Hyppää sisältöön
ISMS.online

ISO 27701:2025 -standardin mukainen valvonta A.2.2.3: Organisaation tarkoitus

Kohdan A.2.2.3 mukainen valvonta edellyttää henkilötietojen käsittelijöiltä, ​​että asiakkaan puolesta käsiteltäviä henkilötietoja käsitellään ainoastaan ​​asiakkaan dokumentoiduissa ohjeissa ilmaistuihin tarkoituksiin. Tämä on käsittelijän perusvelvollisuus, joka estää henkilötietojen luvattoman käytön.

kirjailija
Max Edwards
Päivitetty maaliskuu 27, 2026
4/5 tähteä

Mitä kohta A.2.2.3 edellyttää?

Organisaation on varmistettava, että asiakkaan puolesta käsiteltäviä henkilötietoja käsitellään vain asiakkaan dokumentoiduissa ohjeissa ilmaistuihin tarkoituksiin.

Tämä ohjaus sijaitsee PII-käsittelijän hallintalaitteet liite (A.2) ja siinä vahvistetaan käsittelijän perustavanlaatuisin velvoite: käyttötarkoituksen rajoittaminen. Käsittelijä on olemassa rekisterinpitäjän ohjeiden toteuttamiseksi, ei omien tavoitteidensa saavuttamiseksi tiedoilla. Kaikki asiakkaan dokumentoimien ja ohjeiden ulkopuolinen käsittely on tämän valvonnan loukkaus ja mahdollisesti tietosuojalainsäädännön rikkomus.

Mitä liitteen B täytäntöönpano-ohjeissa sanotaan?

Liitteessä B (kohta B.2.2.3) annetaan seuraavat ohjeet:

  • Dokumentoi palvelun tavoite ja aikataulu — Organisaation ja asiakkaan välisen sopimuksen tulisi sisältää muun muassa palvelun tavoite ja aikataulu.
  • Salli tekninen harkintavalta yleisten ohjeiden puitteissa — Voi olla teknisiä syitä, miksi organisaation on tarkoituksenmukaista määrittää henkilötietojen käsittelymenetelmä asiakkaan yleisten ohjeiden mukaisesti mutta ilman asiakkaan nimenomaisia ​​ohjeita. Esimerkiksi tiettyjen käsittelyresurssien kohdentaminen henkilötietojen päämiehen tiettyjen ominaisuuksien perusteella.
  • Ota asiakkaan vahvistus käyttöön — Organisaation tulisi antaa asiakkaan varmistaa, että se noudattaa käyttötarkoituksen määrittelyn ja rajoituksen periaatteita
  • Laajenna alihankkijoihin — Tämä varmistaa myös, että organisaatio tai sen alihankkijat eivät käsittele henkilötietoja muihin kuin asiakkaan dokumentoiduissa ohjeissa ilmaistuihin tarkoituksiin.
  • Katso myös A.2.2.6: Asiakkaan velvollisuudet asiaankuuluvia vaatimuksia varten

Ohjeistus löytää pragmaattisen tasapainon: käsittelijät voivat tehdä teknisiä päätöksiä siitä, miten tietoja käsitellään tehokkaasti, mutta he eivät saa muuttaa tietojen käsittelyn tarkoitusta. Asiakkaan on voitava varmistaa, että tätä rajaa noudatetaan.

Miten tämä vastaa GDPR:ää?

Kontrolli A.2.2.3 vastaa seuraavaa GDPR artikkeleita:

  • 5 artikla (1) a) — Laillisuuden, oikeudenmukaisuuden ja läpinäkyvyyden periaate
  • 5 artiklan 1 kohdan b alakohta — Käyttötarkoituksen rajoittamisen periaate, jonka mukaan henkilötietoja kerätään tiettyjä, nimenomaisia ​​ja laillisia tarkoituksia varten, eikä niitä saa myöhemmin käsitellä näiden tarkoitusten kanssa yhteensopimattomalla tavalla
  • 28 artikla (3) a) — Käsittelijä käsittelee henkilötietoja ainoastaan ​​rekisterinpitäjän antamien dokumentoitujen ohjeiden mukaisesti.
  • Artikla 29 — Käsittelijä ei saa käsitellä henkilötietoja muuten kuin rekisterinpitäjän ohjeiden mukaisesti.
  • Article 32 (4) — Henkilötietojen käsittelijän alaisuudessa toimiva henkilö, jolla on pääsy henkilötietoihin, ei saa käsitellä niitä muutoin kuin rekisterinpitäjän ohjeiden mukaisesti.

