29100 -standardin mukaisiin yksityisyyden suojaa koskeviin periaatteisiin?

Tämä ohjaus tukee Yksilöllinen osallistuminen ja pääsy periaate standardista ISO 29100. Tämä periaate edellyttää, että henkilötietojen käsittelystä vastaavilla on mahdollisuus päästä käsiksi tietoihinsa, kyseenalaistaa niiden paikkansapitävyys ja tarvittaessa saada ne muutettua tai poistettua. A.1.3.2 on suunnittelukerros, jolla varmistetaan, että tiedät, mitä osallistumisoikeuksia sovelletaan ennen mekanismien käyttöönottoa.



ISMS.onlinen tehokas kojelauta

Aloita ilmainen kokeilu

Haluatko tutkia?

Rekisteröidy ilmaiseen kokeilujaksoon tänään ja pääset käyttämään kaikkia ISMS.onlinen tarjoamia yhteensopivuusominaisuuksia

Aloita


Mitä todisteita tilintarkastajat odottavat?

Arvioidessaan kohdan A.1.3.2 vaatimustenmukaisuutta tilintarkastajat etsivät tyypillisesti seuraavia seikkoja:

  • Velvoiterekisteri — Dokumentoitu rekisteri kaikista lakisääteisistä, sääntelyyn liittyvistä ja liiketoiminnallisista velvoitteista PII-päämiehille, jotka on yhdistetty sovellettaviin lainkäyttöalueisiin
  • Toimivalta-analyysi — Todiste siitä, että organisaatio on määrittänyt sovellettavat yksityisyyden suojaa koskevat lait sen perusteella, missä henkilötietojen käsittelystä vastaavat päähenkilöt sijaitsevat tai missä käsittely tapahtuu
  • Käytössä olevat mekanismit — Dokumentoidut menettelyt, lomakkeet tai järjestelmät, joiden avulla PII-päälliköt voivat käyttää kutakin sovellettavaa oikeutta
  • Käytäntöasiakirjat — Rekisteröidyn oikeuksia koskeva käytäntö tai vastaava asiakirja, jossa kuvataan, miten kukin velvoite täytetään
  • Henkilöstön koulutustiedot — Todiste siitä, että pyyntöjen käsittelystä vastaava henkilöstö ymmärtää velvoitteet ja menettelyt
  • Säännölliset arvostelut — Todiste siitä, että velvoitteita arvioidaan uudelleen lainsäädännön muuttuessa tai organisaation tullessa uusille markkinoille

Mitä asiaan liittyviä ohjausobjekteja on?

Valvonta: Yhteys
A.1.3.3 Henkilötietojen määrittäminen päämiehille Kun velvollisuudet on tunnistettu, määritä, mitä tietoja toimitetaan
A.1.3.4 Tietojen toimittaminen henkilötietojen suojauspäälliköille Toimita tarvittavat tiedot selkeällä ja helposti lähestyttävällä tavalla
A.1.3.5 Suostumuksen muuttaminen tai peruuttaminen Suostumuksen peruuttaminen on yksi velvollisuuksista, jotka on tunnistettava ja täytettävä
A.1.3.7 Tietojen saaminen, korjaaminen tai poistaminen Toteuttaa tässä määritellyt tiedonsaanti-, oikaisu- ja poistovelvoitteet
A.1.3.10 Pyyntöjen käsittely Näistä velvoitteista johtuviin pyyntöihin vastaamiseksi noudatettavat toimintamenettelyt
A.1.2.9 Henkilötietojen käsittelyyn liittyvät tiedot Käsittelytietojen tulee heijastaa kullekin toiminnolle tunnistettuja velvoitteita

Mikä muuttui standardista ISO 27701:2019?

Vuoden 2019 painoksessa tämä vaatimus oli osa kohtaa 7.3.1 (PII-päämiehiin liittyvien velvollisuuksien määrittäminen ja täyttäminen). Vuoden 2025 painoksessa tämä on jäsennelty erilliseksi kontrolliksi (A.1.3.2), joka keskittyy erityisesti kaikkien velvollisuuksien määrittämiseen ja dokumentointiin erillään sitä seuraavista tiedonantokontrolleista. Tämä antaa suunnittelu- ja analyysivaiheelle oman tarkastuspisteensä. Katso Liitteen F vastaavuustaulukko koko kartoitusta varten.



ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa

ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Varaa demo


Miksi valita ISMS.online PII-päävelvoitteiden hallintaan?

