Hyppää sisältöön
ISMS.online

ISO 27701:2025 -standardin mukainen valvonta A.2.2.7: Henkilötietojen käsittelyyn liittyvät tiedot

Kontrollin A.2.2.7 mukaan henkilötietojen käsittelijöiden on määritettävä ja ylläpidettävä tarvittavat tiedot osoittaakseen, että he noudattavat velvoitteitaan henkilötietojen käsittelyssä asiakkaan puolesta. Nämä tiedot muodostavat näyttöpohjan vastuullisuudelle.

kirjailija
Max Edwards
Päivitetty maaliskuu 27, 2026
4/5 tähteä

Mitä kohta A.2.2.7 edellyttää?

Organisaation on määritettävä ja ylläpidettävä tarvittavat tiedot osoittaakseen noudattavansa velvoitteitaan (kuten sovellettavassa sopimuksessa on määritelty) asiakkaan puolesta suoritettavan henkilötietojen käsittelyn osalta.

Tämä ohjaus sijaitsee PII-käsittelijän hallintalaitteet liite (A.2) ja siinä vahvistetaan käsittelijän omat kirjanpitovelvollisuudet. Vaikka A.2.2.6 Asiakkaan velvollisuudet edellyttää käsittelijältä apua vaatimustenmukaisuuden osoittamiseen, kun taas kohdan A.2.2.7 mukaan käsittelijän on ylläpidettävä tietoja omaa vastuutaan varten. Näiden tietojen on osoitettava, että käsittelijä on noudattanut sopimusvelvoitteitaan ja sovellettavia lakisääteisiä vaatimuksia.

Mitä liitteen B täytäntöönpano-ohjeissa sanotaan?

Liitteessä B (kohta B.2.2.7) annetaan seuraavat ohjeet:

  • Lainkäyttöalueen vaatimukset — Joillakin lainkäyttöalueilla organisaation on ehkä tallennettava tietoja, kuten:
    • Kunkin asiakkaan puolesta suoritettavan käsittelyn kategoriat
    • Siirrot kolmansiin maihin tai kansainvälisille järjestöille
    • Yleinen kuvaus teknisistä ja organisatorisista turvatoimenpiteistä
    • Katso myös A.2.2.2: Asiakassopimus asiaankuuluvia vaatimuksia varten
    • Katso myös A.2.2.4: Markkinoinnin ja mainonnan käyttö asiaankuuluvia vaatimuksia varten

Ohjeistus heijastelee suoraan GDPR Artiklan 30(2) vaatimukset käsittelijän käsittelytoimia koskeville tiedoille. Vaikka ISO-standardi määrittelee nämä lainkäyttöaluevaatimuksiksi, GDPR:n alaisuudessa toimivat organisaatiot tunnustavat ne pakollisiksi tietojen säilyttämisvelvoitteiksi.

Miten tämä vastaa GDPR:ää?

Kontrolli A.2.2.7 vastaa seuraavaa GDPR artikkeleita:

  • 30 artikla (2) a) — Kunkin henkilötietojen käsittelijän nimi ja yhteystiedot, kunkin rekisterinpitäjän, jonka puolesta käsittelijä toimii, sekä rekisterinpitäjän tai käsittelijän edustajan ja tietosuojavastaavan nimi ja yhteystiedot
  • 30 artiklan 2 kohdan b alakohta — Kunkin rekisterinpitäjän lukuun suoritettavan käsittelyn luokat
  • Article 30 (3) — Kirjanpidon on oltava kirjallista, myös sähköisessä muodossa
  • Article 30 (4) — Käsittelijän on pyynnöstä asetettava tiedot valvontaviranomaisen saataville.
  • Article 30 (5) — Poikkeus alle 250 työntekijän organisaatioille, paitsi jos käsittely todennäköisesti aiheuttaa riskin, ei ole satunnaista tai sisältää erityisiä tietoryhmiä

GDPR:n artikla 30(2) sisältää erityisen vähimmäisluettelon siitä, mitä käsittelijän tietojen on sisällettävä. Organisaatioiden tulisi pitää tätä vähimmäismääränä, ei enimmäismääränä.

Mikä muuttui standardista ISO 27701:2019?

Vaiheittaisen lähestymistavan löydät kohdasta Siirtymäkausi vuodesta 2019 vuoteen 2025.

