Hyppää sisältöön
ISMS.online

ISO 27701:2025 -standardin mukainen valvonta A.2.5.7: Henkilötietojen käsittelyyn käytettyjen alihankkijoiden julkistaminen

Kontrollin A.2.5.7 mukaan organisaatioiden on ilmoitettava asiakkaalle, käytetäänkö alihankkijoita henkilötietojen käsittelyyn ennen niiden käyttöä. Tämä antaa rekisterinpitäjille läpinäkyvyyttä, jota he tarvitsevat alihankkijoiden riskien arvioimiseksi ja omien vaatimustenmukaisuusvelvoitteidensa ylläpitämiseksi.

kirjailija
Max Edwards
Päivitetty maaliskuu 27, 2026
4/5 tähteä

Mitä kohta A.2.5.7 edellyttää?

Ennen käyttöä organisaation on ilmoitettava asiakkaalle, käyttääkö se alihankkijoita henkilötietojen käsittelyyn.

Tämä ohjaus sijaitsee PII-käsittelijän hallintalaitteet liite (A.2) ja käsittelee alihankkijoiden läpinäkyvyyttä. Kun käsittelijä käyttää alihankkijoita (alikäsittelijöitä) henkilötietojen käsittelyyn rekisterinpitäjän puolesta, rekisterinpitäjälle on ilmoitettava asiasta ennen kuin alihankkija aloittaa käsittelyn. Tämä on ennakoiva velvoite: tietojen luovuttamisen on tapahduttava ennen käyttöä, ei sen jälkeen.

Mitä liitteen B täytäntöönpano-ohjeissa sanotaan?

Liitteessä B (kohta B.2.5.7) annetaan seuraavat ohjeet:

  • Sopimusmääräykset — Asiakassopimukseen tulisi sisällyttää määräykset alihankkijoiden tietojen julkistamisesta
  • Tietojen julkistamisen laajuus — Ilmoita alihankinnan tosiasia ja alihankkijoiden nimet
  • Maa- ja siirtotiedot — Ilmoita myös maat ja organisaatiot, joihin alihankkijat voivat siirtää tietoja, ja keinot, joilla alihankkijat täyttävät tai ylittävät käsittelijän omat velvoitteet
  • Tietoturvariskien huomioon ottaminen — Jos alihankkijan tietojen julkistaminen lisää turvallisuusriskiä, ​​tiedot voidaan julkistaa salassapitosopimuksen nojalla tai pyynnöstä. Maaluettelo on kuitenkin aina julkistettava riippumatta siitä,
  • Katso myös A.2.5.4: Kolmansille osapuolille luovutettujen henkilötietojen tiedot asiaankuuluvia vaatimuksia varten
  • Katso myös A.2.5.5: Henkilötietojen luovutuspyyntöjen ilmoittaminen asiaankuuluvia vaatimuksia varten

Ohjeistus tasapainottaa läpinäkyvyyttä ja turvallisuutta. Vaikka täydelliset alihankkijoiden tiedot (mukaan lukien nimet ja vaatimustenmukaisuustilanne) voidaan joskus joutua paljastamaan salassapitosopimuksen nojalla turvallisuusriskien välttämiseksi, maat, joihin henkilötietoja voidaan siirtää, on aina paljastettava rajoituksetta. Tämä varmistaa, että rekisterinpitäjät voivat aina arvioida rajat ylittävien siirtojen vaatimustenmukaisuutta.

Miten tämä vastaa GDPR:ää?

Kontrolli A.2.5.7 vastaa seuraavaa GDPR artikkeleita:

  • Article 28 (2) — Käsittelijä ei saa käyttää toista käsittelijää ilman rekisterinpitäjän etukäteen antamaa nimenomaista tai yleistä kirjallista lupaa. Yleisen kirjallisen luvan tapauksessa käsittelijän on ilmoitettava rekisterinpitäjälle kaikista aiotuista muutoksista, jotka koskevat muiden käsittelijöiden lisäämistä tai korvaamista, ja annettava rekisterinpitäjälle mahdollisuus vastustaa sitä.
  • Article 28 (4) — Jos käsittelijä käyttää toista käsittelijää tiettyjen käsittelytoimien suorittamiseen rekisterinpitäjän puolesta, kyseiseen toiseen käsittelijään sovelletaan samoja tietosuojavelvoitteita kuin rekisterinpitäjän ja käsittelijän välisessä sopimuksessa on määrätty.

GDPR Artiklan 28(2) mukaan edellytetään joko erityistä lupaa (jossa kukin alihankkija nimetään) tai yleistä lupaa, johon sisältyy ilmoitus- ja vastustusmekanismi. Kummassakin tapauksessa rekisterinpitäjän on tiedettävä alihankkijoista ennen kuin he aloittavat käsittelyn.

