Hyppää sisältöön
ISMS.online

ISO 27701:2025 -standardin mukainen valvonta A.1.3.3: Henkilötietojen määrittäminen rekisterinpitäjille

Kontrollin A.1.3.3 mukaan organisaatioiden on määritettävä ja dokumentoitava henkilötietojen käsittelystä vastaaville tahoille annettavat tiedot ja niiden antamisen ajoitus. Tämän toteuttaminen on olennaista läpinäkyvyyden kannalta.

kirjailija
Max Edwards
Päivitetty maaliskuu 27, 2026
4/5 tähteä

Mitä kohta A.1.3.3 edellyttää?

Organisaation on määritettävä ja dokumentoitava henkilötietojen käsittelystä vastaaville tahoille annettavat tiedot sekä tiedot tällaisten tietojen antamisen ajoitus.

Tämä ohjaus sijaitsee Velvollisuudet henkilövakuutuksen haltijaa kohtaan tavoite (A.1.3). Vaikka A.1.3.2 Velvollisuudet henkilötietojen vakuutuksenottajia kohtaan Kohdassa A.1.3.3 määritellään velvollisuutesi, ja kohdassa A.1.3.3 pureudutaan tarkemmin toimitettavaan tietosisältöön ja vahvistetaan aikataulusäännöt sille, milloin tiedot on toimitettava.

Mitä käyttöönotto-ohjeissa sanotaan?

Liitteessä B (kohta B.1.3.3) on yksityiskohtaiset ohjeet sekä tiedonantosisällöstä että sen ajoituksesta:

Toimitettavat tiedot

  • Rekisterinpitäjän henkilöllisyys — Käsittelystä vastaavan organisaation nimi ja yhteystiedot
  • Käsittelyn tarkoitukset — Selkeä selitys siitä, miksi henkilötietoja käsitellään, yhdenmukaisesti A.1.2.2 Tarkoituksen tunnistaminen ja dokumentointi
  • Henkilötietojen luokat — Minkä tyyppisiä henkilötietoja kerätään ja käsitellään
  • vastaanottajat — Kaikki kolmannet osapuolet tai kolmansien osapuolten luokat, jotka saavat henkilötietoja
  • Säilytysajat — Kuinka kauan henkilötietoja säilytetään tai säilytyksen määrittämiseen käytetyt kriteerit
  • Käytettävissä olevat oikeudet — Henkilötietojen käsittelijöiden erityisoikeudet (pääsy tietoihin, oikaisu, poistaminen, rajoittaminen, siirrettävyys, vastustaminen)
  • Automatisoitu päätöksenteko — Suoritetaanko automaattista profilointia tai päätöksentekoa ja siihen liittyvä logiikka
  • Kansainväliset siirrot — Tiedot mahdollisista siirroista muille lainkäyttöalueille, mukaan lukien käytössä olevat suojatoimet
  • Katso myös A.1.3.6: Vastusta henkilötietojen käsittelyä asiaankuuluvia vaatimuksia varten
  • Katso myös A.1.3.8: Velvollisuus ilmoittaa kolmansille osapuolille asiaankuuluvia vaatimuksia varten

Tarjonnan ajoitus

  • Suora nouto — Tiedot on annettava keräämisen yhteydessä
  • Epäsuora kerääminen — Tiedot on toimitettava kohtuullisen ajan kuluessa henkilötietojen hankkimisesta, ja viimeistään silloin, kun henkilötietojen luovuttamisesta vastaava henkilö on ollut ensimmäisen kerran yhteydessä henkilötietojen luovutusvelvolliseen tai tiedot on ensimmäisen kerran luovutettu kolmannelle osapuolelle.

Miten tämä vastaa GDPR:ää?

Kontrollin A.1.3.3 vastaa laajasti GDPR avoimuussäännökset:

  • 13 artiklan 1–4 kohta — Tiedot, jotka on annettava, kun henkilötietoja kerätään rekisteröidyltä itseltään
  • 14 artiklan 1–5 kohta — Tiedot, jotka on annettava, jos henkilötietoja ei ole saatu rekisteröidyltä itseltään
  • Article 11 (2) — Säännökset tilanteisiin, joissa rekisterinpitäjä ei voi tunnistaa rekisteröityä
  • 15 artiklan 1–2 kohta — Tiedonsaantioikeutta koskevat vaatimukset (rekisteröidyille kerrotaan, mihin tietoihin he voivat tutustua)
  • Article 18 (3) — Rekisteröidyille tiedottaminen ennen käsittelyn rajoituksen poistamista
  • Article 21 (4) — Rekisteröidyille tiedottaminen vastustamisoikeudesta

GDPR Artiklojen 13 ja 14 välinen ero (suora vs. epäsuora kerääminen) liittyy suoraan B.1.3.3 kohdassa esitettyihin ajoitusohjeisiin.

