Hyppää sisältöön
ISMS.online

ISO 27701:2025 -standardin mukainen valvonta A.3.4: Tietoturvaroolit ja -vastuut

Kontrollin A.3.4 mukaan organisaatioiden on määriteltävä ja jaettava henkilötietojen käsittelyyn liittyvät tietoturvaroolit ja -vastuut. Selkeä vastuuvelvollisuus on olennaisen tärkeää tehokkaan yksityisyyden hallinnan kannalta.

kirjailija
Max Edwards
Päivitetty maaliskuu 27, 2026
4/5 tähteä

Mitä kohta A.3.4 edellyttää?

Henkilötietojen käsittelyyn liittyvät tietoturvaroolit ja -vastuut on määriteltävä ja jaettava organisaation tarpeiden mukaan.

Tämä ohjaus sijaitsee jaetut suojauskontrollit (Taulukko A.3), joka koskee sekä PII-ohjaimia että PII-prosessoreita. Se perustuu A.3.3 Tietoturvakäytännöt varmistamalla, että siellä määritellyillä politiikoilla on selkeä omistajuus ja vastuuvelvollisuus.

Mitä käyttöönotto-ohjeissa sanotaan?

Liitteessä B (kohta B.3.4) on yksityiskohtaiset ohjeet määriteltävistä rooleista:

  • Asiakasyhteyspiste — Nimeä asiakkaille yhteyshenkilö henkilötietojen käsittelyyn liittyvissä asioissa
  • PII-pääasiallinen yhteyspiste — Nimeä yhteyspiste, josta PII-päälliköt (rekisteröidyt) voivat käyttää oikeuksiaan ja esittää huolenaiheitaan
  • Tietosuojaohjelman omistaja — Nimitä yksi tai useampi henkilö, joka on vastuussa yksityisyydensuojaohjelmasta, kuten tietosuojavastaava (DPO)
  • Vastuuhenkilön tulisi olla itsenäinen, joilla on valtuudet hoitaa tehtävänsä ilman eturistiriitoja
  • Vastuuhenkilöllä tulisi olla asiantuntemusta tietosuojalainsäädännöstä ja -käytännöstä
  • Vastuuhenkilön tulisi toimia niin kuin valvontaviranomaisten yhteystiedot
  • Katso myös A.3.13: Lakisääteiset ja sääntelyyn liittyvät vaatimukset asiaankuuluvia vaatimuksia varten
  • Katso myös A.3.15: Tietoturvallisuuden riippumaton tarkastus asiaankuuluvia vaatimuksia varten

Ohjeistus on tiiviisti linjassa GDPR Tietosuojavastaavan vaatimukset, mutta se on kirjoitettu lainkäyttöalueneutraalisti, joten sitä voidaan soveltaa riippumatta siitä, minkä yksityisyyden suojaa koskevan lainsäädännön alaisuudessa organisaatio toimii.

Miten tämä vastaa GDPR:ää?

Kohdan A.3.4 mukaiset kontrollikartat (standardin ISO 27701 kohdan 5.3 kautta) GDPR 37–39 artiklat (liittyvät määräykset, joita ei ole virallisesti esitetty liitteessä D):

  • Artikla 37 — Tietosuojavastaavan nimeäminen, mukaan lukien olosuhteet, joissa tietosuojavastaava on nimitettävä
  • Artikla 38 — Tietosuojavastaavan asema, mukaan lukien riippumattomuus, resurssit ja raportointiketju
  • Artikla 39 — Tietosuojavastaavan tehtävät, mukaan lukien tiedottaminen, neuvonta, vaatimustenmukaisuuden seuranta ja yhteyshenkilönä toimiminen valvontaviranomaisen puolesta

Tietosuoja-asetuksen piiriin kuuluvat organisaatiot, joiden on nimitettävä tietosuojavastaava, huomaavat, että kohdan A.3.4 täyttäminen täyttää suurelta osin heidän tietosuojavastaavaan liittyvät velvoitteensa, edellyttäen, että nimitetty henkilö täyttää GDPR:n erityiset asiantuntemusta ja riippumattomuutta koskevat vaatimukset.

Miten tämä liittyy ISO 29100 -standardin mukaisiin yksityisyyden suojaa koskeviin periaatteisiin?

