Hyppää sisältöön
ISMS.online

ISO 27701:2025 -standardin valvonta A.2.2.4: Markkinoinnin ja mainonnan käyttö

Kohdan A.2.2.4 mukainen valvonta edellyttää, että henkilötietojen käsittelijät eivät käytä sopimuksen nojalla käsiteltyjä henkilötietoja markkinointi- tai mainostarkoituksiin ilman etukäteistä suostumusta asianomaiselta henkilötietojen käsittelijältä. Käsittelijä ei saa asettaa tällaisen suostumuksen antamista palvelun vastaanottamisen ehdoksi.

kirjailija
Max Edwards
Päivitetty maaliskuu 27, 2026
4/5 tähteä

Mitä kohta A.2.2.4 edellyttää?

Organisaatio ei saa käyttää sopimuksen nojalla käsiteltyjä henkilötietoja markkinointi- ja mainontatarkoituksiin ilman, että se on varmistanut, että asianomaiselta henkilötietojen käsittelijältä on saatu etukäteen suostumus. Organisaatio ei saa asettaa tällaisen suostumuksen antamista palvelun vastaanottamisen ehdoksi.

Tämä ohjaus sijaitsee PII-käsittelijän hallintalaitteet liite (A.2) ja luo erityisen, ehdottoman kiellon: käsittelijät eivät saa käyttää asiakkaiden henkilötietoja uudelleen omaan markkinointi- tai mainontatoimintaansa. Tämä menee yleisen käyttötarkoituksen rajoituksen pidemmälle. A.2.2.3 Organisaation tarkoitus nimeämällä markkinointi nimenomaisesti kielletyksi käytöksi ja lisäämällä vaatimuksen niputtamatta jättämisestä – markkinointisuostumusta ei voida sitoa palvelun tarjoamiseen.

Mitä liitteen B täytäntöönpano-ohjeissa sanotaan?

Liitteessä B (kohta B.2.2.4) annetaan seuraavat ohjeet:

  • Asiakirjojen vaatimustenmukaisuus — Henkilötietojen käsittelijöiden noudattaminen asiakkaan sopimusvelvoitteiden mukaisesti tulee dokumentoida, erityisesti silloin, kun markkinointia tai mainontaa suunnitellaan.
  • Ei markkinoinnin pakollista sisällyttämistä — Organisaatioiden ei tulisi vaatia markkinointi- tai mainontatarkoitusten sisällyttämistä, jos henkilötietojen käsittelijöiltä ei ole asianmukaisesti saatu nimenomaista suostumusta.
  • Katso myös A.2.2.5: Rikkova ohje asiaankuuluvia vaatimuksia varten
  • Katso myös A.2.2.6: Asiakkaan velvollisuudet asiaankuuluvia vaatimuksia varten

Ohjeissa todetaan myös, että tämä valvonta täydentää yleisempää käyttötarkoituksen rajoittamisen valvontaa A.2.2.3 Organisaation tarkoitus eikä korvaa tai syrjäytä sitä. Vaikka markkinointisuostumus hankittaisiin, käsittelyn on silti noudatettava asiakkaan dokumentoituja ohjeita.

Miten tämä vastaa GDPR:ää?

Kontrolli A.2.2.4 vastaa seuraavaa GDPR artikkeli:

  • Article 7 (4) — Arvioitaessa, onko suostumus annettu vapaasta tahdosta, on otettava äärimmäisen huomioon se, onko sopimuksen täytäntöönpanon edellytyksenä suostumus sellaisten henkilötietojen käsittelyyn, jotka eivät ole tarpeen kyseisen sopimuksen täytäntöönpanon kannalta.

Artikla 7(4) käsittelee suoraan ”niputtamisongelman”: markkinointisuostumus ei todennäköisesti ole vapaaehtoinen (ja siten pätevä), jos se on palvelun vastaanottamisen ehto. Tämä tekee A.2.2.4 kohdan mukaisesta niputtamiskieltoa koskevasta vaatimuksesta... GDPR vaatimustenmukaisuuden välttämättömyys, ei vain parhaat käytännöt.

Mikä muuttui standardista ISO 27701:2019?

Vaiheittaisen lähestymistavan löydät kohdasta Siirtymäkausi vuodesta 2019 vuoteen 2025.