Vuoden 2019 painoksessa tätä vaatimusta käsiteltiin laajemman lausekerakenteen sisällä. Vuoden 2025 painoksessa A.2.2.7 on omana erillisenä kontrollinaan, ja sen toteutusohjeissa on B.2.2.7 kohta, jossa luetellaan selkeästi lainkäyttöalueen kirjanpitovaatimukset. Katso Liitteen F vastaavuustaulukko koko kartoitusta varten.



ISMS.onlinen tehokas kojelauta

Aloita helposti henkilökohtaisella tuote-esittelyllä

Yksi perehdytysasiantuntijoistamme opastaa sinua alustamme läpi ja auttaa sinua alkuun luottavaisin mielin.

Varaa esittelysi


Mitä todisteita tilintarkastajat odottavat?

Arvioidessaan kohdan A.2.2.7 vaatimustenmukaisuutta tilintarkastajat etsivät tyypillisesti seuraavia seikkoja:

  • Käsittelytoimien tiedot — Ylläpidetty rekisteri kunkin asiakkaan puolesta suoritetuista käsittelytoimista, mukaan lukien käsittelyluokat, tietotyypit ja tarkoitukset
  • Siirrä tietueet — Dokumentaatio henkilötietojen siirroista kolmansiin maihin tai kansainvälisille järjestöille, mukaan lukien kunkin siirron oikeusperusta
  • Turvatoimien dokumentointi — Yleinen kuvaus henkilötietojen käsittelyä varten käytössä olevista teknisistä ja organisatorisista turvatoimenpiteistä
  • Yhteystiedot — Ylläpiti kunkin käsittelyjärjestelyn osalta käsittelijän, rekisterinpitäjän, edustajan ja tietosuojavastaavan yhteystietoja
  • Tietueiden ylläpitoprosessi — Dokumentoitu prosessi tietueiden ajan tasalla pitämiseksi, mukaan lukien tarkistusaikataulut ja päivitysten käynnistävät tekijät

Mitä asiaan liittyviä ohjausobjekteja on?

Valvonta: Yhteys
A.2.2.6 Asiakkaan velvollisuudet Käsittelytietueiden tukena asiakkaille toimitettavat tiedot vaatimustenmukaisuuden varmistamiseksi.
A.2.2.3 Organisaation tarkoitukset Rekistereistä tulee osoittaa, että käsittely on linjassa dokumentoitujen asiakastarkoitusten kanssa.
A.1.2.9 Rekisterinpitäjän tiedot Rekisterinpitäjän puolen vastine käsittelytietuevaatimuksille
A.3.14 Asiakirjojen suojaaminen Käsittelytietueiden on oltava tallennettuja turvallisesti ja suojattuja luvattomalta muuttamiselta
A.2.5.2 Henkilötietojen siirron peruste Rajat ylittävien siirtojen tiedot ovat keskeinen osa käsittelytietojen käsittelyä

Ketä tämä valvonta koskee?

A.2.2.7 koskee yksinomaan PII-käsittelijätSe luo käsittelijöille itsenäisen tietojen säilyttämistä koskevan velvoitteen, joka on erillinen rekisterinpitäjän omista tietojen säilyttämistä koskevista vaatimuksista. A.1.2.9 Henkilötietojen käsittelyä koskevat tiedotGDPR:n nojalla pienyrityksiä koskevaa 30(5) artiklan poikkeusta sovelletaan käytännössä harvoin, koska suurin osa käsittelystä ei ole aidosti "satunnaista" ja monet käsittelijät käsittelevät erityisiä tietoryhmiä. Käsittelijöiden tulisi siksi ylläpitää tietoja organisaation koosta riippumatta.



kiipeily

Vapauta itsesi laskentataulukoiden vuorten vallasta

Ota käyttöön, laajenna ja skaalaa vaatimustenmukaisuus ilman sotkua. Io antaa sinulle joustavuutta ja luottamusta kasvaa turvallisesti.

Varaa esittelysi


Miksi valita ISMS.online käsittelyä varten asiakirjojen hallintaa varten?

