Hyppää sisältöön
ISMS.online

ISO 27701:2025 Ohjaus A.1.4.3: Raja-arvojen käsittely

Kontroli A.1.4.3 edellyttää organisaatioilta, että he rajoittavat henkilötietojen käsittelyn siihen, mikä on asianmukaista, olennaista ja välttämätöntä tunnistettujen tarkoitusten kannalta. Siinä missä keräämisen rajoitus koskee ensisijaisesti tietoja, käsittelyn rajoitus koskee kaikkea, mitä tapahtuu sen jälkeen, kun henkilötiedot ovat sisällä.

kirjailija
Max Edwards
Päivitetty maaliskuu 27, 2026
4/5 tähteä

Mitä kohta A.1.4.3 edellyttää?

Organisaation on rajoitettava henkilötietojen käsittelyä siihen, mikä on asianmukaista, olennaista ja välttämätöntä tunnistettujen tarkoitusten kannalta.

Tämä ohjaus sijaitsee Henkilökohtaisten tietojen minimointi tavoite (A.1.4) ja toimii rinnakkain A.1.4.2 (rajakeruu) luoda kattava tiedon minimointiin perustuva lähestymistapa. A.1.4.2 Rajakeräys A.1.4.3 kontrolloi organisaatiolle syötettyjä tietoja, ja A.1.4.3 kontrolloi sitä, mitä organisaatio tekee kerätyillä tiedoilla. Käsittely ei saa ylittää sitä, mikä on tarpeen ilmoitettua tarkoitusta varten.

Mitä käyttöönotto-ohjeissa sanotaan?

Liitteessä B (kohta B.1.4.3) annetaan seuraavat ohjeet:

  • Käsittely ei saa ylittää ilmoitettuja tarkoituksia — Käsittelytoimien ei tulisi ylittää sitä, mikä on tarpeen henkilötietojen käsittelystä vastaaville henkilöille dokumentoitujen ja ilmoitettujen tarkoitusten toteuttamiseksi.
  • Arviointien käsittelytoiminnot — Organisaation tulisi tarkastella käsittelytoimiaan säännöllisesti varmistaakseen, että ne pysyvät oikeasuhtaisina tunnistettuihin tarkoituksiin nähden ja ettei käsittelyn soveltamisalaan ole tapahtunut laajentumista
  • Lopeta tarpeeton käsittely — Jos käsittely ei ole enää tarpeen ilmoitettuun tarkoitukseen, se olisi lopetettava. Tämä koskee myös automatisoitua käsittelyä, joka voi jatkua alkuperäisen tarpeen päätyttyä.
  • Organisaation tulisi pystyä osoittamaan jokaisen käsittelytoimen osalta, miksi se on asianmukainen (tarkoitukseen sopiva), merkityksellinen (tarkoitukseen liittyvä) ja tarpeellinen (ei voida saavuttaa ilman sitä).

Käytännössä tämä tarkoittaa, että jokainen raportti, analyysi, siirto, varmuuskopiointi ja automatisoitu työnkulku, joka koskee henkilötietoja, tulisi voida jäljittää dokumentoituun tarkoitukseen. A.1.2.2 Tarkoituksen tunnistaminen ja dokumentointi.

Miten tämä vastaa GDPR:ää?

Kontrollin A.1.4.3 kohdennus GDPR Artiklan 25(2), jossa edellytetään, että rekisterinpitäjä toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet sen varmistamiseksi, että oletusarvoisesti käsitellään vain sellaisia ​​henkilötietoja, jotka ovat tarpeen kunkin käsittelytarkoituksen kannalta. Tämä koskee kerättyjen henkilötietojen määrää, käsittelyn laajuutta, säilytysaikaa ja saatavuutta.

Tämä on GDPRn ”oletusarvoisen tietosuojan” vaatimus, ja A.1.4.3 tarjoaa jäsennellyn tavan toteuttaa ja osoittaa se.

Miten tämä liittyy ISO 29100 -standardin mukaisiin yksityisyyden suojaa koskeviin periaatteisiin?

Tämä ohjaus tukee suoraan ISO 29100 periaate Tietojen minimointi, joka edellyttää, että henkilötietojen käsittely rajoitetaan siihen, mikä on välttämätöntä määriteltyjen tarkoitusten täyttämiseksi. Periaate ulottuu keräämisen lisäksi kaikkiin käsittelytoimiin, mukaan lukien tallennus, käyttö, siirto ja hävittäminen.



ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa

ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Varaa demo


Mitä todisteita tilintarkastajat odottavat?

Arvioidessaan kohdan A.1.4.3 vaatimustenmukaisuutta tilintarkastajat etsivät tyypillisesti seuraavia seikkoja:

  • Käsittelytoimintatietojen — Täydellinen rekisteri käsittelytoimista, jotka on linkitetty niiden ilmoitettuihin tarkoituksiin ja joista käy ilmi kunkin osalta käsittelyn laajuus
  • Suhteellisuusarvioinnit — Todisteet siitä, että jokainen käsittelytoimi on arvioitu riittävyyden, merkityksellisyyden ja tarpeellisuuden osalta
  • Tarkista tiedot — Dokumentaatio säännöllisistä tarkastuksista, jotka vahvistavat, että käsittely pysyy soveltamisalan mukaisena, sekä toimenpiteet, joissa havaittiin ongelmia
  • Kulunvalvonta — Tekniset toimenpiteet, jotka rajoittavat sitä, kuka voi käsitellä henkilötietoja ja mihin tarkoituksiin, ja osoittavat, että käyttöoikeus on oikeasuhteinen
  • Käytöstäpoistotiedot — Todiste siitä, että käsittelytoimet lopetetaan ja henkilötiedot hävitetään, kun tarkoitus on täytetty

Mitä asiaan liittyviä ohjausobjekteja on?

Valvonta: Yhteys
A.1.4.2 Rajakeräys Keräyksen rajoittaminen on edellytys; käsittelyn rajoittaminen ulottuu periaatteen voimaan koko elinkaaren ajan
A.1.2.2 Tarkoituksen tunnistaminen ja dokumentointi Käsittelyrajat määritellään dokumentoiduissa tarkoituksissa
A.1.4.5 Henkilötietojen minimointitavoitteet Tarjoaa yleisen minimointikehyksen, joka ohjaa käsittelyn rajoituksia
A.1.4.8 Säilytys Säilytysajat määrittävät, milloin käsittely (mukaan lukien tallennus) tulee lopettaa.
A.1.3.11 Automaattinen päätöksenteko Automatisoitu käsittely on myös rajoitettava siihen, mikä on välttämätöntä
A.1.2.9 Käsittelyn tiedot Käsittelytiedot tarjoavat näyttöön perustuvan pohjan käsittelyrajoitusten osoittamiseksi

Mikä muuttui standardista ISO 27701:2019?

Vuoden 2019 painoksessa käsittelyn rajoittamista käsiteltiin kohdassa 7.4.2 (käsittelyn rajoittaminen). Vuoden 2025 ohjausobjekti säilyttää saman ydinvaatimuksen, mutta hyötyy uuden selkeämmästä rakenteesta. Liite A/B-muodossa. Täytäntöönpano-ohjeissa käsitellään nyt selkeämmin säännöllisen tarkastelun tarvetta ja velvollisuutta lopettaa käsittely, kun se ei ole enää tarpeen. Katso Liitteen F vastaavuustaulukko koko kartoitusta varten.



ISMS.onlinen tehokas kojelauta

Aloita helposti henkilökohtaisella tuote-esittelyllä

Yksi perehdytysasiantuntijoistamme opastaa sinua alustamme läpi ja auttaa sinua alkuun luottavaisin mielin.

Varaa esittelysi


Miksi valita ISMS.online PII-käsittelyrajoitusten hallintaan?

ISMS.online auttaa sinua hallitsemaan jatkuvasti henkilötietojen käsittelyä organisaatiossasi:

  • Käsittelytoimintarekisteri — Yhdistä jokainen käsittelytoimi sen dokumentoituun tarkoitukseen selkeillä soveltamisalarajoilla, jolloin suhteellisuus näkyy yhdellä silmäyksellä
  • Aikataulutetut tarkistusjaksot — Aseta automaattiset tarkistusmuistutukset jokaiselle käsittelytoiminnolle, jotta laajuuden vaihtelu havaitaan ajoissa
  • Roolipohjaiset käyttöoikeudet — Noudata teknisiä rajoituksia sille, kuka voi käsitellä henkilötietoja ja mihin tarkoituksiin, yhdenmukaistamalla järjestelmän käyttöoikeudet dokumentoidun käsittelyn laajuuden kanssa
  • Käytöstäpoiston työnkulut — Seuraa käsittelytoimien lopettamista niiden loppuun saattamiseen asti, mukaan lukien todisteet tietojen hävittämisestä
  • Vaatimustenmukaisuuden kojelaudat — Näe yhdellä silmäyksellä, mitkä käsittelytoimet ovat tarkastettavien, mitkä hyväksyttyjen ja millä on avoimia toimenpiteitä

UKK

Miten "rajoitusten käsittely" eroaa "rajoitusten keräämisestä"?

