Mitä ovat ISO 27701:2025 -standardin mukaiset henkilötietojen käsittelijän hallintatoiminnot?
Taulukko A.2 ISO 27701:2025 liite A määrittelee 18 valvontatoimenpidettä, jotka koskevat kaikkia henkilötietojen käsittelijöinä toimivia organisaatioita. Henkilötietojen käsittelijä käsittelee henkilötietoja henkilötietojen rekisterinpitäjän puolesta ja tämän ohjeiden mukaisesti.
Nämä kontrollit on ryhmitelty neljään tavoitteeseen:
- Keräyksen ja käsittelyn edellytykset (A.2.2) — 6 valvontaa, jotka kattavat asiakassopimukset, käyttötarkoituksen rajoitukset, markkinointirajoitukset ja tiedot
- Henkilövakuutuksen päämiehiä koskevat velvollisuudet (A.2.3) — 1 valvonta, joka kattaa asiakkaalle annettavan vaatimustenmukaisuusavun
- Sisäänrakennettu yksityisyydensuoja ja oletusarvoinen yksityisyydensuoja (A.2.4) — 3 valvontaa, jotka kattavat väliaikaiset tiedostot, henkilötietojen palauttamisen/hävittämisen ja siirron
- Henkilötietojen jakaminen, siirtäminen ja luovuttaminen (A.2.5) — 8 valvontaa, jotka kattavat siirrot, luovutukset ja alihankkijoiden hallinnan
Kunkin kontrollin toteutusohjeet ovat liitteen B osiossa B.2 (esim. ohjeet A.2.2.2 Asiakassopimus (on kohdassa B.2.2.2).
Täydellinen luettelo taulukon A.2 säätimistä
| Valvonta: | Otsikko | Yhteenveto |
|---|---|---|
| A.2.2.2 Asiakassopimus | Asiakassopimus | Varmista, että sopimuksissa käsitellään käsittelijän roolia asiakasvelvoitteiden täyttämisessä |
| A.2.2.3 Organisaation tarkoitus | Organisaation tarkoitukset | Käsittele henkilötietoja vain asiakkaan dokumentoiduissa ohjeissa mainittuihin tarkoituksiin |
| A.2.2.4 Markkinointi ja mainonta | Markkinoinnin ja mainonnan käyttö | Älä käytä sopimuksella hankittuja henkilötietoja markkinointitarkoituksiin ilman asianmukaista päämiehen suostumusta |
| A.2.2.5 Rikkova ohje | Rikkova ohje | Ilmoita asiakkaalle, jos käsittelyohje rikkoo sovellettavaa lakia |
| A.2.2.6 Asiakkaan velvollisuudet | Asiakkaan velvollisuudet | Anna asiakkaalle tietoja, jotka osoittavat heidän vaatimustenmukaisuutensa |
| A.2.2.7 Henkilötietojen käsittelyä koskevat tiedot | Henkilötietojen käsittelyyn liittyvät tiedot | Pidä kirjaa siitä, että henkilötietoja koskevat sopimusvelvoitteet on noudatettu |
| A.2.3.2 Velvollisuudet henkilötietojen vakuutuksenottajia kohtaan | Noudata henkilötietojen käsittelijöiden velvoitteita | Tarjoa asiakkaalle keinot noudattaa PII-pääasiallisia velvoitteita |
| A.2.4.2 Väliaikaistiedostot | Väliaikaiset tiedostot | Hävitä PII-käsittelyn väliaikaiset tiedostot dokumentoidun ajan kuluessa |
| A.2.4.3 Palautus, siirto tai hävittäminen | Henkilötietojen palauttaminen, siirtäminen tai hävittäminen | Palauta, siirrä tai hävitä henkilötiedot turvallisesti ja aseta käytäntö saataville |
| A.2.4.4 PII-lähetysten ohjaimet | PII-lähetysohjaimet | Rekisteröidyn henkilötiedot siirretään verkkojen kautta asianmukaisiin valvontayksiköihin |
| A.2.5.2 Henkilötietojen siirron peruste | Henkilötietojen siirron peruste lainkäyttöalueiden välillä | Ilmoita asiakkaalle kansainvälisten henkilötietojen siirtojen perusteet ajoissa |
| A.2.5.3 Maat, joissa henkilötietoja siirretään | Maat ja kansainväliset järjestöt henkilötietojen siirtoa varten | Määritä ja dokumentoi maat ja organisaatiot, joille henkilötietoja voidaan siirtää |
| A.2.5.4 Henkilötietojen luovutusten tiedot | Kolmansille osapuolille annettujen henkilötietojen tiedot | Kirjaa henkilötietojen paljastukset, mukaan lukien mitä tietoja on paljastettu, kenelle ja milloin |
| A.2.5.5 Henkilötietojen luovutuspyynnöt | Henkilötietojen luovutuspyyntöjen ilmoittaminen | Ilmoita asiakkaalle kaikista oikeudellisesti sitovista tiedonantopyynnöistä |
| A.2.5.6 Oikeudellisesti sitovat tiedonannot | Oikeudellisesti sitovat henkilötietojen luovutukset | Hylkää sitomattomat pyynnöt ja keskustele asiakkaan kanssa ennen tietojen luovuttamista |
| A.2.5.7 Alihankkijoiden julkistaminen | Henkilötietojen käsittelyyn käytettyjen alihankkijoiden julkistaminen | Kerro asiakkaalle ennen alihankkijoiden käyttöä, käytetäänkö alihankkijoita |
| A.2.5.8 Alihankkijoiden palkkaaminen | Alihankkijan palkkaaminen henkilötietojen käsittelyyn | Käytä alihankkijoita vain asiakassopimuksen mukaisesti |
| A.2.5.9 Alihankkijan vaihtaminen | Alihankkijan vaihto henkilötietojen käsittelyyn | Ilmoita asiakkaalle aiotuista alihankkijan muutoksista ja salli vastalauseiden esittäminen |
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.
