Hyppää sisältöön
ISMS.online

ISO 27701:2025 -valvonta A.1.3.6: Kohde PII-käsittelyyn

Kohta A.1.3.6 edellyttää organisaatioilta mekanismin, jolla henkilötietojen käsittelystä vastaavat henkilöt voivat vastustaa henkilötietojensa käsittelyä. Toisin kuin suostumuksen peruuttamista, vastustusoikeus koskee useita laillisia perusteita.

kirjailija
Max Edwards
Päivitetty maaliskuu 27, 2026
4/5 tähteä

Mitä kohta A.1.3.6 edellyttää?

Organisaation on tarjottava mekanismi, jolla henkilötietojen käsittelystä vastaavat henkilöt voivat vastustaa henkilötietojensa käsittelyä.

Tämä ohjaus sijaitsee Velvollisuudet henkilövakuutuksen haltijaa kohtaan tavoite (A.1.3). Vastustamisoikeus on eri asia kuin suostumuksen peruuttaminen (käsitelty kohdassa A.1.3.5 Suostumuksen muuttaminen tai peruuttaminenSuostumuksen peruuttaminen soveltuu vain, jos suostumus on laillinen peruste. Vastustamisoikeus soveltuu laajemmin, mukaan lukien tapaukset, joissa käsittely perustuu oikeutettuihin etuihin tai yleisen edun mukaisen tehtävän suorittamiseen.

Mitä käyttöönotto-ohjeissa sanotaan?

Liite B (kohta B.1.3.6) antaa ohjeita tehokkaan vastalausemekanismin toteuttamisesta:

  • Ennakoiva ilmoitus — Vastustamisoikeudesta tulisi kertoa henkilötietojen käsittelystä vastaavalle henkilölle ensimmäisen yhteydenoton yhteydessä, eikä sitä tulisi piilottaa yleisiin tietosuojaa koskeviin tietoihin.
  • Selkeä esitys — Oikeus on esitettävä selkeästi ja erillään muista tiedoista, jotta se ei jää huomaamatta
  • Suoramarkkinointi — Jos vastalause liittyy suoramarkkinointiin, se on aina hyväksyttävä poikkeuksetta. Suoramarkkinointia koskevien vastalauseiden osalta ei ole olemassa tasapainotestiä.
  • Muu käsittely — Jos käsittelyä vastustetaan oikeutettujen etujen tai yleisen edun perusteella, organisaatio voi jatkaa käsittelyä vain, jos se voi osoittaa, että käsittelyä koskevat huomattavat oikeutetut perusteet syrjäyttävät henkilötietojen käsittelijän edut.
  • Arviointiprosessi — Organisaatioilla tulisi olla dokumentoitu prosessi vastaväitteiden arvioimiseksi, mukaan lukien kuka tekee päätöksen ja mitä tekijöitä otetaan huomioon
  • Katso myös A.1.3.3: Henkilötietojen määrittäminen rekisterinpitäjille asiaankuuluvia vaatimuksia varten
  • Katso myös A.1.3.7: Tietojen saaminen, korjaaminen tai poistaminen asiaankuuluvia vaatimuksia varten

Miten tämä vastaa GDPR:ää?

Kontrollin A.1.3.6 vastaa laajasti GDPR Artikla 21:

  • Article 21 (1) — Oikeus vastustaa käsittelyä yleisen edun tai oikeutettujen etujen perusteella, mukaan lukien näihin perusteisiin perustuva profilointi
  • Article 21 (2) — Oikeus vastustaa käsittelyä suoramarkkinointitarkoituksiin
  • Article 21 (3) — Velvollisuus lopettaa käsittely suoramarkkinointia vastustettaessa
  • Article 21 (4) — Vastustamisoikeus on nimenomaisesti tuotava esiin ja esitettävä selkeästi ja erikseen
  • Article 21 (5) — Tietoyhteiskunnan palveluiden yhteydessä vastustus voidaan tehdä automaattisesti
  • Article 21 (6) — Oikeus vastustaa käsittelyä tieteellisiä, historiallisia tutkimus- tai tilastollisia tarkoituksia varten
  • 13 artiklan 2 kohdan b alakohta ja 14 artiklan 2 kohdan c alakohta — Vastustamisoikeudesta on ilmoitettava osana avoimuustietoja

Miten tämä liittyy ISO 29100 -standardin mukaisiin yksityisyyden suojaa koskeviin periaatteisiin?

Tämä ohjaus tukee Suostumus ja valinta periaate standardista ISO 29100. Vaikka vastustamisoikeus menee tiukassa oikeudellisessa mielessä suostumusta pidemmälle, kyse on pohjimmiltaan siitä, että henkilötietojen käsittelystä vastaavilla on edelleen merkityksellinen valinnanvapaus tietojensa käytön suhteen. Periaatteessa tunnustetaan, että yksilöillä tulisi olla jatkuva toimijuus, ei vain alkuperäisen keräämisen yhteydessä.



ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa

ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Varaa demo


Mitä todisteita tilintarkastajat odottavat?

Arvioidessaan kohdan A.1.3.6 vaatimustenmukaisuutta tilintarkastajat etsivät tyypillisesti seuraavia seikkoja:

  • Vastustamismekanismi — Dokumentoitu ja helposti saatavilla oleva mekanismi, jolla PII-päälliköt voivat tehdä vastalauseita (verkkolomake, sähköpostiosoite tai sovelluksen sisäinen vaihtoehto)
  • Ennakoiva viestintä — Todiste siitä, että vastustamisoikeudesta ilmoitetaan ensimmäisen yhteydenoton yhteydessä selkeästi ja erikseen esitettynä
  • Suoramarkkinointimenettelyt — Suoramarkkinointia koskevien vastalauseiden käsittelyä koskevat erityismenettelyt ja todisteet välittömästä noudattamisesta
  • Arviointikehys — Dokumentoitu prosessi oikeutettuihin etuihin perustuvien käsittelyä koskevien vastalauseiden arvioimiseksi, mukaan lukien tasapainotestin kriteerit
  • Päätösrekisterit — Vastalauseita koskevien päätösten tiedot, mukaan lukien perustelut tapauksissa, joissa vastalausetta ei hyväksytty
  • Henkilöstökoulutus — Todisteet siitä, että vastalauseita käsittelevä henkilöstö ymmärtää suoramarkkinoinnin ja muun käsittelyn erilaiset säännöt

Mitä asiaan liittyviä ohjausobjekteja on?

Valvonta: Yhteys
A.1.3.5 Suostumuksen muuttaminen tai peruuttaminen Liittyvät mutta erilliset: suostumuksen peruuttaminen koskee suostumukseen perustuvaa käsittelyä; vastustaminen koskee oikeutettuja etuja ja yleistä etua
A.1.3.4 Tietojen toimittaminen henkilötietojen suojauspäälliköille Vastustamisoikeudesta on ilmoitettava näkyvästi osana annettuja tietoja.
A.1.3.10 Pyyntöjen käsittely Vastalauseet ovat henkilötietoja koskevien pyyntöjen luokka, jotka on käsiteltävä dokumentoitujen menettelyjen mukaisesti.
A.1.2.3 Oikeudellisen perustan määrittäminen Oikeudellinen peruste ratkaisee, käynnistääkö vastalause absoluuttisen oikeuden (suoramarkkinointi) vai tasapainotestin.
A.1.3.8 Velvollisuus ilmoittaa kolmansille osapuolille Jos vastalause hyväksytään, henkilötietoja saaneille kolmansille osapuolille on ilmoitettava siitä
A.1.3.2 Velvollisuudet henkilövakuutuksen haltijaa kohtaan Vastustamisoikeus on yksi velvollisuuksista, jotka on tunnistettava ja dokumentoitava

Mikä muuttui standardista ISO 27701:2019?

Vaiheittaisen lähestymistavan löydät kohdasta Siirtymäkausi vuodesta 2019 vuoteen 2025.

Vuoden 2019 painoksessa tämä vaatimus oli osa kohtaa 7.3.5 (Henkilökohtaisten tietojen käsittelyn vastustamiseen tarkoitettu mekanismi). Vuoden 2025 painoksessa ydinvaatimus on säilytetty kohdassa A.1.3.6 ja ohjeita annetaan kohdassa B.1.3.6. Painopiste oikeuden esittämisessä selkeästi ja erillään muista tiedoista sekä suoramarkkinoinnin vastustamisen ehdoton luonne ovat edelleen tämän valvonnan määritteleviä piirteitä. Katso Liitteen F vastaavuustaulukko koko kartoitusta varten.



ISMS.onlinen tehokas kojelauta

Aloita helposti henkilökohtaisella tuote-esittelyllä

Yksi perehdytysasiantuntijoistamme opastaa sinua alustamme läpi ja auttaa sinua alkuun luottavaisin mielin.

Varaa esittelysi


Miksi valita ISMS.online käsittelyvastausten hallintaan?