ISMS.online tarjoaa rakenteen ja työkalut, joita tarvitset henkilötietojen vastuuhenkilöitäsi kohtaan olevien velvollisuuksien tunnistamiseen, dokumentointiin ja täyttämiseen:

  • Velvoitteiden kartoitus — Yhdistä henkilötietojen pääasialliset oikeudet useille lainkäyttöalueille yhteen rekisteriin, jotta näet yhdellä silmäyksellä, mitkä oikeudet koskevat missäkin.
  • Rekisteröidyn pyyntöportaali — Anna PII-päälliköille selkeä mekanismi oikeuksiensa käyttämiseen ja automatisoitu reititys oikealle tiimille
  • Työnkulun automaatio — Seuraa jokaista pyyntöä vastaanottamisesta valmistumiseen sisäänrakennettujen määräaikojen ja eskalointipolkujen avulla
  • Sääntelymuutosten seuranta — Pysy ajan tasalla lainsäädännöllisistä muutoksista, jotka vaikuttavat velvoitteisiisi, ja saat nopeat tarkistukset lakien päivittyessä
  • Ristiohjauksen linkitys — Yhdistä velvoitteet niitä täyttäviin erityisiin valvontatoimiin, käytäntöihin ja menettelyihin, jolloin luodaan kattava kuva vaatimustenmukaisuudesta

UKK

Miten määrität, mitkä velvoitteet koskevat organisaatiotasi?

Aloita tunnistamalla, missä henkilötietojen käsittelystä vastaavat päähenkilösi sijaitsevat, missä organisaatiosi toimii ja millä yksityisyyden suojaa koskevilla laeilla on alueen ulkopuolinen ulottuvuus. Kartoita kunkin sovellettavan lainkäyttöalueen osalta lain takaamat rekisteröidyn oikeudet. Yleisiä puitesääntöjä ovat GDPR (EU/ETA), Yhdistyneen kuningaskunnan GDPR, CCPA/CPRA (Kalifornia), LGPD (Brasilia) ja POPIA (Etelä-Afrikka). Jokainen asettaa hieman erilaisia ​​velvoitteita, joten lainkäyttöalueen analyysi on välttämätöntä.

Mitä liiketoimintavelvoitteet eroavat lakisääteisistä velvoitteista?

Liiketoimintavelvoitteet ovat organisaatiosi vapaaehtoisesti tekemiä sitoumuksia, kuten tietosuojailmoituksessasi antamasi lupaukset, asiakassopimusehdot tai toimialan käytännesäännöt, joihin olet sitoutunut. Nämä voivat mennä pidemmälle kuin mitä laki ehdottoman vaatii. Voit esimerkiksi luvata vastata tiedonsaantipyyntöihin 14 päivän kuluessa, vaikka laki sallii 30 päivää. Nämä itse asetetut velvoitteet on myös dokumentoitava ja täytettävä.

Koskeeko tämä valvonta henkilötietoja käsitteleviä henkilöitä?

A.1.3.2 on henkilötietojen rekisterinpitäjän vastuualue. Henkilötietojen käsittelijöillä on asiaankuuluvia velvoitteita kohdan A.2.3 (Velvollisuudet henkilötietojen käsittelijöitä kohtaan henkilötietojen käsittelijöitä kohtaan) nojalla, jotka edellyttävät heidän avustavan rekisterinpitäjää näiden velvoitteiden täyttämisessä. Käsittelijöiden on kuitenkin silti ymmärrettävä rekisterinpitäjän velvoitteet, jotta he voivat tarjota tehokasta tukea tarvittaessa.

Yhtiömme tarkastusevidenssivaatimusten opas yksityiskohdat, joita dokumentaation tarkastajat odottavat rekisteröityjen oikeuksien valvonnalta.

Näitä velvoitteita hallinnoivien tietosuojavastaavien tulisi lukea opas tietosuojavastaaville saadaksesi täydellisen yleiskatsauksen.

Max Edwards

Max toimii osana ISMS.online-markkinointitiimiä ja varmistaa, että verkkosivustomme päivitetään hyödyllisellä sisällöllä ja tiedolla kaikesta ISO 27001, 27002 ja vaatimustenmukaisuudesta.

Tee virtuaalikierros

Aloita ilmainen kahden minuutin interaktiivinen demosi nyt ja katso
ISMS.online toiminnassa!

Kokeile nyt
alustan kojelauta täysin uudenveroinen

Olemme alamme johtaja

4/5 tähteä
Käyttäjät rakastavat meitä
Johtaja - kevät 2026
Huippusuorittaja - kevät 2026 Pienyritykset Isossa-Britanniassa
Aluejohtaja - kevät 2026 EU
Aluejohtaja - kevät 2026 EMEA
Aluejohtaja - kevät 2026, Iso-Britannia
Huippusuorittaja - kevät 2026, keskikokoinen markkina-alue EMEA-alueella

"ISMS.Online, erinomainen työkalu sääntelyn noudattamiseen"

—Jim M.

"Tekee ulkoisista tarkastuksista helppoa ja yhdistää kaikki ISMS:si osat saumattomasti yhteen"

—Karen C.

"Innovatiivinen ratkaisu ISO- ja muiden akkreditointien hallintaan"

—Ben H.