Miten käsittelijän hallintalaitteet liittyvät GDPR:ään?
Taulukko A.2 kuvaa ensisijaisesti GDPR 28 artikla (henkilötietojen käsittelijän velvollisuudet) ja 30 artikla (käsittelyn kirjaaminen). Keskeiset yhteydet:
- A.2.2.2 Asiakassopimus–3 (Sopimukset ja tarkoitukset) → 28 artiklan 3 kohdan a alakohta, 29 artikla – käsittely rekisterinpitäjän valtuudella
- A.2.2.7 Henkilötietojen käsittelyä koskevat tiedot (Tietueet) → 30 artiklan 2–5 kohta – käsittelijän käsittelytoimia koskevat tiedot
- A.2.4.3 Palautus, siirto tai hävittäminen (Palautus/hävitys) → 28 artiklan 3 kohdan g alakohta – poistaminen tai palauttaminen palvelun päättymisen jälkeen
- A.2.5.7 Alihankkijoiden julkistaminen–9 (Alihankkijat) → 28 artiklan 2–4 kohta – alihankkijan valtuutus ja muutokset
Mitä muuta PII-käsittelijöihin sovelletaan?
Taulukko A.2 ei ole täydellinen PII-prosessoreiden vaatimusten luettelo. Sinun on myös toteutettava soveltuvat ohjausobjektit kohdasta Taulukko A.3 (jaetut suojaustoimenpiteet), joka kattaa tietoturvallisuuden perusteet, kuten pääsynhallinnan, tapaustenhallinnan, kryptografian ja lokitiedot.
Miksi valita ISMS.online henkilötietojen käsittelijän vaatimustenmukaisuuden varmistamiseksi?
ISMS.online auttaa sinua toteuttamaan ja todentamaan jokaisen taulukon A.2 mukaisen valvonnan:
- Sopimusten hallinta — Seuraa asiakassopimuksia, käsittelytarkoituksia ja vaatimustenmukaisuusvelvoitteita
- Alihankkijarekisteri — Dokumentoi alihankkijat, heidän sijaintinsa ja asiakkaille ilmoittamisprosessin
- Siirrä tietueet — Ylläpitää kansainvälisten siirtojen rekisteriä oikeusperustan dokumentoinnilla
- Tietojen lokitiedot — Kirjaa kaikki henkilötietojen paljastukset ja kerro, mitä, kenelle ja milloin
- Palveluksen päättymismenettelyt — Dokumentoi ja seuraa henkilötietojen palautus-, siirto- tai hävittämisprosesseja
- Kaksoisroolien tuki — Jos toimit sekä rekisterinpitäjänä että käsittelijänä, hallinnoi molempia Taulukko A.1 ja A.2 yhdessä paikassa
UKK
Miksi prosessoriohjaimia on vain 18 verrattuna 31 ohjaimeen?
Henkilötietojen käsittelijät toimivat rekisterinpitäjän ohjeiden mukaisesti, joten monet yksityisyyden suojaan liittyvät päätökset (oikeusperuste, suostumus, rekisteröidyn oikeudet) ovat rekisterinpitäjän vastuulla. Käsittelijän valvonta keskittyy sopimusten noudattamiseen, käsittelyrajoituksiin, alihankkijoiden hallintaan ja tietojen luovuttamiseen.
Voiko organisaatio olla sekä rekisterinpitäjä että henkilötietojen käsittelijä?
Kyllä. Monet organisaatiot toimivat rekisterinpitäjinä joissakin käsittelytoimissa ja käsittelijöinä toisissa. Tässä tapauksessa molemmat Taulukko A.1 ja taulukko A.2 ovat voimassa, ja kullekin käsittelytoiminnolle on määritetty erilliset roolit. Standardin ISO 27701:2025 kohta 4.1 edellyttää, että määrität roolisi jokaiselle henkilötietojen käsittelytapaukselle.
Tarvitsenko myös taulukon A.3 prosessoriksi?
Kyllä. Taulukko A.3 (jaetut suojaustoimenpiteet) koskee sekä ohjaimia että prosessoreita. Prosessorina tarvitset sekä taulukon A.2 (prosessorikohtainen) että Taulukko A.3 (jaetut tietoturva)kontrollit sovellettavuuslausekkeessasi.
SaaS-organisaatiot löytävät räätälöityjä ohjeita käsittelijöille osoitteestamme opas SaaS-alustoille.
Katso, miten hankintatiimit käyttävät ISO 27701 -standardia arvioidakseen prosessoreita yrityksessämme. toimittajien arviointiopas ja hankintavaatimus opas.
