Hyppää sisältöön
ISMS.online

ISO 27701:2025 -valvonta A.2.2.2: Asiakassopimus

Kontrolli A.2.2.2 edellyttää, että henkilötietojen käsittelijät varmistavat, että sopimuksissa käsitellään käsittelijän roolia asiakkaan henkilötietojen velvoitteiden täyttämisessä. Tämä kontrolli luo sopimuspohjan kaikille ISO 27701:2025 -standardin mukaisille käsittelijän toimille.

kirjailija
Max Edwards
Päivitetty maaliskuu 27, 2026
4/5 tähteä

Mitä kohta A.2.2.2 edellyttää?

Organisaation on varmistettava tarvittaessa, että henkilötietojen käsittelyä koskevassa sopimuksessa käsitellään organisaation roolia asiakkaan velvoitteiden täyttämisessä (ottaen huomioon käsittelyn luonteen ja organisaation käytettävissä olevat tiedot).

Tämä ohjaus sijaitsee PII-käsittelijän hallintalaitteet liite (A.2) ja luo sopimusperusteisen perustan käsittelijän ja rekisterinpitäjän suhteelle. Se edellyttää, että käsittelijät menevät pelkän tietojenkäsittelyn lisäksi aktiivisesti avustamaan rekisterinpitäjiä heidän velvoitteissaan – kuten tietoturvaloukkauksista ilmoittamisessa, rekisteröidyn oikeuksissa, tietosuojavaikutusten arvioinneissa ja turvatoimenpiteissä. Sopimuksessa on määriteltävä nämä avustamisvelvoitteet selkeästi.

Mitä liitteen B täytäntöönpano-ohjeissa sanotaan?

Liitteessä B (kohta B.2.2.2) annetaan seuraavat ohjeet siitä, mitä sopimuksen tulisi sisältää:

  • Sisäänrakennettu tietosuoja ja oletusarvoinen tietosuoja — Sopimuksessa tulisi käsitellä käsittelijän roolia sisäänrakennetun yksityisyyden suojan ja oletusarvoisen yksityisyyden suojan periaatteiden tukemisessa
  • Käsittelyn turvallisuus — Sopimuksen tulisi kattaa, miten käsittelijä auttaa saavuttamaan asianmukaiset turvatoimenpiteet
  • Tietoturvaloukkauksesta ilmoittaminen valvontaviranomaisille — Sopimuksessa tulisi määritellä käsittelijän velvollisuudet ilmoittaa rekisterinpitäjälle henkilötietoja koskevista tietoturvaloukkauksista, jotta rekisterinpitäjä voi täyttää ilmoitusvelvollisuutensa.
  • Tietomurtoilmoitus asiakkaille ja PII-päälliköille — Sopimuksessa tulisi käsitellä, miten käsittelijä avustaa rekisterinpitäjää ilmoittamaan asianomaisille henkilöille
  • Tietosuojavaikutusten arvioinnit — Sopimuksen tulisi sisältää käsittelijän rooli tietosuojaa koskevien vaikutustenarviointien suorittamisessa tai niihin osallistumisessa
  • Ennakkokonsultaatio — Sopimuksen tulisi kattaa avunanto, jos rekisterinpitäjän on kuultava henkilötietojen suojaa koskevia viranomaisia
  • Katso myös A.2.2.4: Markkinoinnin ja mainonnan käyttö asiaankuuluvia vaatimuksia varten
  • Katso myös A.2.2.5: Rikkova ohje asiaankuuluvia vaatimuksia varten

Joillakin lainkäyttöalueilla edellytetään, että sopimukseen sisältyy myös käsittelyn kohde ja kesto, käsittelyn luonne ja tarkoitus, henkilötietojen tyyppi sekä henkilötietojen käsittelijöiden luokat.

Miten tämä vastaa GDPR:ää?

Kontrolli A.2.2.2 vastaa seuraavaa GDPR artikkeleita:

  • 28 artiklan 3 kohdan e alakohta — Käsittelijän on avustettava rekisterinpitäjää varmistamaan turvallisuuteen, tietoturvaloukkausten ilmoittamiseen, tietosuojaa koskevien vaikutustenarviointien tekemiseen ja ennakkokuulemiseen liittyvien velvoitteiden noudattamisen
  • 28 artiklan 3 kohdan f alakohta — Käsittelijän on avustettava rekisterinpitäjää varmistamaan tietoturvaa, tietoturvaloukkausten ilmoittamista, tietosuojaa koskevien vaikutustenarviointien ja ennakkokuulemisvelvoitteiden noudattaminen ottaen huomioon käsittelyn luonteen ja käytettävissä olevat tiedot.
  • Article 28 (9) – Sopimuksen on oltava kirjallinen, myös sähköinen
  • Article 35 (1) — Jos käsittely todennäköisesti aiheuttaa korkean riskin, edellytetään tietosuojaa koskevan vaikutustenarvioinnin tekemistä, ja käsittelijän olisi avustettava

GDPR Artikla 28 on ensisijainen oikeusperusta jalostajasopimuksille, ja A.2.2.2 tarjoaa jäsennellyn tavan varmistaa, että sopimukset täyttävät nämä vaatimukset.