Vuoden 2019 painoksessa tätä vaatimusta käsiteltiin laajemman lausekerakenteen sisällä. Vuoden 2025 painoksessa A.2.2.4 on omana erillisenä kontrollinaan, ja sen toteutusta on ohjeistettu selkeämmin kohdassa B.2.2.4. Nimenomainen huomautus siitä, että tämä kontrolli täydentää, mutta ei korvaa, A.2.2.3 Organisaation tarkoitus on hyödyllinen selvennys. Katso Liitteen F vastaavuustaulukko koko kartoitusta varten.



ISMS.onlinen tehokas kojelauta

Aloita ilmainen kokeilu

Haluatko tutkia?

Rekisteröidy ilmaiseen kokeilujaksoon tänään ja pääset käyttämään kaikkia ISMS.onlinen tarjoamia yhteensopivuusominaisuuksia

Aloita


Mitä todisteita tilintarkastajat odottavat?

Arvioidessaan kohdan A.2.2.4 vaatimustenmukaisuutta tilintarkastajat etsivät tyypillisesti seuraavia seikkoja:

  • Markkinointikäytäntö — Dokumentoitu käytäntö, joka kieltää asiakkaan henkilötietojen käytön markkinointiin tai mainontaan ilman voimassa olevaa suostumusta
  • Suostumustiedot — Jos markkinointikäyttöä tapahtuu, todisteet siitä, että henkilötietojen käsittelijöiltä on saatu etukäteen vapaaehtoinen suostumus ja että suostumusta ei ole liitetty palveluun
  • Sopimusehdot — Todisteet siitä, että palvelusopimuksissa ei ole markkinointisuostumusta palvelun tarjoamisen edellytyksenä
  • Tekniset tarkastukset — Todisteet siitä, että tekniset toimenpiteet estävät asiakkaiden henkilötietojen käytön markkinointijärjestelmissä ilman asianmukaista lupaa
  • Henkilöstökoulutus — Koulutustiedot, jotka osoittavat, että markkinointi- ja myyntitiimit ymmärtävät kiellon käyttää käsittelijän henkilötietoja markkinointitarkoituksiin

Mitä asiaan liittyviä ohjausobjekteja on?

Valvonta: Yhteys
A.2.2.3 Organisaation tarkoitukset Markkinointikäyttö on erityistapaus käyttötarkoituksen rajoittamisesta – molemmat rajoitukset ovat voimassa
A.2.2.2 Asiakassopimus Markkinointirajoitusten tulee olla yksiselitteisiä asiakassopimuksessa
A.1.2.4 Suostumuksen määrittäminen Rekisterinpitäjän puolen vaatimukset sen määrittämiseksi, milloin suostumus tarvitaan
A.1.2.5 Suostumuksen hankkiminen ja kirjaaminen Markkinointisuostumus on hankittava ja kirjattava asianmukaisesti
A.2.2.7 Käsittelyn tiedot Markkinointisuostumustiedot ovat osa käsittelijän käsittelytietoja

Ketä tämä valvonta koskee?

A.2.2.4 koskee yksinomaan PII-käsittelijätSe kieltää suoraan käsittelijöitä käyttämästä palvelusopimusten kautta saatuja henkilötietoja omiin markkinointitarkoituksiinsa. Tämä on erityisen tärkeää SaaS-palveluntarjoajille, pilvipalveluiden ja hallinnoitujen palvelujen tarjoajille, jotka saattavat olla houkutelleet hyödyntämään asiakastietoja ristiinmyynnissä, tuotemarkkinoinnissa tai mainonnan kohdentamisessa.



ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa

ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Varaa esittelysi


Miksi valita ISMS.online markkinoinnin vaatimustenmukaisuuden hallintaan?

ISMS.online tarjoaa käytännön työkaluja markkinoinnin vaatimustenmukaisuuden varmistamiseksi käsittelijänä:

  • Politiikan hallinta — Julkaise ja valvo markkinointirajoituskäytäntöjä henkilöstön vahvistuksen ja versiohallinnan avulla
  • Suostumuksen seuranta — Jos markkinointisuostumus on hankittu, seuraa ja hallinnoi suostumustietoja vanhenemispäivineen ja peruutustenhallintajärjestelmäineen
  • Tietovuon kartoitus — Kartoita tietovirrat sen tunnistamiseksi, mistä asiakkaiden henkilötiedot voisivat mahdollisesti päätyä markkinointijärjestelmiin, ja toteuta asianmukaiset kontrollit
  • Vaatimustenmukaisuuden seuranta — Seuraa markkinointirajoitusten noudattamista eri tiimeissä ja järjestelmissä
  • Koulutuksen hallinta — Tarjoa ja seuraa markkinoinnin vaatimustenmukaisuuskoulutusta asiaankuuluvalle henkilöstölle

UKK

Voiko käsittelijä sisällyttää markkinointisuostumuksen palveluehtoihinsa?

