Hyppää sisältöön
ISMS.online

ISO 27701:2025 -standardin mukainen valvonta A.2.5.8: Alihankkijan palkkaaminen henkilötietojen käsittelyyn

Kontroli A.2.5.8 edellyttää, että organisaatiot käyttävät alihankkijaa henkilötietojen käsittelyyn vain asiakassopimuksen mukaisesti. Tämä varmistaa, että alihankintajärjestelyt ovat valtuutettuja, sopimusperusteisia ja samojen tietosuojavelvoitteiden alaisia ​​kuin ensisijaisessa käsittelysuhteessa.

kirjailija
Max Edwards
Päivitetty maaliskuu 27, 2026
4/5 tähteä

Mitä kohta A.2.5.8 edellyttää?

Organisaatio saa käyttää alihankkijaa henkilötietojen käsittelyyn ainoastaan ​​asiakassopimuksen mukaisesti.

Tämä ohjaus sijaitsee PII-käsittelijän hallintalaitteet liite (A.2) ja vahvistaa sopimusperusteisen perustan alihankintakäsittelylle. Käsittelijät eivät voi vapaasti delegoida henkilötietojen käsittelyä alihankkijoille. Jokainen alihankintasopimus on valtuutettava asiakassopimuksella, ja alihankkijan on oltava sidottu vastaaviin yksityisyyden suojaa koskeviin velvoitteisiin. Tämä suojaa rekisterinpitäjän etuja koko käsittelyketjussa.

Mitä liitteen B täytäntöönpano-ohjeissa sanotaan?

Liitteessä B (kohta B.2.5.8) annetaan seuraavat ohjeet:

  • Kirjallinen asiakkaan valtuutus — Asiakkaan kirjallinen suostumus vaaditaan ennen alihankkijan käyttöä. Tämä voi olla sopimuslausekkeiden tai kertaluonteisen sopimuksen muodossa.
  • Kirjallinen alihankintasopimus — Organisaatiolla on oltava kirjallinen sopimus jokaisen alihankkijan kanssa
  • Taulukko A.2 valvonta — Alihankkijasopimuksen on käsiteltävä kaikkia sovellettavia valvontatoimia Taulukko A.2 (henkilökohtaisesti tunnistettavien tietojen käsittelijän hallintalaitteet)
  • Oletusasetus — Alihankkijoiden tulisi ottaa kaikki A.2-kohdan mukaiset valvontatoimet käyttöön oletusarvoisesti; kaikki poikkeukset on perusteltava.
  • Katso myös A.2.5.2: Perusteet henkilötietojen siirrolle lainkäyttöalueiden välillä asiaankuuluvia vaatimuksia varten
  • Katso myös A.2.5.4: Kolmansille osapuolille luovutettujen henkilötietojen tiedot asiaankuuluvia vaatimuksia varten

Ohjeistus luo selkeän sopimusvelvoitteiden ketjun. Asiakas valtuuttaa alihankintakäsittelyn, käsittelijä tekee sopimuksen alihankkijan kanssa ja alihankkijasopimus heijastaa käsittelijän oman asiakkaan kanssa tehdyn sopimuksen velvoitteita. A.2 kohdan mukaisten valvontatoimien poikkeukset sallitaan vain perustelluissa tapauksissa varmistaen, että yksityisyyden suoja ei heikkene käsittelyn edetessä ketjussa.

Miten tämä vastaa GDPR:ää?

Kontrolli A.2.5.8 vastaa seuraavaa GDPR artikkeleita:

  • Article 28 (2) — Käsittelijä ei saa käyttää toista käsittelijää ilman rekisterinpitäjän etukäteen antamaa nimenomaista tai yleistä kirjallista lupaa.
  • Article 28 (4) — Jos käsittelijä käyttää toista käsittelijää, tälle toiselle käsittelijälle on sopimuksella asetettava samat tietosuojavelvoitteet kuin rekisterinpitäjän ja ensimmäisen käsittelijän välisessä sopimuksessa on määrätty, erityisesti tarjoamalla riittävät takeet asianmukaisten teknisten ja organisatoristen toimenpiteiden toteuttamisesta.

GDPR Artiklan 28(4) mukaan velvoitteet on eriteltävä seuraavasti: alihankkijasopimuksessa on asetettava alihankkijalle samat velvoitteet kuin rekisterinpitäjän on asetettava käsittelijälle. Jos alihankkija laiminlyö velvoitteensa, alkuperäinen käsittelijä on edelleen täysin vastuussa rekisterinpitäjälle.

Mikä muuttui standardista ISO 27701:2019?

Vaiheittaisen lähestymistavan löydät kohdasta Siirtymäkausi vuodesta 2019 vuoteen 2025.