Miten tämä liittyy ISO 29100 -standardin mukaisiin yksityisyyden suojaa koskeviin periaatteisiin?

Tämä ohjaus tukee Avoimuus, läpinäkyvyys ja ilmoitusvelvollisuus periaate standardista ISO 29100. Tämä periaate edellyttää, että henkilötietojen käsittelystä vastaavat henkilöt saavat selkeän, helposti saatavilla olevan ja oikea-aikaisen tiedon siitä, miten heidän tietojaan käsitellään. A.1.3.3 toteuttaa tämän vaatimalla organisaatioita dokumentoimaan tarkasti, mitä tietoja tarvitaan ja milloin ne on toimitettava.



ISMS.onlinen tehokas kojelauta

Aloita helposti henkilökohtaisella tuote-esittelyllä

Yksi perehdytysasiantuntijoistamme opastaa sinua alustamme läpi ja auttaa sinua alkuun luottavaisin mielin.

Varaa esittelysi


Mitä todisteita tilintarkastajat odottavat?

Arvioidessaan kohdan A.1.3.3 vaatimustenmukaisuutta tilintarkastajat etsivät tyypillisesti seuraavia seikkoja:

  • Tietosuojailmoituksen sisältömatriisi — Dokumentoitu analyysi siitä, mitä tietoja on annettava kunkin käsittelytoimen osalta, suhteessa lakisääteisiin vaatimuksiin
  • Ajoitusdokumentaatio — Selkeät säännöt siitä, milloin tietoja annetaan, ja niissä erotetaan toisistaan ​​suorat ja epäsuorat tiedonkeruutilanteet
  • Tietosuojailmoitukset — Varsinaiset ilmoitusasiakirjat (verkkosivuston tietosuojakäytännöt, perintäilmoitukset, työntekijöiden tietosuojailmoitukset), jotka sisältävät vaaditut tiedot
  • Täydellisyyden tarkistus — Todiste siitä, että ilmoituksia on tarkistettu dokumentoituja vaatimuksia vasten sen varmistamiseksi, ettei mitään puutu
  • Monikanavainen kattavuus — Tietosuojailmoitukset kullekin tiedonkeruukanavalle (verkkolomakkeet, puhelin, henkilökohtaiset tapaamiset, kolmannen osapuolen lähteet)

Mitä asiaan liittyviä ohjausobjekteja on?

Valvonta: Yhteys
A.1.3.2 Velvollisuudet henkilövakuutuksen haltijaa kohtaan Määrittelee kaikki velvoitteet; A.1.3.3 määrittää tarkan tietosisällön
A.1.3.4 Tietojen toimittaminen henkilötietojen suojauspäälliköille Kattaa kohdan A.1.3.3 mukaisesti määriteltyjen tietojen toimittamisen.
A.1.2.2 Tarkoituksen tunnistaminen ja dokumentointi Tarkoitusdokumentaatio heijastuu PII-päähenkilöille toimitettavissa tiedoissa
A.1.2.9 Henkilötietojen käsittelyyn liittyvät tiedot Käsittelytiedot ovat keskeinen tiedonlähde välitettäville tiedoille
A.1.3.5 Suostumuksen muuttaminen tai peruuttaminen Suostumuksen peruuttamismekanismeista tulisi tiedottaa osana tietopakettia
A.1.3.7 Tietojen saaminen, korjaaminen tai poistaminen Oikeustiedot ovat osa sitä, mitä on ilmoitettava henkilötietojen käsittelijöille

Mikä muuttui standardista ISO 27701:2019?

Vaiheittaisen lähestymistavan löydät kohdasta Siirtymäkausi vuodesta 2019 vuoteen 2025.

Vuoden 2019 painoksessa tätä vaatimusta käsiteltiin kohdassa 7.3.2 (PII-päähenkilöiden tietojen määrittäminen). Vuoden 2025 painoksessa tälle annetaan oma kontrollinumero (A.1.3.3), jossa tiedon sisällön määrittäminen ja sen tarjoaminen erotetaan toisistaan ​​selkeämmin (nyt A.1.3.4 Tietojen antaminen). Ohjeiden sisältö on olennaisesti samanlainen, mutta etuna on jäsennellympi muoto. Katso Liitteen F vastaavuustaulukko koko kartoitusta varten.



kiipeily

Vapauta itsesi laskentataulukoiden vuorten vallasta

Ota käyttöön, laajenna ja skaalaa vaatimustenmukaisuus ilman sotkua. Io antaa sinulle joustavuutta ja luottamusta kasvaa turvallisesti.

Varaa esittelysi


Miksi valita ISMS.online yksityisyyden suojaa koskevien tietovaatimusten hallintaan?

