Mitä kohta A.2.2.5 edellyttää?
Organisaation on ilmoitettava asiakkaalle, jos sen mielestä käsittelyohje rikkoo sovellettavia lakisääteisiä vaatimuksia.
Tämä ohjaus sijaitsee PII-käsittelijän hallintalaitteet liite (A.2) ja luo kriittisen turvaverkon. Vaikka käsittelijät yleensä toimivat asiakkaan ohjeiden mukaisesti (A.2.2.3 Organisaation tarkoitus) tämä valvonta tunnustaa, että jokaisen ohjeen sokea noudattaminen voi johtaa lainrikkomuksiin. Jos käsittelijä havaitsee, että ohje rikkoisi sovellettavaa lakia, sillä on velvollisuus ottaa asiakkaaseen yhteyttä sen sijaan, että se vain noudattaisi ohjeita.
Mitä liitteen B täytäntöönpano-ohjeissa sanotaan?
Liitteessä B (kohta B.2.2.5) annetaan seuraavat ohjeet:
- Kontekstista riippuva ominaisuus — Organisaation kyky tarkistaa, onko ohje lakisääteisten vaatimusten vastainen, voi riippua teknisestä kontekstista, itse ohjeesta sekä organisaation ja asiakkaan välisestä sopimuksesta.
- Katso myös A.2.2.4: Markkinoinnin ja mainonnan käyttö asiaankuuluvia vaatimuksia varten
- Katso myös A.2.2.7: Henkilötietojen käsittelyyn liittyvät tiedot asiaankuuluvia vaatimuksia varten
Ohjeistus tunnustaa käytännön todellisuuden: käsittelijät eivät ole oikeudellisia neuvonantajia, ja heidän kykynsä tunnistaa loukkaavia ohjeita vaihtelee. Käsittelijä, jolla on syvällistä asiantuntemusta terveydenhuoltodatan alalla, voi olla hyvässä asemassa tunnistamaan terveystietoja koskevia määräyksiä rikkovat ohjeet, kun taas yleiskäyttöinen pilvipalveluntarjoaja ei välttämättä ole. Määritelmä "mielestäni" tunnustaa tämän rajoituksen – velvollisuus on ilmoittaa huolenaiheista, ei tarjota lopullista oikeudellista analyysia.
Miten tämä vastaa GDPR:ää?
Kontrolli A.2.2.5 vastaa seuraavaa GDPR artikkeli:
- 28 artiklan 3 kohdan h alakohta — Käsittelijän on välittömästi ilmoitettava rekisterinpitäjälle, jos se katsoo, että ohje rikkoo GDPR tai muut unionin tai jäsenvaltioiden tietosuojasäännökset
GDPR:n artiklan 28(3)(h) mukaan tästä on nimenomainen lakisääteinen velvoite EU:n lainsäädännön nojalla toimiville henkilötietojen käsittelijöille. GDPR:ssä lisätään sana ”välittömästi” korostaen ilmoitusvaatimuksen kiireellisyyttä.
Mikä muuttui standardista ISO 27701:2019?
Vaiheittaisen lähestymistavan löydät kohdasta Siirtymäkausi vuodesta 2019 vuoteen 2025.
Vuoden 2019 painoksessa tätä vaatimusta käsiteltiin laajemman lausekerakenteen sisällä. Vuoden 2025 painoksessa A.2.2.5 on oma erillisenä säädöksenä, ja sen toteutusta on ohjeistettu tiiviisti mutta selkeästi B.2.2.5:ssä. Katso Liitteen F vastaavuustaulukko koko kartoitusta varten.
Vapauta itsesi laskentataulukoiden vuorten vallasta
Ota käyttöön, laajenna ja skaalaa vaatimustenmukaisuus ilman sotkua. Io antaa sinulle joustavuutta ja luottamusta kasvaa turvallisesti.
Mitä todisteita tilintarkastajat odottavat?
Arvioidessaan kohdan A.2.2.5 vaatimustenmukaisuutta tilintarkastajat etsivät tyypillisesti seuraavia seikkoja:
- Eskalointimenettely — Dokumentoitu menettely, jolla henkilöstö voi ilmaista huolenaiheita, jos he uskovat asiakkaan ohjeiden rikkovan sovellettavia lakisääteisiä vaatimuksia
- Ilmoitustietueet — Tiedot kaikista tilanteista, joissa käsittelijä on ilmoittanut asiakkaalle, että ohje saattaa rikkoa lakia, mukaan lukien kyseinen ohje, esitetty huolenaihe, asiakkaan vastaus ja lopputulos
- Oikeudellinen tietoisuus — Todisteet siitä, että avainhenkilöillä on riittävä ymmärrys sovellettavasta tietosuojalainsäädännöstä, jotta he voivat tunnistaa mahdollisesti loukkaavat ohjeet
- Sopimusehdot — Sopimuslausekkeet, jotka vahvistavat käsittelijän oikeuden ja velvollisuuden ilmoittaa loukkaavista ohjeista ja jotka suojaavat käsittelijää vastuulta, joka aiheutuu laittomien ohjeiden noudattamatta jättämisestä
- Harjoittelukirjat — Koulutus, joka kattaa henkilöstön tietoisuuden velvollisuudesta ilmoittaa mahdollisesti laittomista ohjeista
Mitä asiaan liittyviä ohjausobjekteja on?