Mikä muuttui standardista ISO 27701:2019?

Vaiheittaisen lähestymistavan löydät kohdasta Siirtymäkausi vuodesta 2019 vuoteen 2025.

Vuoden 2019 painoksessa tätä vaatimusta käsiteltiin laajemman lausekerakenteen sisällä. Vuoden 2025 painoksessa A.2.5.7 on omana erillisenä ehtonaan, ja sen toteutusohjeistusta on lisätty kohtaan B.2.5.7, jossa on erikseen käsitelty maakohtaisia ​​tiedonantovaatimuksia, salassapitosopimuksen määräyksiä turvallisuusarkaluonteisten tietojen julkistamiseksi sekä vaatimusta julkistaa, miten alihankkijat täyttävät tai ylittävät käsittelijän velvoitteet. Katso Liitteen F vastaavuustaulukko koko kartoitusta varten.



ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa

ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Varaa demo


Mitä todisteita tilintarkastajat odottavat?

Arvioidessaan kohdan A.2.5.7 vaatimustenmukaisuutta tilintarkastajat etsivät tyypillisesti seuraavia seikkoja:

  • Alihankkijarekisteri — Ylläpidetty rekisteri kaikista henkilötietojen käsittelyyn käytetyistä alihankkijoista, mukaan lukien heidän nimensä, käsittelytoimensa, sijaintinsa ja päivämäärä, jolloin ne luovutettiin kullekin asiakkaalle
  • Sitoutumista edeltävät tiedonantotiedot — Todisteet siitä, että alihankkijoiden tiedot paljastettiin asiakkaille ennen kuin he aloittivat henkilötietojen käsittelyn, eivätkä sen jälkeen
  • Maatiedot — Dokumentaatio maista ja organisaatioista, joissa kukin alihankkija käsittelee tai siirtää henkilötietoja
  • Vaatimustenmukaisuustodistus — Tiedot, jotka osoittavat, miten alihankkijat täyttävät tai ylittävät käsittelijän omat velvoitteet, kuten sertifikaatit, auditointiraportit tai sopimusvelvoitteet
  • Sopimusmääräykset — Sopimuslausekkeet, joissa määritellään alihankkijan tiedonantomenettely, mukaan lukien se, sovelletaanko erityistä vai yleistä valtuutusta ja asiakkaan oikeus vastustaa tietoja

Mitä asiaan liittyviä ohjausobjekteja on?

Valvonta: Yhteys
A.2.5.8 Alihankkijoiden käyttö Säätelee alihankkijan tosiasiallisen käyttöönoton sopimus- ja valtuutusvaatimuksia
A.2.5.3 Maat, joihin henkilötietoja siirretään Alihankkijamaiden on oltava mukana siirtokohdeluettelossa
A.2.5.2 Henkilötietojen siirron peruste Siirrot alihankkijoille muissa lainkäyttöalueissa edellyttävät dokumentoitua oikeusperustaa
A.2.2.2 Asiakassopimus Sopimuksessa määritellään alihankkijoiden valtuutusmalli (erityinen tai yleinen)
A.2.2.6 Asiakkaan velvollisuudet Alihankkijoiden läpinäkyvyys auttaa asiakkaita osoittamaan oman vaatimustenmukaisuutensa

Ketä tämä valvonta koskee?

A.2.5.7 koskee yksinomaan PII-käsittelijätRekisterinpitäjät ovat viime kädessä vastuussa henkilötietojen käsittelystä, mukaan lukien alihankkijoiden heidän puolestaan ​​suorittama käsittely. Ilman läpinäkyvyyttä siitä, kuka käsittelee tietoja ja missä, rekisterinpitäjät eivät voi täyttää vastuuvelvollisuuksiaan. Tämä valvonta varmistaa, että käsittelijät eivät lisää alihankkijoita käsittelyketjuun rekisterinpitäjän tietämättä.



ISMS.onlinen tehokas kojelauta

Aloita helposti henkilökohtaisella tuote-esittelyllä

Yksi perehdytysasiantuntijoistamme opastaa sinua alustamme läpi ja auttaa sinua alkuun luottavaisin mielin.

Varaa esittelysi


Miksi valita ISMS.online alihankkijoiden tiedonantojen hallintaa varten?