ISMS.online auttaa sinua systemaattisesti määrittämään, dokumentoimaan ja ylläpitämään tietoja, jotka olet velkaa PII-päämiehille:

  • Tietosuojailmoituksen rakentaja — Luo ja ylläpidä tietosuojailmoituksia, joissa on kehotteet jokaisesta pakollisesta tiedosta, mikä vähentää puutteiden riskiä
  • Kokoelmakanavan kartoitus — Dokumentoi, mitä tietoja kussakin tiedonkeruupisteessä annetaan, varmistaen yhdenmukaisen kattavuuden eri kanavissa
  • Ajoitussääntöjen moottori — Aseta ja seuraa ajoitusvaatimuksia tiedon toimittamiselle suoraan tai epäsuoraan keräämisen perusteella ja anna hälytyksiä määräaikojen lähestyessä
  • Versiohallitut dokumentit — Ylläpidä täydellistä historiaa tietosuojailmoituksen muutoksista hyväksyntäprosessien avulla, jotta voit osoittaa, mitä tietoja on annettu ja milloin
  • Vaatimustenmukaisuusvajeiden havaitseminen — Vertaa nykyisiä ilmoituksiasi dokumentoituihin vaatimuksiin puuttuvien tietojen tunnistamiseksi ennen kuin tilintarkastaja tekee sen

UKK

Mitä eroa on kohtien A.1.3.3 ja A.1.3.4 välillä, joissa annetaan tietoja?

A.1.3.3 koskee sen päättämistä, mitä tietoja sisällytetään ja milloin ne annetaan. A.1.3.4 Tietojen antaminen Kyse on siitä, miten toimitat tiedot henkilötietojen käsittelystä vastaaville vastuuhenkilöille, ottaen huomioon muodon, selkeyden, saatavuuden ja esitystavan. Ajattele A.1.3.3:a sisällön suunnitteluvaiheena ja A.1.3.4 Tietojen antaminen toimitusvaiheena.

Miten ajoituksen tulisi eroaa suorassa ja epäsuorassa keräämisessä?

Suorassa keräämisessä (jossa henkilötiedot saadaan yksilöltä itseltään) tiedot tulee antaa keräämishetkellä, ennen vuorovaikutusta tai sen aikana. Epäsuorassa keräämisessä (jossa henkilötiedot saadaan kolmannelta osapuolelta tai julkisesta lähteestä) tiedot tulee antaa kohtuullisessa ajassa ja viimeistään ensimmäisen yksilön kanssa tapahtuvan yhteydenpidon tai ensimmäisen kolmannelle osapuolelle luovuttamisen yhteydessä. GDPR:n mukaan epäsuoran keräämisen enimmäisaika on yksi kuukausi.

Tarvitsetko erilliset ilmoitukset eri käsittelytoimille?

Ei välttämättä. Yksi kattava tietosuojailmoitus voi kattaa useita käsittelytoimia, kunhan on selvää, mitkä tiedot liittyvät mihinkin toimintaan. Jos käsittelykontekstit ovat kuitenkin hyvin erilaisia ​​(esim. asiakastiedot vs. työntekijätiedot), erilliset ilmoitukset tarjoavat usein paremman selkeyden. Olennaista on, että kaikki vaaditut tiedot sisältyvät jokaiseen käsittelytoimintaan riippumatta siitä, kuinka monta asiakirjaa käytät.

Yhtiömme tarkastusevidenssivaatimusten opas yksityiskohdat, joita dokumentaation tarkastajat odottavat rekisteröityjen oikeuksien valvonnalta.

Näitä velvoitteita hallinnoivien tietosuojavastaavien tulisi lukea opas tietosuojavastaaville saadaksesi täydellisen yleiskatsauksen.

Max Edwards

Max toimii osana ISMS.online-markkinointitiimiä ja varmistaa, että verkkosivustomme päivitetään hyödyllisellä sisällöllä ja tiedolla kaikesta ISO 27001, 27002 ja vaatimustenmukaisuudesta.

Tee virtuaalikierros

Aloita ilmainen kahden minuutin interaktiivinen demosi nyt ja katso
ISMS.online toiminnassa!

Kokeile nyt
alustan kojelauta täysin uudenveroinen

Olemme alamme johtaja

4/5 tähteä
Käyttäjät rakastavat meitä
Johtaja - kevät 2026
Huippusuorittaja - kevät 2026 Pienyritykset Isossa-Britanniassa
Aluejohtaja - kevät 2026 EU
Aluejohtaja - kevät 2026 EMEA
Aluejohtaja - kevät 2026, Iso-Britannia
Huippusuorittaja - kevät 2026, keskikokoinen markkina-alue EMEA-alueella

"ISMS.Online, erinomainen työkalu sääntelyn noudattamiseen"

—Jim M.

"Tekee ulkoisista tarkastuksista helppoa ja yhdistää kaikki ISMS:si osat saumattomasti yhteen"

—Karen C.

"Innovatiivinen ratkaisu ISO- ja muiden akkreditointien hallintaan"

—Ben H.