Jaettuna tietoturvakontrollina A.3.4 tukee laajempaa ISO 29100 Roolien ja vastuiden selkeä jako on keskeinen hallintomekanismi, joka tukee vastuuvelvollisuusperiaatetta ja varmistaa, että joku on vastuussa henkilötietojen suojaamisen jokaisesta osa-alueesta.



ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa

ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Varaa esittelysi


Mitä todisteita tilintarkastajat odottavat?

Arvioidessaan kohdan A.3.4 vaatimustenmukaisuutta tilintarkastajat etsivät tyypillisesti seuraavia seikkoja:

  • Roolimääritelmät — Dokumentoidut kuvaukset kaikista yksityisyyteen liittyvistä rooleista, mukaan lukien laajuus, valtuudet ja raportointisuhteet
  • Ajanvaraustiedot — Todiste siitä, että roolit on virallisesti jaettu nimetyille henkilöille (tietosuojavastaavan nimityskirje, hallituksen päätös jne.)
  • Todisteet itsenäisyydestä — Osoitus siitä, että yksityisyydensuojaohjelman omistajalla ei ole eturistiriitaa (esim. he eivät myöskään määritä henkilötietojen käsittelyn tarkoituksia)
  • Osaamisrekisterit — Todiste nimetyn henkilön asiantuntemuksesta tietosuojan alalla (pätevyys, koulutustiedot, kokemus)
  • Yhteyspisteen dokumentaatio — Julkaistut yhteystiedot henkilötietojen käsittelijöille ja asiakkaille, joihin pääsee käsiksi tietosuojailmoitusten tai organisaation verkkosivuston kautta

Mitä asiaan liittyviä ohjausobjekteja on?

Valvonta: Yhteys
A.3.3 Tietoturvakäytännöt Politiikat määrittelevät, mitä on tehtävä; roolit määrittelevät, kuka on vastuussa sen tekemisestä
A.3.8 Identiteetinhallinta Roolipohjainen käyttöoikeus perustuu selkeästi määriteltyihin rooleihin ja vastuisiin
A.1.3.3 Tietoja henkilötietojen käsittelijöille Henkilötietojen määrittäminen päämiehille Yhteystiedot henkilövakuutuksen ottajille on ilmoitettava osana heille toimitettavia tietoja.
A.1.2.9 Henkilötietojen käsittelyä koskevat tiedot Käsittelytietojen tulee yksilöidä kunkin käsittelytoiminnon vastuuhenkilöt
A.3.5 Tietojen luokittelu Tiedon omistajat (määritelty rooli) ovat vastuussa luokittelupäätöksistä

Mikä muuttui standardista ISO 27701:2019?

Vaiheittaisen lähestymistavan löydät kohdasta Siirtymäkausi vuodesta 2019 vuoteen 2025.

Vuoden 2019 painoksessa tätä vaatimusta käsiteltiin kohdassa 6.3.1.1. Vuoden 2025 versiossa ohjeet on yhdistetty selkeämpään rakenteeseen kohtiin A.3.4/B.3.4 ja siinä korostetaan vahvemmin tietosuojavastaavan roolia. Riippumattomuutta, asiantuntemusta ja valvontaviranomaisten kanssa yhteyksiä koskevat vaatimukset on nyt sijoitettu selkeämmin. Katso Liitteen F vastaavuustaulukko koko kartoitusta varten.



Löydä vaatimustenmukaisuusvarmuutesi ISMS.onlinen avulla

Aloita helposti henkilökohtaisella tuote-esittelyllä

Yksi perehdytysasiantuntijoistamme opastaa sinua alustamme läpi ja auttaa sinua alkuun luottavaisin mielin.

Varaa esittelysi


Miksi valita ISMS.online yksityisyyden suojan roolien ja vastuiden määrittelyyn?

ISMS.online tarjoaa rakenteen vastuullisuuden määrittämiseen, osoittamiseen ja seurantaan koko tietosuojaohjelmassasi:

  • Organisaatiorakenteen kartoitus — Määrittele tietosuojaroolit selkeillä kuvauksilla, laajuudella ja valtuuksilla ja anna ne nimetyille henkilöille alustalla
  • RACI-matriisit — Kartoita, kuka on vastuussa, tilivelvollinen, konsultoitava ja informoitu kustakin yksityisyyden suojan ja käsittelyn toiminnasta
  • Tehtävän jakaminen ja seuranta — Jaa tietyt yksityisyyteen liittyvät tehtävät roolien haltijoille ja seuraa niiden valmistumista määräaikojen puitteissa
  • Osaamisrekisterit — Ylläpidä tietosuojarooleissa olevien henkilöiden koulutus- ja pätevyystietoja heidän rooliensa ohella
  • Auditointivalmis raportointi — Luo raportteja, jotka näyttävät kaikki yksityisyyden suojan roolit, niiden haltijat sekä todisteet heidän pätevyydestään ja riippumattomuudestaan
  • Tehtävien eriyttäminen — Määritä alustan käyttöoikeuksien hallinta vastaamaan tietosuojavastaavan/yksityisyysohjelman omistajan riippumattomuusvaatimuksia