ISMS.online antaa sinulle työkalut käsittelyvastausten systemaattiseen ja vaatimustenmukaiseen käsittelyyn:

  • Vastaväitteiden vastaanottoportaali — Tarjoa henkilötietojen vastuuhenkilöille erillinen ja helposti löydettävä mekanismi vastalauseiden esittämistä varten, erillään yleisistä tiedusteluista
  • Automatisoitu reititys — Suoramarkkinointiin liittyvät vastalauseet merkitään välittömiä toimia varten, kun taas oikeutettuun etuun liittyvät vastalauseet ohjataan asianmukaiselle päätöksentekijälle.
  • Tasapainotustestauskehys — Jäsennellyt mallit oikeutettujen etujen tasapainottamisen suorittamiseksi ja dokumentoimiseksi markkinointivastaväitteiden arvioinnissa
  • Päätöksen tarkastusketju — Kirjaa jokainen vastalause, arviointiprosessi ja tulos aikaleimoineen ja vastuuhenkilöineen täyden vastuuvelvollisuuden takaamiseksi
  • Kolmannen osapuolen ilmoitusten laukaisevat tekijät — Kun vastalause hyväksytään, merkitse automaattisesti tarve ilmoittaa henkilötietoja saaneille kolmansille osapuolille linkittämällä omaan A.1.3.8 Kolmansille osapuolille tiedottaminen menettelyt

UKK

Mitä eroa on vastustamisella ja suostumuksen peruuttamisella?

Suostumuksen peruuttaminen (A.1.3.5 Suostumuksen muuttaminen tai peruuttaminen) sovelletaan vain, kun suostumus on käsittelyn laillinen peruste. Vastustamisoikeus (A.1.3.6) soveltuu, kun käsittely perustuu oikeutettuihin etuihin tai yleiseen etuun. Suoramarkkinoinnissa vastustamisoikeus on ehdoton laillisesta perusteesta riippumatta. Käytännössä organisaatiot tarvitsevat molemmat mekanismit: suostumuksen peruutusprosessin suostumukseen perustuvaa käsittelyä varten ja vastustusprosessin muita laillisia perusteita varten.

Voiko vastaväitteestä koskaan kieltäytyä?

Suoramarkkinoinnin osalta ei. Suoramarkkinointitietojen käsittelyn vastustaminen on aina poikkeuksetta hyväksyttävä. Oikeutettujen etujen tai yleisen edun perusteella tapahtuvassa käsittelyssä voit jatkaa käsittelyä, jos voit osoittaa, että käsittely on erittäin tärkeä ja perusteltu syy, joka syrjäyttää henkilötietojen käsittelystä vastaavan henkilön edut, oikeudet ja vapaudet, tai jos käsittely on tarpeen oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi. Todistustaakka on organisaatiolla, ja päätös on dokumentoitava.

Miten vastustamisoikeudesta tulisi tiedottaa "erikseen"?

Ohjeistus ja GDPR Artiklan 21(4) mukaan vastustamisoikeus on nimenomaisesti saatettava henkilötietojen käsittelystä vastaavan henkilön tietoon ja esitettävä selkeästi ja erillään muista tiedoista. Käytännössä tämä tarkoittaa, että sitä ei pitäisi piilottaa pitkän tietosuojailmoituksen keskelle. Sillä tulisi olla oma otsikkonsa, oma osionsa tai oma viestinsä. Ensimmäisessä yhteydenotossa se tulisi mainita suoraan eikä viitata yleisiin ehtoihin linkin kautta.

Yhtiömme tarkastusevidenssivaatimusten opas yksityiskohdat, joita dokumentaation tarkastajat odottavat rekisteröityjen oikeuksien valvonnalta.

Näitä velvoitteita hallinnoivien tietosuojavastaavien tulisi lukea opas tietosuojavastaaville saadaksesi täydellisen yleiskatsauksen.

Max Edwards

Max toimii osana ISMS.online-markkinointitiimiä ja varmistaa, että verkkosivustomme päivitetään hyödyllisellä sisällöllä ja tiedolla kaikesta ISO 27001, 27002 ja vaatimustenmukaisuudesta.

Tee virtuaalikierros

Aloita ilmainen kahden minuutin interaktiivinen demosi nyt ja katso
ISMS.online toiminnassa!

Kokeile nyt
alustan kojelauta täysin uudenveroinen

Olemme alamme johtaja

4/5 tähteä
Käyttäjät rakastavat meitä
Johtaja - kevät 2026
Huippusuorittaja - kevät 2026 Pienyritykset Isossa-Britanniassa
Aluejohtaja - kevät 2026 EU
Aluejohtaja - kevät 2026 EMEA
Aluejohtaja - kevät 2026, Iso-Britannia
Huippusuorittaja - kevät 2026, keskikokoinen markkina-alue EMEA-alueella

"ISMS.Online, erinomainen työkalu sääntelyn noudattamiseen"

—Jim M.

"Tekee ulkoisista tarkastuksista helppoa ja yhdistää kaikki ISMS:si osat saumattomasti yhteen"

—Karen C.

"Innovatiivinen ratkaisu ISO- ja muiden akkreditointien hallintaan"

—Ben H.