Hyppää sisältöön
ISMS.online

ISO 27701:2025 -valvonta A.2.3.2: Noudata henkilötietojen suojaa koskevien velvollisuuksien noudattamista

Kohdan A.2.3.2 mukainen valvonta edellyttää, että henkilötietojen käsittelijät tarjoavat asiakkaalle keinot noudattaa henkilötietojen käsittelijöihin liittyviä velvoitteitaan. Tämä varmistaa, että käsittelijät mahdollistavat rekisterinpitäjille rekisteröityjen oikeuksien, kuten tiedonsaanti-, oikaisu- ja poisto-oikeuksien, täyttämisen.

kirjailija
Max Edwards
Päivitetty maaliskuu 27, 2026
4/5 tähteä

Mitä kohta A.2.3.2 edellyttää?

Organisaation on tarjottava asiakkaalle keinot noudattaa PII-päämiehiin liittyviä velvoitteitaan.

Tämä ohjaus sijaitsee PII-käsittelijän hallintalaitteet liite (A.2) ja käsittelee kriittistä käytännön haastetta: rekisterinpitäjillä on lakisääteisiä velvoitteita rekisteröityjä kohtaan (kuten vastata tiedonsaantipyyntöihin, oikaista tietoja ja poistaa tietoja), mutta he eivät voi täyttää näitä velvoitteita, jos heidän käsittelijänsä eivät tarjoa tarvittavia valmiuksia. A.2.3.2 velvoittaa käsittelijän varmistamaan, että rekisteröidyn oikeuksien toteuttamiseksi on käytettävissä tekniset ja organisatoriset keinot.

Mitä liitteen B täytäntöönpano-ohjeissa sanotaan?

Liitteessä B (kohta B.2.3.2) annetaan seuraavat ohjeet:

  • Velvoitteet määritellään laissa tai sopimuksessa — Henkilötietojen rekisterinpitäjän velvollisuudet voidaan määritellä lakisääteisissä vaatimuksissa tai sopimuksessa. Näihin velvollisuuksiin voivat sisältyä tapaukset, joissa asiakas käyttää organisaation palveluita toteuttamiseen.
  • Käytännön esimerkkejä — Tämä voi esimerkiksi sisältää henkilötietojen korjaamisen tai poistamisen oikea-aikaisesti
  • Sopimuserittely — Jos asiakas on riippuvainen organisaatiosta tietojen tai teknisten toimenpiteiden osalta, jotka helpottavat PII-päämiehiin kohdistuvien velvoitteiden täyttämistä, asiaankuuluvat tiedot tai tekniset toimenpiteet olisi määriteltävä sopimuksessa.
  • Katso myös A.2.4.2: Väliaikaistiedostot asiaankuuluvia vaatimuksia varten
  • Katso myös A.2.4.4: PII-lähetysohjaimet asiaankuuluvia vaatimuksia varten

Ohjeissa tehdään selväksi, että tämä ei ole abstrakti velvoite – käsittelijöiden on tarjottava konkreettisia ominaisuuksia, kuten mahdollisuus hakea, viedä, korjata ja poistaa yksittäisiä henkilötietoja pyynnöstä. Nämä ominaisuudet tulisi määritellä sopimuksessa, jotta molemmat osapuolet ymmärtävät, mitä käsittelijä tarjoaa.

Miten tämä vastaa GDPR:ää?

Kontrolli A.2.3.2 vastaa seuraavaa GDPR artikkeleita:

  • Article 15 (3) — Oikeus tutustua tietoihin, mukaan lukien oikeus saada jäljennös käsiteltävistä henkilötiedoista
  • Article 17 (2) — Rekisterinpitäjän velvollisuus ilmoittaa muille tietoja käsitteleville rekisterinpitäjille rekisteröidyn poistopyynnöstä
  • 28 artiklan 3 kohdan e alakohta — Käsittelijän on avustettava rekisterinpitäjää varmistamaan rekisteröidyn oikeuksiin liittyvien velvoitteiden noudattamisen (15–22 artikla)

GDPR Artiklan 28(3)(e) mukaan henkilötietojen käsittelijöiden on nimenomaisesti avustettava rekisterinpitäjiä kaikkien rekisteröityjen oikeuksien osalta: tiedonsaanti (15 artikla), oikaisu (16 artikla), poistaminen (17 artikla), rajoittaminen (18 artikla), tietojen siirrettävyys (20 artikla) ​​ja vastustaminen (21 artikla). Henkilötietojen käsittelijän on kyettävä tukemaan kaikkia näitä oikeuksia.

Mikä muuttui standardista ISO 27701:2019?

Vaiheittaisen lähestymistavan löydät kohdasta Siirtymäkausi vuodesta 2019 vuoteen 2025.