Mikä muuttui standardista ISO 27701:2019?

Vaiheittaisen lähestymistavan löydät kohdasta Siirtymäkausi vuodesta 2019 vuoteen 2025.

Vuoden 2019 painoksessa tätä vaatimusta käsiteltiin laajemman lausekerakenteen sisällä. Vuoden 2025 painoksessa A.2.2.2 on oma erillisenä ehtona, ja B.2.2.2:ssa on selkeämmät toteutusohjeet, joissa luetellaan nimenomaisesti kuusi osa-aluetta, jotka sopimuksen tulisi kattaa. Katso Liitteen F vastaavuustaulukko koko kartoitusta varten.



Löydä vaatimustenmukaisuusvarmuutesi ISMS.onlinen avulla

Aloita helposti henkilökohtaisella tuote-esittelyllä

Yksi perehdytysasiantuntijoistamme opastaa sinua alustamme läpi ja auttaa sinua alkuun luottavaisin mielin.

Varaa esittelysi


Mitä todisteita tilintarkastajat odottavat?

Arvioidessaan kohdan A.2.2.2 vaatimustenmukaisuutta tilintarkastajat etsivät tyypillisesti seuraavia seikkoja:

  • Tietojenkäsittelysopimukset — Asiakkaiden kanssa allekirjoitetut sopimukset, jotka sisältävät kaikki kuusi käyttöönotto-ohjeissa määriteltyä osa-aluetta
  • Sopimusmallit — Vakiosopimusmallit tai -lausekkeet, joita organisaatio käyttää varmistaakseen asiakassopimusten yhdenmukaisuuden
  • Avustuskyky — Todiste siitä, että organisaatiolla on toiminnallinen valmius tarjota sopimuksessa kuvattua apua (esim. tietomurtoilmoitusmenettelyt, tietosuojavaikutusten arvioinnin tukiprosessit)
  • Sopimuksen tarkistusprosessi — Dokumentoitu prosessi sopimusten tarkistamiseksi sen varmistamiseksi, että PII-suojavelvoitteet on asianmukaisesti käsitelty
  • Lainkäyttövallan noudattaminen — Todiste siitä, että sopimuksiin sisältyy soveltuvin osin lainkäyttöaluekohtaisia ​​vaatimuksia (esim. kohde, kesto, ammatillisen vastuuvakuutuksen tyypit)

Mitä asiaan liittyviä ohjausobjekteja on?

Valvonta: Yhteys
A.2.2.3 Organisaation tarkoitukset Sopimus määrittelee tarkoitukset, joihin henkilötietoja voidaan käsitellä.
A.2.2.6 Asiakkaan velvollisuudet Käsittelijän on annettava tietoja, jotka auttavat asiakasta osoittamaan vaatimustenmukaisuuden
A.1.2.7 Sopimukset henkilötietojen käsittelijöiden kanssa Rekisterinpitäjän puolen vastine prosessorin sopimusvaatimuksille
A.3.11 Häiriönhallintasuunnittelu Tietomurtoilmoitusten avunantovelvollisuudet riippuvat tietomurtojen hallintakyvystä
A.2.5.8 Alihankkijan palkkaaminen Alihankkijasopimusten on oltava asiakkaan sopimusehtojen mukaisia

Ketä tämä valvonta koskee?

A.2.2.2 koskee yksinomaan PII-käsittelijätSe velvoittaa käsittelijän varmistamaan, että sopimuksessa käsitellään riittävästi sen avustavaa roolia. Vaikka rekisterinpitäjä tyypillisesti laatii tietojenkäsittelysopimuksen, käsittelijällä on itsenäinen velvollisuus varmistaa, että sopimus kattaa vaaditut alueet, ja merkitä mahdolliset puutteet.



ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa

ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Varaa esittelysi


Miksi valita ISMS.online käsittelijäsopimusten hallintaan?