Alle GDPR, käsittelijä, joka käsittelee tietoja asiakkaan dokumentoitujen ohjeiden vastaisesti, on vaarassa joutua uudelleen luokitelluksi rekisterinpitäjäksi kyseisen käsittelyn osalta kaikkine siihen liittyvine lakisääteisine velvoitteineen.

Mikä muuttui standardista ISO 27701:2019?

Vaiheittaisen lähestymistavan löydät kohdasta Siirtymäkausi vuodesta 2019 vuoteen 2025.

Vuoden 2019 painoksessa tätä vaatimusta käsiteltiin laajemman lausekerakenteen sisällä. Vuoden 2025 painoksessa A.2.2.3 on omana erillisenä kontrollina, ja sen toteutusohjeistus on kohdassa B.2.2.3, joka selventää oikeutetun teknisen harkintavallan ja luvattoman käyttötarkoituksen laajentamisen välistä rajaa. Katso Liitteen F vastaavuustaulukko koko kartoitusta varten.



ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa

ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Varaa demo


Mitä todisteita tilintarkastajat odottavat?

Arvioidessaan kohdan A.2.2.3 vaatimustenmukaisuutta tilintarkastajat etsivät tyypillisesti seuraavia seikkoja:

  • Dokumentoidut asiakasohjeet — Jokaiselta asiakkaalta selkeät kirjalliset ohjeet, joissa eritellään henkilötietojen käsittelyn tarkoitukset
  • Tietueiden käsittely — Tiedot, jotka osoittavat, että tosiasialliset käsittelytoimet ovat linjassa dokumentoitujen asiakasohjeiden kanssa
  • Vahvistusmekanismit — Todisteet siitä, että asiakkaat voivat varmistaa käyttötarkoituksenmukaisuuden, kuten tarkastusoikeudet, raportointimahdollisuudet tai läpinäkyvyysnäkymät
  • Alihankkijoiden valvonta — Todiste siitä, että käyttötarkoituksen rajoittamista koskeva velvoite ulottuu myös henkilötietojen käsittelyyn osallistuviin alihankkijoihin
  • Henkilöstökoulutus — Koulutustiedot, jotka osoittavat henkilöstön ymmärtävän, ettei heidän tule käsitellä henkilötietoja asiakkaan dokumentoitujen tarkoitusten ulkopuolella

Mitä asiaan liittyviä ohjausobjekteja on?

Valvonta: Yhteys
A.2.2.2 Asiakassopimus Sopimuksen tulee dokumentoida käsittelyn tarkoitukset ja ohjeet
A.2.2.4 Markkinoinnin ja mainonnan käyttö Erityinen kielto käyttää henkilötietoja markkinointitarkoituksiin, jotka eivät kuulu asiakkaan ohjeiden piiriin.
A.2.2.5 Rikkova ohje Käsittelijän on merkittävä asiakkaan ohjeet, jotka saattavat rikkoa lakia
A.2.5.8 Alihankkijan palkkaaminen Myös alihankkijoiden on noudatettava asiakkaan käyttötarkoitusrajoituksia.
A.2.2.7 Käsittelyn tiedot Rekistereissä on osoitettava, että käsittely on linjassa dokumentoitujen tarkoitusten kanssa.

Ketä tämä valvonta koskee?

A.2.2.3 koskee yksinomaan PII-käsittelijätSe on käyttötarkoituksen rajoittamisen periaatteen toteutus käsittelijän puolella. Rekisterinpitäjät määrittelevät käyttötarkoitukset; käsittelijöiden on pysyttävä tiukasti näiden rajojen sisällä. Kaikki organisaation omiin tarkoituksiin (analytiikka, tuotekehitys, tekoälykoulutus) tapahtuva käsittely ilman nimenomaista asiakkaan lupaa rikkoisi tätä valvontaa.



ISMS.onlinen tehokas kojelauta

Aloita helposti henkilökohtaisella tuote-esittelyllä

Yksi perehdytysasiantuntijoistamme opastaa sinua alustamme läpi ja auttaa sinua alkuun luottavaisin mielin.

Varaa esittelysi


Miksi valita ISMS.online käyttötarkoituksen rajoittamisen noudattamiseksi?