Vuoden 2019 painoksessa tätä vaatimusta käsiteltiin laajemman lausekerakenteen sisällä. Vuoden 2025 painoksessa A.2.3.2 on omana erillisenä ehtonaan, ja sen toteutusohjeita on kohdassa B.2.3.2, joka sisältää käytännön esimerkkejä ja korostaa käsittelijän velvoitteiden sopimusperusteista määrittelyä. Katso Liitteen F vastaavuustaulukko koko kartoitusta varten.



ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa

ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Varaa esittelysi


Mitä todisteita tilintarkastajat odottavat?

Arvioidessaan kohdan A.2.3.2 vaatimustenmukaisuutta tilintarkastajat etsivät tyypillisesti seuraavia seikkoja:

  • Rekisteröidyn oikeuksien hallinta — Todisteet siitä, että organisaation järjestelmät ja prosessit tukevat kaikkia asiaankuuluvia rekisteröidyn oikeuksia: tiedonsaanti, oikaisu, poistaminen, rajoittaminen, siirrettävyys ja vastustaminen
  • Sopimusmääräykset — Sopimuslausekkeet, joissa täsmennetään käsittelijän rekisteröidyn oikeuksien toteuttamisen tukemiseksi toteuttamat tekniset ja organisatoriset toimenpiteet
  • Pyyntöjen käsittelymenettelyt — Dokumentoidut menettelyt asiakkaiden lähettämien rekisteröityjen oikeuksia koskevien pyyntöjen käsittelyyn, mukaan lukien vastausajat
  • Tekniset valmiudet — Todisteet teknisistä valmiuksista, kuten tiedonvientitoiminnoista, yksittäisten tietueiden poistamisesta, tiedonkorjaustyökaluista ja tehtyjen muutosten lokitiedoista
  • Vastaustietueet — Asiakkailta vastaanotettujen rekisteröityjen oikeuksia koskevien pyyntöjen tiedot ja niihin liittyvät toimenpiteet, jotka osoittavat pyyntöjen oikea-aikaisen ja täydellisen täyttämisen

Mitä asiaan liittyviä ohjausobjekteja on?

Valvonta: Yhteys
A.2.2.2 Asiakassopimus Sopimuksessa tulisi määrittää käsittelijän velvollisuudet rekisteröityjen oikeuksien tukemisessa
A.1.3.7 Tietojen saaminen, korjaaminen tai poistaminen Ohjaimen puolen oikeudet, jotka prosessorin on otettava käyttöön
A.1.3.10 Pyyntöjen käsittely Ohjaimen pyyntöjen käsittelyprosessi riippuu prosessorin tuesta
A.2.4.3 Palautus, siirto tai hävittäminen Tietojen siirrettävyys ja poistomahdollisuudet tukevat rekisteröidyn oikeuksia
A.2.2.6 Asiakkaan velvollisuudet Rekisteröityjen oikeuksien tukeminen on keskeinen osa asiakkaiden auttamista vaatimustenmukaisuuden osoittamisessa.

Ketä tämä valvonta koskee?

A.2.3.2 koskee yksinomaan PII-käsittelijätSiinä tunnustetaan, että rekisterinpitäjät eivät voi täyttää velvollisuuksiaan rekisteröityjä kohtaan ilman yhteistyötä henkilötietojen käsittelijän kanssa. Jos käsittelijän järjestelmät eivät tue yksittäisten tietojen hakemista, korjaamista tai poistamista, rekisterinpitäjä ei pysty vastaamaan rekisteröityjen pyyntöihin – mikä on rekisterinpitäjän kannalta vaatimustenmukaisuusrikkomus, mutta käsittelijän kannalta sopimusrikkomus ja mahdollisesti oikeudellinen rikkomus.



Löydä vaatimustenmukaisuusvarmuutesi ISMS.onlinen avulla

Aloita helposti henkilökohtaisella tuote-esittelyllä

Yksi perehdytysasiantuntijoistamme opastaa sinua alustamme läpi ja auttaa sinua alkuun luottavaisin mielin.

Varaa esittelysi


Miksi valita ISMS.online PII-pääoikeuksien tukemiseksi?

