Hyppää sisältöön
ISMS.online

ISO 27701:2025 -standardin mukainen valvonta A.2.5.9: Alihankkijan vaihto prosessiin PII

Kohdan A.2.5.9 mukainen valvonta edellyttää, että henkilötietojen käsittelijöinä toimivat organisaatiot ilmoittavat asiakkaalle kaikista henkilötietoja käsitteleviin alihankkijoihin suunnitelluista muutoksista ja antavat asiakkaalle mahdollisuuden vastustaa muutoksia ennen muutosten voimaantuloa.

kirjailija
Max Edwards
Päivitetty maaliskuu 27, 2026
4/5 tähteä

Mitä kohta A.2.5.9 edellyttää?

Jos organisaatiolla on yleinen kirjallinen valtuutus, sen on ilmoitettava asiakkaalle kaikista suunnitelluista muutoksista, jotka koskevat henkilötietojen käsittelyyn osallistuvien alihankkijoiden lisäämistä tai korvaamista, ja annettava asiakkaalle mahdollisuus vastustaa tällaisia ​​muutoksia.

Tämä ohjaus sijaitsee Henkilötietojen siirto ja luovuttaminen tavoite (A.2.5), joka säätelee sitä, miten henkilötietojen käsittelijät hallinnoivat asiakkaiden heille uskomien henkilötietojen jakamista ja siirtämistä eteenpäin.

Mitä käyttöönotto-ohjeissa sanotaan?

Liitteessä B (kohta B.2.5.9) annetaan seuraavat ohjeet:

  • Jos organisaatio vaihtaa alihankkijaa, asiakkaan kirjallinen suostumus vaaditaan ennen kuin uusi alihankkija käsittelee henkilötietoja.
  • Tämä valtuutus voi olla erityisten sopimuslausekkeiden muodossa, joissa esitetään ilmoitus- ja vastustusprosessi.
  • Vaihtoehtoisesti se voi olla kertaluonteinen sopimus, joka hankitaan ennen kuin uusi alihankkija aloittaa käsittelyn.
  • Keskeinen periaate on, että asiakkaalla säilyy määräysvalta siihen, mitkä tahot käsittelevät hänen henkilötietojaan, vaikka yleinen valtuutus olisi myönnetty.
  • Katso myös A.2.5.2: Perusteet henkilötietojen siirrolle lainkäyttöalueiden välillä asiaankuuluvia vaatimuksia varten
  • Katso myös A.2.5.3: Maat ja kansainväliset järjestöt henkilötietojen siirtoa varten asiaankuuluvia vaatimuksia varten

Tämä ohjeistus vahvistaa ajatusta siitä, että yleinen valtuutus ei tarkoita kaikkea mahdollista lupaa. Asiakkaalla on aina oltava oikeus tarkastella ja mahdollisesti hylätä alihankintaketjun muutoksia.

Miten tämä vastaa GDPR:ää?

Kontrolli A.2.5.9 liittyy suoraan kohtaan GDPR:n 28(2) artikla, jossa todetaan, että käsittelijä ei saa käyttää toista käsittelijää ilman rekisterinpitäjän etukäteen antamaa nimenomaista tai yleistä kirjallista lupaa. Jos yleinen kirjallinen lupa on annettu, käsittelijän on ilmoitettava rekisterinpitäjälle kaikista aiotuista muutoksista, jotka koskevat muiden käsittelijöiden lisäämistä tai korvaamista, ja annettava siten rekisterinpitäjälle mahdollisuus vastustaa tällaisia ​​muutoksia.

Tämä on yksi suorimmin yhdenmukaisista ISO 27701:2025 -standardin ja GDPR, ja ohjauskieli heijastelee tarkasti asetusta.

Miten tämä liittyy ISO 29100 -standardin mukaisiin yksityisyyden suojaa koskeviin periaatteisiin?