ISMS.online tarjoaa käytännön työkaluja käsittelijän käsittelytoimia koskevien tietojen ylläpitoon:

  • Käsittelyrekisteri — Ylläpidä keskitettyä, jäsenneltyä rekisteriä kaikista asiakaskohtaisista käsittelytoimista, jotka on dokumentoitu luokista, tietotyypeistä, käyttötarkoituksista ja turvatoimenpiteistä
  • Siirtojen seuranta — Tallentaa ja valvoa rajat ylittäviä henkilötietojen siirtoja oikeusperustan dokumentoinnilla ja kohdemaan seurannalla
  • Automatisoidut muistutukset — Aikatauluta säännöllisiä asiakirjojen tarkistuksia automaattisilla muistutuksilla varmistaaksesi, että tiedot pysyvät ajan tasalla ja tarkkoina
  • Valvontaviranomaisen valmius — Luodaan tiedot valvontaviranomaisten pyyntöihin soveltuvassa muodossa ja täytetään GDPR:n artiklan 30(4) mukaiset velvoitteet
  • Versiohistoria — Ylläpidä käsittelytietojen täydellistä versiohistoriaa, joka osoittaa, miten käsittelyjärjestelyt ovat muuttuneet ajan myötä

UKK

Mitä käsittelijän tietueiden tulee sisältää?

GDPR:n artiklan 30(2) mukaan käsittelijän tietojen on sisällettävä: kunkin käsittelijän ja sen lukuun toimivan rekisterinpitäjän nimi ja yhteystiedot sekä heidän edustajansa ja tarvittaessa tietosuojavastaavansa; kunkin rekisterinpitäjän lukuun suoritettujen käsittelyjen kategoriat; siirrot kolmansiin maihin tai kansainvälisille järjestöille, mukaan lukien oikeusperusta; ja yleinen kuvaus teknisistä ja organisatorisista turvatoimenpiteistä. Parhaiden käytäntöjen mukaan tämä kattaa myös käsiteltävien henkilötietojen tyypit, käsittelyn oikeusperustan, alihankkijan tiedot ja säilytysajat.

Kuinka usein tiedot tulisi päivittää?

Tietoja tulee päivittää aina, kun käsittelyjärjestelyihin tulee olennaisia ​​muutoksia, kuten uusi asiakas, käsittelyluokkien muutos, uusi alihankkija, uusi rajat ylittävä siirto tai turvatoimenpiteiden muutos. Lisäksi tietoja tulee tarkastella säännöllisin väliajoin (vähintään vuosittain) sen varmistamiseksi, että ne ovat edelleen oikeita ja täydellisiä. Monet organisaatiot integroivat tietopäivityksiä muutoksenhallintaprosesseihinsa varmistaakseen, että päivitykset tapahtuvat reaaliajassa.

Pitääkö alle 250 työntekijän käsittelijöiden ylläpitää tietoja?

GDPR:n artikla 30(5) tarjoaa rajoitetun poikkeuksen alle 250 työntekijän organisaatioille, mutta sitä sovelletaan vain, jos käsittely ei todennäköisesti aiheuta riskiä rekisteröidyille, on satunnaista eikä sisällä erityisiä tietoryhmiä tai rikostietoja. Käytännössä useimmat käsittelijät jäävät tämän poikkeuksen ulkopuolelle, koska heidän käsittelynsä on säännöllistä (ei satunnaista) ja voi sisältää tietotyyppejä, jotka laukaisevat poikkeuksen. ISO 27701 -standardi ei sisällä vastaavaa poikkeusta, joten kaikkien sertifiointia hakevien käsittelijöiden tulisi ylläpitää tietoja koosta riippumatta.

Katso tarkastusevidenssivaatimusten opas täydellinen luettelo tiedoista, joita tilintarkastajat odottavat käsittelijöiltä.

Max Edwards

Max toimii osana ISMS.online-markkinointitiimiä ja varmistaa, että verkkosivustomme päivitetään hyödyllisellä sisällöllä ja tiedolla kaikesta ISO 27001, 27002 ja vaatimustenmukaisuudesta.

Tee virtuaalikierros

Aloita ilmainen kahden minuutin interaktiivinen demosi nyt ja katso
ISMS.online toiminnassa!

Kokeile nyt
alustan kojelauta täysin uudenveroinen

Olemme alamme johtaja

4/5 tähteä
Käyttäjät rakastavat meitä
Johtaja - kevät 2026
Huippusuorittaja - kevät 2026 Pienyritykset Isossa-Britanniassa
Aluejohtaja - kevät 2026 EU
Aluejohtaja - kevät 2026 EMEA
Aluejohtaja - kevät 2026, Iso-Britannia
Huippusuorittaja - kevät 2026, keskikokoinen markkina-alue EMEA-alueella

"ISMS.Online, erinomainen työkalu sääntelyn noudattamiseen"

—Jim M.

"Tekee ulkoisista tarkastuksista helppoa ja yhdistää kaikki ISMS:si osat saumattomasti yhteen"

—Karen C.

"Innovatiivinen ratkaisu ISO- ja muiden akkreditointien hallintaan"

—Ben H.