ISMS.online tarjoaa käytännön työkaluja rekisteröidyn oikeuksien tukemiseen henkilötietojen käsittelijänä:

  • Pyyntöjen hallinta — Seuraa ja hallinnoi asiakkailta saatuja rekisteröityjen oikeuksia koskevia pyyntöjä työnkulun hallinnan, tehtävien ja määräaikojen seurannan avulla
  • Ominaisuusdokumentaatio — Dokumentoi rekisteröityjen oikeuksia koskevat valmiutesi palvelu- tai järjestelmäkohtaisesti ja näytä asiakkaille tarkalleen, mitä voit tukea
  • Vastauksen seuranta — Kirjaa vastaukset jokaiseen pyyntöön aikaleimoineen, toteutettuine toimineen ja todisteineen, jolloin syntyy täydellinen tarkastusketju
  • Palvelutasosopimuksen seuranta — Seuraa vasteaikoja sopimuksiin perustuvia palvelutasosopimuksia vasten ja ilmoita lähestyvistä määräajoista
  • Todisteiden hallinta — Säilytä pyyntöjen käsittelyä koskevat todisteet jäsennellyssä muodossa tarkastusvalmiutta ja asiakasraportointia varten

UKK

Mitä rekisteröityjen oikeuksia käsittelijöiden on tuettava?

GDPR:n mukaan käsittelijöiden on kyettävä avustamaan rekisterinpitäjiä seuraavissa asioissa: oikeus tutustua tietoihin (hakea ja viedä henkilötietoja); oikeus oikaista (korjata virheellisiä tietoja); oikeus poistaa tietoja; oikeus rajoittaa käsittelyä (merkitä tietoja niiden käytön rajoittamiseksi); oikeus siirtää tiedot järjestelmästä toiseen (toimittaa tiedot jäsennellyssä, koneellisesti luettavassa muodossa); ja oikeus vastustaa (lopettaa tiettyjen tietojen käsittely). Käsittelijän järjestelmät tulisi suunnitella tukemaan kaikkia näitä oikeuksia yksittäisten tietueiden osalta.

Kuka vastaa rekisteröidyille – rekisterinpitäjä vai henkilötietojen käsittelijä?

Rekisterinpitäjä on vastuussa rekisteröidyille vastaamisesta. Käsittelijä tarjoaa rekisterinpitäjälle keinot pyynnön täyttämiseksi. Jos rekisteröity ottaa suoraan yhteyttä käsittelijään, käsittelijän tulee ohjata pyyntö edelleen asiaankuuluvalle rekisterinpitäjälle (ellei sopimuksessa toisin määrätä). Käsittelijän ei tule viestiä suoraan rekisteröityjen kanssa heidän oikeuksistaan, ellei rekisterinpitäjä ole antanut siihen lupaa.

Mitä tapahtuu, jos käsittelijä ei teknisesti pysty täyttämään pyyntöä?

Jos käsittelijän järjestelmät eivät voi tukea tiettyä rekisteröidyn oikeutta (esimerkiksi yksittäisten tietueiden yksityiskohtaista poistamista varmuuskopiojärjestelmistä), tästä rajoituksesta tulee ilmoittaa asiakkaalle ennen sopimuksen tekemistä. Sopimuksessa tulee selvästi mainita, mitä käsittelijä voi ja ei voi tehdä, ja mitä kiertoteitä on käytettävissä. Järjestelmien suunnittelu tukemaan rekisteröidyn oikeuksia alusta alkaen (A.3.29 Turvallinen järjestelmäarkkitehtuuri) on huomattavasti helpompaa ja halvempaa kuin tämän ominaisuuden jälkiasentaminen myöhemmin.

Yhtiömme tarkastusevidenssivaatimusten opas yksityiskohtaisesti, mitä käsittelijöiden on osoitettava rekisteröidyn velvoitteiden täyttämiseksi.

Max Edwards

Max toimii osana ISMS.online-markkinointitiimiä ja varmistaa, että verkkosivustomme päivitetään hyödyllisellä sisällöllä ja tiedolla kaikesta ISO 27001, 27002 ja vaatimustenmukaisuudesta.

Tee virtuaalikierros

Aloita ilmainen kahden minuutin interaktiivinen demosi nyt ja katso
ISMS.online toiminnassa!

Kokeile nyt
alustan kojelauta täysin uudenveroinen

Olemme alamme johtaja

4/5 tähteä
Käyttäjät rakastavat meitä
Johtaja - kevät 2026
Huippusuorittaja - kevät 2026 Pienyritykset Isossa-Britanniassa
Aluejohtaja - kevät 2026 EU
Aluejohtaja - kevät 2026 EMEA
Aluejohtaja - kevät 2026, Iso-Britannia
Huippusuorittaja - kevät 2026, keskikokoinen markkina-alue EMEA-alueella

"ISMS.Online, erinomainen työkalu sääntelyn noudattamiseen"

—Jim M.

"Tekee ulkoisista tarkastuksista helppoa ja yhdistää kaikki ISMS:si osat saumattomasti yhteen"

—Karen C.

"Innovatiivinen ratkaisu ISO- ja muiden akkreditointien hallintaan"

—Ben H.