Vuoden 2019 painoksessa tätä vaatimusta käsiteltiin laajemman lausekerakenteen sisällä. Vuoden 2025 painoksessa A.2.5.8 on oma erillisenä kontrollina, ja sen toteutusohjeissa B.2.5.8 nimenomaisesti edellytetään alihankintasopimusten kattavan kaikki... Taulukko A.2 valvontaa ja edellyttää alihankkijoilta kaikkien A.2-valvonnan toimenpiteiden toteuttamista oletusarvoisesti perustelluin poikkeuksin. Katso Liitteen F vastaavuustaulukko koko kartoitusta varten.



ISMS.onlinen tehokas kojelauta

Aloita ilmainen kokeilu

Haluatko tutkia?

Rekisteröidy ilmaiseen kokeilujaksoon tänään ja pääset käyttämään kaikkia ISMS.onlinen tarjoamia yhteensopivuusominaisuuksia

Aloita


Mitä todisteita tilintarkastajat odottavat?

Arvioidessaan kohdan A.2.5.8 vaatimustenmukaisuutta tilintarkastajat etsivät tyypillisesti seuraavia seikkoja:

  • Asiakkaan valtuutus — Kunkin asiakkaan kirjallinen valtuutus alihankkijoiden käyttöön joko sopimuslausekkeiden (yleisvaltuutus) tai erityishyväksyntöjen (erityisvaltuutus) muodossa
  • Alihankintasopimukset — Kirjalliset sopimukset jokaisen alihankkijan kanssa, jotka kattavat kaikki sovellettavat A.2-kohdan mukaiset valvontatoimet ja joihin on liitetty dokumentoidut perustelut mahdollisille poissulkemisille
  • Velvoitteiden alaspäin suuntautuva kulku — Todiste siitä, että asiakassopimuksessa käsittelijälle asetetut velvoitteet on siirretty alihankintasopimuksiin
  • A.2 valvonnan kattavuus — Kartoitus, josta käy ilmi, mitkä A.2-kohdan valvontatoimet käsitellään kussakin alihankintasopimuksessa, ja perustelut sille, miksi valvontatoimet on jätetty pois.
  • Alihankkijoiden vaatimustenmukaisuuden seuranta — Todisteet siitä, että organisaatio valvoo alihankkijoiden sopimusvelvoitteiden noudattamista, kuten auditointitulokset, sertifiointitilanne ja suoritusarvioinnit

Mitä asiaan liittyviä ohjausobjekteja on?

Valvonta: Yhteys
A.2.5.7 Alihankkijoiden julkistaminen Alihankkijat on ilmoitettava asiakkaalle ennen sopimusta
A.2.2.2 Asiakassopimus Asiakassopimus valtuuttaa alihankinnan ja määrittelee ehdot
A.2.5.3 Maat, joihin henkilötietoja siirretään Alihankkijoiden käsittelypaikat on dokumentoitava ja ilmoitettava
A.2.4.3 Palautus, siirto tai hävittäminen Aliurakoitsijoiden on noudatettava henkilötietojen hävittämistä koskevia vaatimuksia sopimuksen päättyessä
A.2.2.6 Asiakkaan velvollisuudet Alihankkijoiden vaatimustenmukaisuustodistus tukee asiakkaan vastuullisuutta

Ketä tämä valvonta koskee?

A.2.5.8 koskee yksinomaan PII-käsittelijätKun käsittelijä käyttää alihankkijaa, rekisterinpitäjän henkilötiedot kulkevat ylimääräisen käsittelykerroksen läpi. Rekisterinpitäjän on saatava varmuus siitä, että tämä ylimääräinen kerros tarjoaa saman suojaustason kuin ensisijainen käsittelysuhde. Tämä valvonta varmistaa, että alihankinta on valtuutettua, sopimusperusteista ja että sitä säännellään kaikilla A.2-valvonnan alueilla.



ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa

ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Varaa esittelysi


Miksi valita ISMS.online alihankkijoiden sitoumusten hallintaan?

ISMS.online tarjoaa käytännön työkaluja alihankkijoiden sitouttamisen hallintaan:

  • Sopimusten hallinta — Tallentaa ja hallinnoi alihankkijasopimuksia versionhallinnan avulla linkittämällä jokainen sopimus sovellettaviin A.2-tason valvontatoimiin ja asiakkaiden valtuutuksiin
  • Ohjauskartoitus — Yhdistä jokainen alihankintasopimus kaikkiin A.2-tason valvontatoimiin ja käytä jäsenneltyjä kenttiä valvontatoimien kattavuuden ja perusteltujen poissulkemisten dokumentoimiseksi.
  • Valtuutusten seuranta — Seuraa kunkin alihankkijan asiakkaiden valtuutuksia, mukaan lukien valtuutuksen tyyppi (erityinen vai yleinen), myöntämispäivämäärä ja mahdolliset ehdot
  • Vaatimustenmukaisuuden seuranta — Seuraa alihankkijoiden vaatimustenmukaisuutta aikataulutettujen arviointien, sertifiointien seurannan ja auditointitulosten hallinnan avulla
  • Velvoitteiden alaspäin suuntautuva kulku — Vertaa asiakkaan sopimusvelvoitteita alihankkijan sopimusvelvoitteisiin sen varmistamiseksi, että kaikki vaatimukset on käsitelty asianmukaisesti

UKK

Mitä alihankintasopimuksen tulee sisältää?