Tämä ohjausobjekti tukee seuraavaa ISO 29100 -standardin mukaista tietosuojaperiaatetta:

  • Vastuullisuus — Selkeän vastuun ylläpitäminen henkilötietojen käsittelystä koko alihankkijaketjussa
  • Avoimuus, läpinäkyvyys ja ilmoitusvelvollisuus — Asiakkaan tiedottaminen muutoksista, jotka vaikuttavat hänen henkilötietojensa käsittelyyn


kiipeily

Vapauta itsesi laskentataulukoiden vuorten vallasta

Ota käyttöön, laajenna ja skaalaa vaatimustenmukaisuus ilman sotkua. Io antaa sinulle joustavuutta ja luottamusta kasvaa turvallisesti.

Varaa esittelysi


Mitä todisteita tilintarkastajat odottavat?

Arvioidessaan kohdan A.2.5.9 vaatimustenmukaisuutta tilintarkastajat etsivät tyypillisesti seuraavia seikkoja:

  • Alihankkijarekisteri — Dokumentoitu luettelo kaikista nykyisistä henkilötietojen käsittelyyn osallistuvista alihankkijoista, mukaan lukien sopimuspäivämäärät ja käsittelyn laajuus
  • Ilmoitustietueet — Todiste siitä, että asiakkaalle ilmoitettiin suunnitelluista alihankkijamuutoksista ennen niiden voimaantuloa
  • Vastalauseiden käsittelyprosessi — Määritelty menettely, jolla asiakkaat voivat vastustaa ehdotettuja muutoksia, mukaan lukien aikataulut
  • Sopimuslausekkeet — Kirjalliset sopimukset, joissa esitetään alihankkijoiden muutosten ilmoitus- ja vastustusmekanismi
  • Valtuutustietueet — Todiste kultakin asiakkaalta saadusta kirjallisesta valtuutuksesta (yleisestä tai erityisestä)
  • Muutoshistoria — Auditointiketju, joka näyttää kaikki alihankkijoiden lisäykset, korvaukset ja poistot ajan kuluessa

Mitä asiaan liittyviä ohjausobjekteja on?

Valvonta: Yhteys
A.2.5.7 Alihankkijoiden julkistaminen Edellyttää alihankkijoiden käytön ilmoittamista ennen käsittelyn aloittamista
A.2.5.8 Alihankkijan palkkaaminen Säätelee sopimusvaatimuksia alihankkijoiden palkkaamisessa
A.2.2.2 Asiakassopimus Yleinen sopimus, joka määrittelee käsittelyn ehdot, mukaan lukien alihankkijoita koskevat määräykset
A.2.2.3 Organisaation tarkoitus Käsittelyn on pysyttävä asiakkaan kanssa sovittujen tarkoitusten mukaisina, myös alihankkijoiden vaihtuessa
A.3.10 Toimittajasopimukset Laajemmat toimittajanhallintavaatimukset, jotka koskevat alihankkijasuhteita

Mikä muuttui standardista ISO 27701:2019?

Vaiheittaisen lähestymistavan löydät kohdasta Siirtymäkausi vuodesta 2019 vuoteen 2025.

Vuoden 2019 painoksessa tämä vaatimus oli osa kohtaa 8.5.8 (muutokset henkilötietoja käsittelevässä alihankkijassa). Kontrollin sisältö on olennaisesti sama vuonna 2025, mutta se sijaitsee nyt kohdassa Taulukko A.2 selkeämmällä erolla toisistaan ​​valvontalausunto (A.2.5.9) ja toteutusohjeet (B.2.5.9). Katso Liitteen F vastaavuustaulukko koko kartoitusta varten.



ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa

ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Varaa esittelysi


Miksi valita ISMS.online alihankkijoiden muutosten hallintaan?