ISMS.online tarjoaa käytännön työkaluja asiakassopimusten hallintaan henkilötietojen käsittelijänä:

  • Sopimusrekisteri — Ylläpitää keskitettyä rekisteriä kaikista tietojenkäsittelysopimuksista, jotka sisältävät tarkistuspäivämäärät, vaatimustenmukaisuuden tilan ja niihin liittyvät velvoitteet
  • Sopimusmallit — Käytä valmiita DPA-pohjia, jotka sisältävät kaikki kuusi kohdassa B.2.2.2 määriteltyä aluetta ja joita voidaan mukauttaa organisaatiosi palveluihin.
  • Velvoitteiden seuranta — Seuraa kunkin asiakassopimuksen erityisiä avustusvelvoitteita tehtävien määrittämisen ja tilan seurannan avulla
  • Arviointien ajoitus — Aikatauluta säännöllisiä sopimustarkistuksia automaattisilla muistutuksilla varmistaaksesi, että sopimukset pysyvät ajan tasalla
  • Vaatimustenmukaisuustodistus — Säilytä allekirjoitetut sopimukset, tarkastusasiakirjat ja osaamistodisteet jäsennellyssä, tarkastusvalmiissa muodossa

UKK

Mitä tapahtuu, jos asiakkaan sopimus ei kata kaikkia vaadittuja osa-alueita?

Käsittelijällä on velvollisuus varmistaa, että sopimus täyttää sen avustajan roolin. Jos asiakas toimittaa sopimuksen, josta puuttuu vaadittuja elementtejä, käsittelijän tulee merkitä puutteet ja pyytää muutoksia. Ei riitä, että käsittelijä vain allekirjoittaa puutteellisen sopimuksen – kohdan A.2.2.2 mukaan käsittelijällä on velvollisuus tarkistaa kattavuus. Jos asiakas ei ole halukas muuttamaan sopimusta, käsittelijän tulee dokumentoida puute ja riski sekä harkita, onko järjestelyyn ryhtyminen asianmukaista.

Tarvitaanko erillinen DPA, vai voidaanko ehdot sisällyttää pääpalvelusopimukseen?

Kumpikin lähestymistapa on hyväksyttävä. Keskeinen vaatimus on, että henkilötietojen käsittelyä koskevat ehdot dokumentoidaan kirjallisesti (myös sähköisessä muodossa) ja että ne ovat selvästi tunnistettavissa. Monet organisaatiot käyttävät erillistä tietosuojasopimusta liitteenä tai liitteenä pääasialliseen palvelusopimukseen, mikä helpottaa henkilötietoja koskevien ehtojen tarkistamista ja päivittämistä ilman koko sopimuksen uudelleenneuvottelua. Muodolla on vähemmän merkitystä kuin velvoitteiden täydellisyydellä ja selkeydellä.

Miten käsittelijän tulisi laajentaa avunantovelvoitteitaan?

Valvonnassa täsmennetään, että avun antamisessa on otettava huomioon "käsittelyn luonne ja organisaation käytettävissä olevat tiedot". Tämä tarkoittaa, että käsittelijän avustusvelvoitteiden tulee olla oikeassa suhteessa sen rooliin. Käsittelijällä, joka tallentaa vain salattuja tietoja, voi olla rajalliset mahdollisuudet avustaa esimerkiksi rekisteröityjen tiedonsaantipyyntöjen kanssa. Sopimuksessa on määriteltävä selkeästi avun laajuus ja rajoitukset, välttäen avoimia sitoumuksia, joita käsittelijä ei käytännössä voi täyttää.

Hankintatiimit vaativat yhä useammin ISO 27701 -sertifiointia — katso lisätietoja hankintavaatimusten opas ja toimittajien arviointiopas.

SaaS-alustat voivat löytää räätälöityjä sopimusohjeita osoitteestamme opas SaaS-alustoille.

Max Edwards

Max toimii osana ISMS.online-markkinointitiimiä ja varmistaa, että verkkosivustomme päivitetään hyödyllisellä sisällöllä ja tiedolla kaikesta ISO 27001, 27002 ja vaatimustenmukaisuudesta.

Tee virtuaalikierros

Aloita ilmainen kahden minuutin interaktiivinen demosi nyt ja katso
ISMS.online toiminnassa!

Kokeile nyt
alustan kojelauta täysin uudenveroinen

Olemme alamme johtaja

4/5 tähteä
Käyttäjät rakastavat meitä
Johtaja - kevät 2026
Huippusuorittaja - kevät 2026 Pienyritykset Isossa-Britanniassa
Aluejohtaja - kevät 2026 EU
Aluejohtaja - kevät 2026 EMEA
Aluejohtaja - kevät 2026, Iso-Britannia
Huippusuorittaja - kevät 2026, keskikokoinen markkina-alue EMEA-alueella

"ISMS.Online, erinomainen työkalu sääntelyn noudattamiseen"

—Jim M.

"Tekee ulkoisista tarkastuksista helppoa ja yhdistää kaikki ISMS:si osat saumattomasti yhteen"

—Karen C.

"Innovatiivinen ratkaisu ISO- ja muiden akkreditointien hallintaan"

—Ben H.