ISMS.online tarjoaa käytännön työkaluja käyttötarkoituksen rajoittamisen osoittamiseen käsittelijänä:

  • Käsittelyrekisteri — Dokumentoi ja ylläpidä asiakaskohtaista rekisteriä käsittelytoimista, jotka on linkitetty heidän dokumentoituihin ohjeisiinsa ja tarkoituksiinsa
  • Asiakkaan ohjeiden seuranta — Kirjaa asiakkaan ohjeet versionhallintajärjestelmällä, jotta voit osoittaa, mitkä ohjeet olivat voimassa milläkin hetkellä
  • Alihankkijoiden hallinta — Virtauksen käyttötarkoituksen rajoitukset alihankkijoille, sopimusten seuranta ja vaatimustenmukaisuuden valvonta
  • Tarkastuksen tuki — Tarjota asiakkaille todistepaketteja, jotka osoittavat käyttötarkoituksenmukaisuuden ja tukevat heidän todennusoikeuksiaan
  • Politiikan hallinta — Julkaise ja jaa käyttötarkoituksen rajoittamista koskevat käytännöt henkilöstölle ja käytä kuittausten seurantaa

UKK

Voiko käsittelijä käyttää henkilötietoja omaan analytiikkaansa tai tuotekehitykseensä?

Ei ilman asiakkaan nimenomaista lupaa. Asiakkaan henkilötietojen käyttäminen käsittelijän omiin tarkoituksiin – kuten koneoppimismallien kouluttamiseen, vertailuanalyysiin, tuoteparannukseen tai analytiikkaan – on dokumentoitujen ohjeiden mukaista käsittelyä ja rikkoo A.2.2.3:a. GDPR:n mukaan käsittelijää, joka yksipuolisesti päättää käsitellä tietoja omiin tarkoituksiinsa, voidaan pitää rekisterinpitäjänä kyseisen käsittelyn osalta, jolloin hän perii kaikki rekisterinpitäjän velvoitteet ja mahdollisen vastuun.

Mikä on raja teknisen harkinnanvaraisuuden ja käyttötarkoituksen laajentamisen välillä?

Tekninen harkintavalta tarkoittaa, että käsittelijä voi päättää, miten asiakkaan tarkoitus saavutetaan tehokkaasti – esimerkiksi valitsemalla käytettävät palvelimet, miten käsittelyresurssit kohdennetaan tai mitä välimuististrategiaa sovelletaan. Käyttötarkoituksen laajentaminen tarkoittaa, että käsittelijä käyttää tietoja tarkoitukseen, jota asiakas ei ole ohjeistanut – esimerkiksi analysoimalla henkilötietojen malleja käsittelijän omien liiketoimintanäkemysten saamiseksi. Testataan, palveleeko käsittely asiakkaan dokumentoitua tarkoitusta vai käsittelijän omia etuja.

Miten käyttötarkoituksen rajoituksista tulisi viestiä henkilöstölle?

Kaikkien asiakkaiden henkilötietoihin pääsyä omaavien työntekijöiden tulee ymmärtää, että he saavat käsitellä niitä vain asiakkaan ohjeissa dokumentoituihin tarkoituksiin. Tämä tulisi käsitellä perehdytyskoulutuksessa, vahvistaa säännöllisissä tiedotustilaisuuksissa ja heijastua roolipohjaisissa käyttöoikeuksien hallinnassa. Teknisten valvontatoimien tulisi myös varmistaa käyttötarkoituksen rajoittaminen mahdollisuuksien mukaan – esimerkiksi rajoittamalla tietojen vientiä, estämällä joukkolatauksia ja kirjaamalla kaikki käyttöoikeudet tarkastustarkoituksiin.

SaaS-organisaatiot kohtaavat ainutlaatuisia prosessorihaasteita – katso opas SaaS-alustoille.

Yhtiömme tarkastusevidenssivaatimusten opas kattaa tilintarkastajien odottamat todisteet käsittelijän kontrolleilta.

Max Edwards

Max toimii osana ISMS.online-markkinointitiimiä ja varmistaa, että verkkosivustomme päivitetään hyödyllisellä sisällöllä ja tiedolla kaikesta ISO 27001, 27002 ja vaatimustenmukaisuudesta.

Tee virtuaalikierros

Aloita ilmainen kahden minuutin interaktiivinen demosi nyt ja katso
ISMS.online toiminnassa!

Kokeile nyt
alustan kojelauta täysin uudenveroinen

Olemme alamme johtaja

4/5 tähteä
Käyttäjät rakastavat meitä
Johtaja - kevät 2026
Huippusuorittaja - kevät 2026 Pienyritykset Isossa-Britanniassa
Aluejohtaja - kevät 2026 EU
Aluejohtaja - kevät 2026 EMEA
Aluejohtaja - kevät 2026, Iso-Britannia
Huippusuorittaja - kevät 2026, keskikokoinen markkina-alue EMEA-alueella

"ISMS.Online, erinomainen työkalu sääntelyn noudattamiseen"

—Jim M.

"Tekee ulkoisista tarkastuksista helppoa ja yhdistää kaikki ISMS:si osat saumattomasti yhteen"

—Karen C.

"Innovatiivinen ratkaisu ISO- ja muiden akkreditointien hallintaan"

—Ben H.