Käsittelijä voi pyytää markkinointisuostumusta, mutta se ei saa asettaa suostumusta palvelun vastaanottamisen ehdoksi. Tämä tarkoittaa, että palvelun on oltava täysin saatavilla ilman markkinointisuostumuksen myöntämistä. Suostumuspyynnön on oltava selkeästi erillinen palveluehdoista, vapaaehtoinen, yksilöity ja helposti peruutettavissa. Valmiiksi rastitetut suostumusruudut tai kieltäytymismekanismit eivät täytä pätevän ennakkosuostumuksen vaatimuksia.

Koskeeko tämä valvonta koottua vai anonymisoitua dataa?

Jos tiedot on todella anonymisoitu siihen pisteeseen, ettei henkilötietojen käsittelijöitä voida enää tunnistaa (suoraan tai epäsuorasti), ne eivät enää ole henkilötietoja eivätkä kuulu tämän valvonnan piiriin. Anonymisoinnin kynnys on kuitenkin korkea – pseudonymisoidut tiedot tai kootut tiedot, joista yksilöt voidaan mahdollisesti tunnistaa uudelleen, ovat edelleen henkilötietoja. Käsittelijöiden tulisi olla varovaisia ​​väittäessään, että tiedot ovat anonymisoituja, ja heillä tulisi olla dokumentoitu menetelmä anonymisoinnin tehokkuuden varmistamiseksi.

Mitä seurauksia tämän valvonnan rikkomisesta on?

Asiakkaan henkilötietojen käyttäminen luvattomaan markkinointiin voi johtaa: sopimusrikkomukseen asiakkaan kanssa (joka voi johtaa sopimuksen irtisanomiseen ja vahingonkorvauksiin); uudelleenluokitteluun rekisterinpitäjäksi GDPR:n mukaisesti (täysimittaisilla rekisterinpitäjän velvoitteilla ja vastuilla); valvontaviranomaisen täytäntöönpanotoimiin; ja mainevahinkoihin. GDPR:n mukaan käsittelijää, joka määrittää omat käsittelytarkoituksensa (kuten markkinointi), pidetään rekisterinpitäjänä kyseisen käsittelyn osalta artiklan 28(10) mukaisesti.

SaaS-organisaatiot kohtaavat ainutlaatuisia prosessorihaasteita – katso opas SaaS-alustoille.

Yhtiömme tarkastusevidenssivaatimusten opas kattaa tilintarkastajien odottamat todisteet käsittelijän kontrolleilta.

Max Edwards

Max toimii osana ISMS.online-markkinointitiimiä ja varmistaa, että verkkosivustomme päivitetään hyödyllisellä sisällöllä ja tiedolla kaikesta ISO 27001, 27002 ja vaatimustenmukaisuudesta.

Tee virtuaalikierros

Aloita ilmainen kahden minuutin interaktiivinen demosi nyt ja katso
ISMS.online toiminnassa!

Kokeile nyt
alustan kojelauta täysin uudenveroinen

Olemme alamme johtaja

4/5 tähteä
Käyttäjät rakastavat meitä
Johtaja - kevät 2026
Huippusuorittaja - kevät 2026 Pienyritykset Isossa-Britanniassa
Aluejohtaja - kevät 2026 EU
Aluejohtaja - kevät 2026 EMEA
Aluejohtaja - kevät 2026, Iso-Britannia
Huippusuorittaja - kevät 2026, keskikokoinen markkina-alue EMEA-alueella

"ISMS.Online, erinomainen työkalu sääntelyn noudattamiseen"

—Jim M.

"Tekee ulkoisista tarkastuksista helppoa ja yhdistää kaikki ISMS:si osat saumattomasti yhteen"

—Karen C.

"Innovatiivinen ratkaisu ISO- ja muiden akkreditointien hallintaan"

—Ben H.