Alihankkijasopimuksen on käsiteltävä kaikkia sovellettavia valvontatoimia Taulukko A.2 (henkilökohtaisten tietojen käsittelijän valvonta). Tähän sisältyvät käsittelyohjeet, luottamuksellisuusvelvoitteet, turvatoimenpiteet, rekisteröityjen oikeuksien tuki, tietomurroista ilmoittaminen, tietojen hävittäminen, rajat ylittäviä siirtoja koskevat määräykset ja tarkastusoikeudet. Alihankkijan tulee ottaa kaikki A.2-kohdan mukaiset valvontatoimet käyttöön oletusarvoisesti. Mahdolliset poikkeukset on dokumentoitava ja perusteltava alihankinnan laajuuden perusteella. Sopimuksessa on myös oltava samat velvoitteet, jotka asiakassopimuksessa asetetaan käsittelijälle.

Kuka on vastuussa, jos aliurakoitsija rikkoo velvollisuuksiaan?

GDPR:n mukaan alkuperäinen käsittelijä on edelleen täysin vastuussa rekisterinpitäjälle alihankkijan velvoitteiden suorittamisesta. Jos alihankkija laiminlyö tietosuojavelvoitteensa, käsittelijä on vastuussa. Siksi vankat alihankkijasopimukset, vaatimustenmukaisuuden seuranta ja tarkastusoikeudet ovat olennaisia. Käsittelijän on myös varmistettava, että sillä on alihankkijasopimuksessaan asianmukaiset korvausmääräykset alihankkijan vaatimustenvastaisuuden kaupallisen riskin hallitsemiseksi.

Voidaanko A.2-valvonnan ulkopuolelle jättämisiä perustella?

Kyllä, mutta poikkeukset on perusteltava alihankinnan laajuuden ja luonteen perusteella. Esimerkiksi alihankkija, joka tarjoaa vain infrastruktuurin ylläpitoa (ilman pääsyä henkilötietojen sisältöön), voi perustellusti jättää pois rekisteröidyn oikeuksiin tai henkilötietojen luovuttamiseen liittyvät kontrollit. Turvallisuuteen, luottamuksellisuuteen ja tietomurtoilmoituksiin liittyvät kontrollit olisivat kuitenkin edelleen sovellettavissa. Perustelut on dokumentoitava, niiden riskit arvioitava ja ne on hyväksyttävä. Tilintarkastajat tarkastavat poikkeukset varmistaakseen, etteivät ne luo aukkoja yksityisyyden suojaan.

Hankintatiimit käyttävät näitä valvontakeinoja käsittelijöiden arviointiin — katso lisätietoja hankintavaatimusten opas ja toimittajien arviointiopas.

Yhtiömme tarkastusevidenssivaatimusten opas yksityiskohtaisesti, mitä alihankkijoiden dokumentaation tarkastajat odottavat.

Max Edwards

Max toimii osana ISMS.online-markkinointitiimiä ja varmistaa, että verkkosivustomme päivitetään hyödyllisellä sisällöllä ja tiedolla kaikesta ISO 27001, 27002 ja vaatimustenmukaisuudesta.

Tee virtuaalikierros

Aloita ilmainen kahden minuutin interaktiivinen demosi nyt ja katso
ISMS.online toiminnassa!

Kokeile nyt
alustan kojelauta täysin uudenveroinen

Olemme alamme johtaja

4/5 tähteä
Käyttäjät rakastavat meitä
Johtaja - kevät 2026
Huippusuorittaja - kevät 2026 Pienyritykset Isossa-Britanniassa
Aluejohtaja - kevät 2026 EU
Aluejohtaja - kevät 2026 EMEA
Aluejohtaja - kevät 2026, Iso-Britannia
Huippusuorittaja - kevät 2026, keskikokoinen markkina-alue EMEA-alueella

"ISMS.Online, erinomainen työkalu sääntelyn noudattamiseen"

—Jim M.

"Tekee ulkoisista tarkastuksista helppoa ja yhdistää kaikki ISMS:si osat saumattomasti yhteen"

—Karen C.

"Innovatiivinen ratkaisu ISO- ja muiden akkreditointien hallintaan"

—Ben H.