UKK

Onko tietosuojavastaava pakollinen ISO 27701 -standardin nojalla?

ISO 27701 -standardi edellyttää ”yhtä tai useampaa henkilöä, jotka ovat vastuussa tietosuojaohjelmasta”, mutta ei määrää tiettyä tietosuojavastaavan nimikettä. Jos GDPR kuitenkin soveltuu organisaatioosi ja täytät 37 artiklan kriteerit (viranomainen, laajamittainen valvonta tai erityisryhmien laajamittainen käsittely), tietosuojavastaava on pakollinen. ISO 27701 -standardin mukainen valvonta on suunniteltu täyttämään tietosuojavastaavan vaatimukset siellä, missä niitä on, ja samalla se on riittävän joustava lainkäyttöalueille, joilla ei ole virallista tietosuojavastaavaa vaatimusta.

Mitä itsenäisyys käytännössä tarkoittaa?

Tietosuojaohjelmasta vastaavan henkilön ei tulisi olla asemassa, jossa hänen muut vastuualueensa aiheuttavat eturistiriidan hänen tietosuojaroolinsa kanssa. Esimerkiksi teknologiajohtajaa, joka määrittää käsittelyn tarkoitukset ja keinot, ei pidetä riippumattomana. Tietosuojatehtävien haltijan tulisi raportoida ylimmälle johdolle, hänellä tulisi olla pääsy resursseihin eikä hän saisi ottaa vastaan ​​ohjeita tietosuojatehtäviensä hoitamisesta.

Voiko yhdellä henkilöllä olla useita yksityisyysrooleja?

Kyllä, edellyttäen, että eturistiriitaa ei ole ja henkilöllä on valmiudet ja pätevyys täyttää kaikki hänelle osoitetut roolit. Pienemmissä organisaatioissa on yleistä, että yksi henkilö toimii sekä asiakasyhteyshenkilönä että henkilötietojen pääasiallisena yhteyshenkilönä. Tietosuojaohjelman omistajan roolia ei kuitenkaan pitäisi yhdistää rooleihin, jotka määrittävät käsittelyn tarkoitukset ja keinot, koska se vaarantaisi riippumattomuuden.

Tietosuojavastaavat voivat löytää kattavan yleiskatsauksen ISO 27701 -standardin mukaisista vastuistaan ​​osoitteesta opas tietosuojavastaaville.

Tietoturva- ja yksityisyysvastuita tasapainottavien tietoturvajohtajien tulisi lukea CISO-opas standardiin ISO 27701:2025.

Max Edwards

Max toimii osana ISMS.online-markkinointitiimiä ja varmistaa, että verkkosivustomme päivitetään hyödyllisellä sisällöllä ja tiedolla kaikesta ISO 27001, 27002 ja vaatimustenmukaisuudesta.

Tee virtuaalikierros

Aloita ilmainen kahden minuutin interaktiivinen demosi nyt ja katso
ISMS.online toiminnassa!

Kokeile nyt
alustan kojelauta täysin uudenveroinen

Olemme alamme johtaja

4/5 tähteä
Käyttäjät rakastavat meitä
Johtaja - kevät 2026
Huippusuorittaja - kevät 2026 Pienyritykset Isossa-Britanniassa
Aluejohtaja - kevät 2026 EU
Aluejohtaja - kevät 2026 EMEA
Aluejohtaja - kevät 2026, Iso-Britannia
Huippusuorittaja - kevät 2026, keskikokoinen markkina-alue EMEA-alueella

"ISMS.Online, erinomainen työkalu sääntelyn noudattamiseen"

—Jim M.

"Tekee ulkoisista tarkastuksista helppoa ja yhdistää kaikki ISMS:si osat saumattomasti yhteen"

—Karen C.

"Innovatiivinen ratkaisu ISO- ja muiden akkreditointien hallintaan"

—Ben H.