| Valvonta: | Yhteys |
|---|---|
| A.2.2.3 Organisaation tarkoitukset | Ohjeet, jotka laajentavat käyttötarkoituksia lainvastaisten rajojen ulkopuolelle, tulisi merkitä |
| A.2.2.2 Asiakassopimus | Sopimuksessa tulisi käsitellä käsittelijän velvollisuutta merkitä loukkaavat ohjeet |
| A.3.13 Lakisääteiset ja sääntelyyn liittyvät vaatimukset | Sovellettavien lakisääteisten vaatimusten ymmärtäminen on edellytys rikkomusten tunnistamiselle. |
| A.2.2.6 Asiakkaan velvollisuudet | Rikkovien ohjeiden merkitseminen auttaa asiakasta täyttämään omat vaatimustenmukaisuusvelvoitteensa |
| A.3.17 Tietoisuus ja koulutus | Henkilökunta tarvitsee koulutusta tunnistaakseen mahdollisesti loukkaavat ohjeet |
Ketä tämä valvonta koskee?
A.2.2.5 koskee yksinomaan PII-käsittelijätSe velvoittaa käsittelijän ilmoittamaan ennakoivasti asiakkaiden ohjeiden laillisuuteen liittyvistä huolenaiheista. Tämä ei tee käsittelijästä oikeudellista neuvonantajaa, mutta se edellyttää käsittelijältä kohtuullista harkintaa tietämyksensä ja asiantuntemuksensa perusteella. Valvonta koskee kaikkia asiakkaiden ohjeita riippumatta siitä, annetaanko ne sopimuksen tekohetkellä, toimeksiannon aikana vai kertaluonteisina pyyntöinä.
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.
Miksi valita ISMS.online vaatimustenmukaisuusvelvoitteiden hallintaan?
ISMS.online tarjoaa käytännön työkaluja loukkaavien ohjeiden ilmoittamisvelvollisuutesi hallintaan:
- Eskalointityönkulut — Luo dokumentoidut eskalointimenettelyt henkilöstölle asiakkaiden ohjeisiin liittyvien huolenaiheiden ilmaisemiseksi, mukaan lukien tarkastusketju ja ratkaisujen seuranta
- Ilmoitusrekisteri — Ylläpidä rekisteriä kaikista asiakkaille lähetetyistä ilmoituksista mahdollisesti loukkaavista ohjeista, mukaan lukien ohje, huolenaihe, vastaus ja lopputulos
- Lakisääteisten vaatimusten seuranta — Seuraa sovellettavia lakisääteisiä vaatimuksia eri lainkäyttöalueilla, jotta tiimisi tietää, mitä sääntöjä asiakkaiden ohjeita arvioitaessa on otettava huomioon
- Koulutuksen hallinta — Toteuttaa ja seurata koulutusta ohjeiden vastaisten ohjeiden tunnistamisesta ja osaamisen arviointia
- Sopimusten hallinta — Varmista, että sopimusmalleissasi on lausekkeita, jotka koskevat oikeutta ja velvollisuutta ilmoittaa loukkaavista ohjeista
UKK
Mitä käsittelijän tulisi tehdä, jos asiakas vaatii ohjeita?
Jos asiakas vaatii ohjetta, jonka käsittelijä uskoo rikkovan sovellettavaa lakia, käsittelijä on täyttänyt velvollisuutensa ilmoittamalla siitä asiakkaalle. Käsittelijän tulee dokumentoida ilmoitus ja asiakkaan vastaus. Käsittelijän ei kuitenkaan tule noudattaa ohjeita sokeasti: tietoinen osallistuminen laittomaan käsittelyyn voi altistaa käsittelijän omalle oikeudelliselle vastuulle. Vakavissa tapauksissa käsittelijän on ehkä haettava oikeudellista neuvontaa ja lopulta evättävä ohje tai irtisanottava sopimus mahdollisen rikkomuksen vakavuudesta riippuen.
Pitääkö käsittelijän valvoa rikkomuksia ennakoivasti?
Valvonta edellyttää, että käsittelijä ilmoittaa asiakkaalle, kun sen mielestä ohje rikkoo lakia. Tämä edellyttää kohtuullista tietoisuuden tasoa pikemminkin kuin kattavaa oikeudellista valvontaa. Ohjeissa todetaan, että käsittelijän kyky tarkistaa rikkomukset riippuu asiayhteydestä, ohjeesta ja sopimuksesta. Käsittelijöiden ei odoteta suorittavan jokaisen ohjeen oikeudellista tarkastusta, mutta heidän tulisi tuoda esiin huolenaiheet, jotka ilmenevät normaalin liiketoiminnan ja ammatillisen harkinnan kautta.
Kuinka nopeasti käsittelijän on ilmoitettava asiakkaalle?
ISO 27701:2025 -standardissa ei määritellä aikarajaa, mutta GDPR:n artiklan 28(3)(h) mukaan ilmoitus on tehtävä välittömästi. Paras käytäntö on ilmoittaa asiakkaalle heti, kun huolenaihe on havaittu, ennen ohjeen noudattamista. Tämä antaa asiakkaalle mahdollisuuden harkita ohjetta uudelleen, hakea oikeudellista neuvontaa tai antaa selvennystä ennen kuin mahdollisesti loukkaavaa käsittelyä tapahtuu.
SaaS-organisaatiot kohtaavat ainutlaatuisia prosessorihaasteita – katso opas SaaS-alustoille.
Yhtiömme tarkastusevidenssivaatimusten opas kattaa tilintarkastajien odottamat todisteet käsittelijän kontrolleilta.