ISMS.online tarjoaa käytännön työkaluja alihankkijasuhteiden ja muutosten hallintaan:

  • Alihankkijarekisteri — Ylläpidä keskitettyä rekisteriä kaikista henkilötietoja käsittelevistä alihankkijoista, mukaan lukien laajuus, sijainti ja sopimustiedot
  • Muuta työnkulkua — Käynnistää ilmoitusprosessit, kun alihankkijoita lisätään tai korvataan, sisäänrakennettujen hyväksyntävaiheiden avulla
  • Asiakasviestintä — Tallentaa asiakkaille lähetetyt ilmoitukset ja seurata heidän vastauksiaan, mukaan lukien mahdolliset vastalauseet
  • Sopimusten hallinta — Alihankkijasopimukset tallennus- ja versionhallintaan valtuutustietojen ohella
  • Tarkastusrata — Luo täydellinen historia alihankkijoiden muutoksista auditointitodisteita ja vaatimustenmukaisuusraportointia varten

UKK

Mitä eroa on yleisellä ja erityisellä kirjallisella valtuutuksella?

Yleinen kirjallinen valtuutus antaa käsittelijälle mahdollisuuden käyttää alihankkijoita ilmoittamalla asiakkaalle ja antamalla tälle mahdollisuuden vastustaa käsittelyä. Yksilöllinen kirjallinen valtuutus edellyttää, että asiakas hyväksyy jokaisen yksittäisen alihankkijan ennen kuin he voivat aloittaa käsittelyn. Kohta A.2.5.9 käsittelee erityisesti velvoitteita, jotka syntyvät yleisen valtuutuksen ollessa käytössä.

Kuinka paljon aikaa aliurakoitsijan vaihtumisesta pitää ilmoittaa?

ISO 27701:2025 -standardissa ei määritellä vähimmäisilmoitusaikaa, mutta asiakkaalla on oltava kohtuullinen mahdollisuus vastustaa sitä. Paras käytäntö on määritellä irtisanomisaika käsittelysopimuksessa. Monet organisaatiot käyttävät 30 päivää vakioaikana, mutta tästä tulisi sopia jokaisen asiakkaan kanssa kyseessä olevien henkilötietojen arkaluonteisuuden ja määrän perusteella.

Mitä tapahtuu, jos asiakas vastustaa alihankkijan muutosta?

Jos asiakas vastustaa, uusi alihankkija ei saa käsitellä kyseisen asiakkaan henkilötietoja. Organisaatiolla tulee olla dokumentoitu prosessi vastalauseiden käsittelyyn, johon voi sisältyä nykyisen alihankkijan pitäminen kyseisen asiakkaan puolesta, vaihtoehdon tarjoaminen tai joissakin tapauksissa sopimuksen irtisanominen. Tarkan lopputuloksen tulisi määräytyä käsittelysopimuksen ehtojen mukaisesti.

Hankintatiimit käyttävät näitä valvontakeinoja käsittelijöiden arviointiin — katso lisätietoja hankintavaatimusten opas ja toimittajien arviointiopas.

Yhtiömme tarkastusevidenssivaatimusten opas yksityiskohtaisesti, mitä alihankkijoiden dokumentaation tarkastajat odottavat.

Max Edwards

Max toimii osana ISMS.online-markkinointitiimiä ja varmistaa, että verkkosivustomme päivitetään hyödyllisellä sisällöllä ja tiedolla kaikesta ISO 27001, 27002 ja vaatimustenmukaisuudesta.

Tee virtuaalikierros

Aloita ilmainen kahden minuutin interaktiivinen demosi nyt ja katso
ISMS.online toiminnassa!

Kokeile nyt
alustan kojelauta täysin uudenveroinen

Olemme alamme johtaja

4/5 tähteä
Käyttäjät rakastavat meitä
Johtaja - kevät 2026
Huippusuorittaja - kevät 2026 Pienyritykset Isossa-Britanniassa
Aluejohtaja - kevät 2026 EU
Aluejohtaja - kevät 2026 EMEA
Aluejohtaja - kevät 2026, Iso-Britannia
Huippusuorittaja - kevät 2026, keskikokoinen markkina-alue EMEA-alueella

"ISMS.Online, erinomainen työkalu sääntelyn noudattamiseen"

—Jim M.

"Tekee ulkoisista tarkastuksista helppoa ja yhdistää kaikki ISMS:si osat saumattomasti yhteen"

—Karen C.

"Innovatiivinen ratkaisu ISO- ja muiden akkreditointien hallintaan"

—Ben H.