Keräysrajoitus (A.1.4.2 Rajakeräys) säätelee, mitä henkilötietoja tulee organisaatioon. Käsittelyn rajoitus (A.1.4.3) säätelee, mitä henkilötiedoille tapahtuu niiden keräämisen jälkeen, mukaan lukien tallennus, analysointi, siirto, raportointi ja kaikki muut tiedoille suoritettavat toiminnot. Molempia tarvitaan, koska organisaatio voi kerätä oikeat tiedot, mutta käyttää niitä sitten muihin tarkoituksiin kuin alun perin dokumentoitiin.

Mitkä käytännön toimenpiteet estävät käsittelyn laajuuden kasvun?

Tehokkaisiin toimenpiteisiin kuuluvat: muutospyynnön ja yksityisyyden arvioinnin vaatiminen ennen olemassa olevien henkilötietojen uutta käyttöä; roolipohjaisen käyttöoikeuden käyttöönotto, jotta vain valtuutettu henkilöstö voi käsitellä henkilötietoja hyväksyttyihin tarkoituksiin; käsittelytoimien säännölliset tarkastelut dokumentoituja tarkoituksia vasten; ja käsittelylokien ylläpito, joita voidaan tarkastaa epätavallisen tai luvattoman toiminnan varalta.

Koskeeko tämä valvonta varmuuskopioihin tallennettuja henkilötietoja?

Kyllä. Varmuuskopioiden tallennus on eräs käsittelytapa. Jos henkilötietoja säilytetään varmuuskopioissa pidempään kuin on tarpeen ilmoitetun tarkoituksen kannalta, organisaatiolla tulee olla dokumentoitu perustelu (kuten liiketoiminnan jatkuvuus tai lakisääteiset säilytysvaatimukset) ja asianmukaiset käyttöoikeuksien valvonnan ohjeet. Kun säilytyksen perustelu vanhenee, varmuuskopioissa olevat henkilötiedot tulee käsitellä hävitysmenettelyjen mukaisesti. A.1.4.9 Hävittäminen.

Katso tarkastusevidenssivaatimusten opas tarkastajien odottamaa erityistä evidenssiä tiedon laadun ja minimoinnin kontrollien osalta.

Tallenna tämä ohjausobjekti muistiisi Ilmoitus soveltuvuudesta perusteluineen sen sovellettavuudelle.

Max Edwards

Max toimii osana ISMS.online-markkinointitiimiä ja varmistaa, että verkkosivustomme päivitetään hyödyllisellä sisällöllä ja tiedolla kaikesta ISO 27001, 27002 ja vaatimustenmukaisuudesta.

Tee virtuaalikierros

Aloita ilmainen kahden minuutin interaktiivinen demosi nyt ja katso
ISMS.online toiminnassa!

Kokeile nyt
alustan kojelauta täysin uudenveroinen

Olemme alamme johtaja

4/5 tähteä
Käyttäjät rakastavat meitä
Johtaja - kevät 2026
Huippusuorittaja - kevät 2026 Pienyritykset Isossa-Britanniassa
Aluejohtaja - kevät 2026 EU
Aluejohtaja - kevät 2026 EMEA
Aluejohtaja - kevät 2026, Iso-Britannia
Huippusuorittaja - kevät 2026, keskikokoinen markkina-alue EMEA-alueella

"ISMS.Online, erinomainen työkalu sääntelyn noudattamiseen"

—Jim M.

"Tekee ulkoisista tarkastuksista helppoa ja yhdistää kaikki ISMS:si osat saumattomasti yhteen"

—Karen C.

"Innovatiivinen ratkaisu ISO- ja muiden akkreditointien hallintaan"

—Ben H.