ISMS.online tarjoaa käytännön työkaluja alihankkijoiden läpinäkyvyyden hallintaan:

  • Alihankkijarekisteri — Ylläpitää keskitettyä rekisteriä kaikista alihankkijoista, mukaan lukien niiden nimet, käsittelytoimet, sijainnit, sertifioinnit ja vaatimustenmukaisuustilanne
  • Tietojen julkistamisen työnkulut — Hallitse ennakkoilmoitusten työnkulkuja seurattujen asiakasilmoitusten, hyväksymispyyntöjen ja vastaväitteiden käsittelyn avulla
  • Maakartoitus — Yhdistää alihankkijat heidän käsittelymaihinsa ja päivittää siirtojen kohderekisterin automaattisesti alihankkijoiden vaihtuessa
  • Vaatimustenmukaisuuden seuranta — Seuraa alihankkijoiden vaatimustenmukaisuutta koskevia todisteita (sertifikaatit, auditointiraportit, sopimusehdot) ja ilmoita, kun todisteet vanhenevat tai ne on uusittava
  • Asiakasportaali — Tarjoa asiakkaille näkyvyyttä alihankkijarekisteriisi, mikä vähentää kertaluonteisia tietopyyntöjä ja osoittaa jatkuvaa läpinäkyvyyttä

UKK

Mitä tietoja alihankkijoista on luovutettava?

Käsittelijän on vähintäänkin ilmoitettava: alihankkijoiden käyttö; alihankkijoiden nimet; maat ja organisaatiot, joihin alihankkijat voivat siirtää henkilötietoja; ja keinot, joilla alihankkijat täyttävät tai ylittävät käsittelijän omat velvoitteet (kuten sertifioinnit, sopimusehdot tai auditointitulokset). Jos alihankkijoiden nimien paljastaminen aiheuttaa turvallisuusriskin, nimet voidaan paljastaa salassapitosopimuksen nojalla tai pyynnöstä, mutta maaluettelo on aina julkistettava avoimesti.

Mitä eroa on erityisellä ja yleisellä valtuutuksella?

GDPR:n artiklan 28(2) mukaan rekisterinpitäjä voi myöntää erityisen valtuutuksen (jolla hyväksytään jokainen alihankkija erikseen ennen käyttöä) tai yleisen valtuutuksen (jolla käsittelijälle annetaan yleinen lupa käyttää alihankkijoita ilmoitus- ja vastustusmekanismin mukaisesti). Yleisessä valtuutuksessa käsittelijän on ilmoitettava rekisterinpitäjälle kaikista aiotuista alihankkijoita koskevista muutoksista ja annettava rekisterinpitäjälle mahdollisuus vastustaa muutosta ennen sen voimaantuloa. Sopimuksessa on ilmoitettava selvästi, kumpaa mallia sovelletaan.

Voiko käsittelijä kieltäytyä paljastamasta alihankkijoiden nimiä?

Liitteen B ohjeistus sallii nimien salaamisen, jos se lisää turvallisuusriskiä, ​​edellyttäen, että ne paljastetaan salassapitosopimuksen nojalla tai pyynnöstä. Käsittelijä ei kuitenkaan voi kieltäytyä paljastamasta nimiä kokonaan asiakkaalle, koska rekisterinpitäjä tarvitsee nämä tiedot omien velvoitteidensa täyttämiseksi. Maaluettelo on aina julkistettava rajoituksetta. Käytännössä useimmat asiakkaat odottavat alihankkijoiden täydellisiä nimiä osana tietojenkäsittelysopimusta tai julkisesti saatavilla olevaa alikäsittelijöiden luetteloa.

Hankintatiimit käyttävät näitä valvontakeinoja käsittelijöiden arviointiin — katso lisätietoja hankintavaatimusten opas ja toimittajien arviointiopas.

Yhtiömme tarkastusevidenssivaatimusten opas yksityiskohtaisesti, mitä alihankkijoiden dokumentaation tarkastajat odottavat.

Max Edwards

Max toimii osana ISMS.online-markkinointitiimiä ja varmistaa, että verkkosivustomme päivitetään hyödyllisellä sisällöllä ja tiedolla kaikesta ISO 27001, 27002 ja vaatimustenmukaisuudesta.

Tee virtuaalikierros

Aloita ilmainen kahden minuutin interaktiivinen demosi nyt ja katso
ISMS.online toiminnassa!

Kokeile nyt
alustan kojelauta täysin uudenveroinen

Olemme alamme johtaja

4/5 tähteä
Käyttäjät rakastavat meitä
Johtaja - kevät 2026
Huippusuorittaja - kevät 2026 Pienyritykset Isossa-Britanniassa
Aluejohtaja - kevät 2026 EU
Aluejohtaja - kevät 2026 EMEA
Aluejohtaja - kevät 2026, Iso-Britannia
Huippusuorittaja - kevät 2026, keskikokoinen markkina-alue EMEA-alueella

"ISMS.Online, erinomainen työkalu sääntelyn noudattamiseen"

—Jim M.

"Tekee ulkoisista tarkastuksista helppoa ja yhdistää kaikki ISMS:si osat saumattomasti yhteen"

—Karen C.

"Innovatiivinen ratkaisu ISO- ja muiden akkreditointien hallintaan"

—Ben H.