Mitä liite D kertoo?
Liite D on informatiivinen liite, joka yhdistää ISO 27701:2025 -standardin lausekkeet ja tarkastukset ISO-standardin artikloihin 5–35 ja 44–49 (lukuun ottamatta artikloja 36–43). EU:n yleinen tietosuoja-asetus (GDPR)Se osoittaa, miten standardin vaatimusten ja kontrollien noudattaminen voi olla olennaista standardin täyttämisen kannalta. GDPR-velvoitteet.
Tärkeää: Tämä kartoitus on puhtaasti ohjeellinen. Organisaation vastuulla on arvioida omat lakisääteiset velvoitteensa ja päättää, miten niitä noudatetaan. ISO 27701:2025 -standardin mukaisten kontrollien käyttöönotto ei automaattisesti takaa GDPR-vaatimustenmukaisuutta, mutta se tarjoaa jäsennellyn kehyksen sen osoittamiseksi, että keskeiset vaatimukset on täytetty.
Katso laajempi katsaus keskeisiin muutoksiin, ks. Uutta standardissa ISO 27701:2025Katso kuvaukset muihin viitekehyksiin Liite C (ISO 29100) ja Liite E (ISO 27018/29151)Vuoden 2019 vastaavuuksien osalta katso Liitteen F vastaavuustaulukko.
Miten hallintajärjestelmää koskevat lausekkeet on yhdistetty GDPR:ään?
Standardin mukaiset johtamisjärjestelmävaatimukset (4–10 §:t) liittyvät ensisijaisesti GDPR-artikloihin, jotka koskevat tietosuojavastuuta, sertifiointia, vaikutustenarviointeja ja valvontaviranomaisten kuulemista.
| ISO 27701:2025 -lauseke | Keskeiset GDPR-artikkelit | Aihe |
|---|---|---|
| 4.1 Organisaation ymmärtäminen | 24, 25, 28 ja 32 artiklaa | Tietosuojavastuu, käytännesäännöt, sertifiointi |
| 4.2 Asianosaisten tarpeet | Taide. 31, 35 | Yhteistyö valvontaviranomaisen kanssa, tietosuojavaikutusten arviointia koskeva kuuleminen |
| 4.3–4.4 Soveltamisala ja PIMS | Art. 32 | Käsittelyn turvallisuus |
| 5.2 Tietosuojakäytäntö | Art. 24 | Rekisterinpitäjän vastuu |
| 5.3 Roolit ja vastuut | 27, 37–39 artikla | EU:n ulkopuolisten organisaatioiden edustajat, tietosuojavastaavan nimeäminen ja tehtävät |
| 6.1.2–6.1.3 Riskienarviointi ja -käsittely | Taide. 32, 35 | Käsittelyn turvallisuus, tietosuojavaikutusten arviointi |
Miten henkilötietojen rekisterinpitäjän toiminnot (B.1) vastaavat GDPR:ää?
PII-ohjain Liitteessä B olevat täytäntöönpano-ohjeet kuvaavat laajasti GDPR:n ydinperiaatteita ja rekisteröityjen oikeuksia. Jokainen B.1-kohta tarjoaa täytäntöönpano-ohjeita vastaavalle Liite A samalla numeroinnilla varustettu ohjaus (esim. B.1.2.2 on ohjeistus A.1.2.2).
| Liitteen B ohjeet | Liitteen A valvonta | Keskeiset GDPR-artikkelit | Aihe |
|---|---|---|---|
| B.1.2.2 | A.1.2.2 Tarkoituksen tunnistaminen ja dokumentointi | 5 artiklan 1 kohdan b alakohta ja 32 artiklan 4 kohta | Tarkoituksen rajoitus |
| B.1.2.3 | A.1.2.3 Oikeudellisen perustan määrittäminen | 5 artiklan 1 kohdan a alakohta, 6 artiklan 1–4 kohta, 8, 9, 10, 17, 18 ja 22 artikla | Laillisuus, erityisryhmät, rikosrekisteritiedot, lasten suostumus |
| B.1.2.4-5 | A.1.2.4 Suostumuksen määrittäminen, A.1.2.5 Suostumuksen hankkiminen ja kirjaaminen | 7 ja 8 artikla sekä 9 artiklan 2 kohdan a alakohta | Suostumuksen ehdot |
| B.1.2.6 | A.1.2.6 Yksityisyydensuojaa koskevien vaikutusten arviointi | Art. 35 | Tietosuojavaikutusten arviointi ja ennakkokuuleminen |
| B.1.2.9 | A.1.2.9 Käsittelyn tiedot | 5 artiklan 2 kohta, 24 ja 30 artikla | Vastuullisuus, käsittelytoimien tiedot |
| B.1.3.3-4 | A.1.3.3 Tietoja henkilötietojen käsittelijöille, A.1.3.4 Tietojen antaminen | 11–15, 18 ja 21 artikla | Läpinäkyvyys, rekisteröidyille tiedottaminen |
| B.1.3.5 | A.1.3.5 Suostumuksen peruuttaminen | 7 artiklan 3 kohta, 13, 14 ja 18 artikla | Oikeus peruuttaa suostumus, käsittelyn rajoittaminen |
| B.1.3.6 | A.1.3.6 Vastustaa käsittelyä | 13, 14 ja 21 artikla | Oikeus vastustaa |
| B.1.3.7 | A.1.3.7 Tietojen saaminen, korjaaminen tai poistaminen | 5 artiklan 1 kohdan d alakohta, 13, 14, 16 ja 17 artikla | Oikeus tutustua tietoihin, oikaista niitä ja poistaa niitä |
| B.1.3.9 | A.1.3.9 Henkilötietojen kopion toimittaminen | 15 artiklan 3–4 kohta, 20 kohta | Oikeus tietojen siirrettävyyteen |
| B.1.3.10 | A.1.3.10 Pyyntöjen käsittely | 12 artiklan 3–6 kohta, 15 kohta | Oikeuksien käyttämistä koskevat menettelyt |
| B.1.3.11 | A.1.3.11 Automaattinen päätöksenteko | 13, 14 ja 22 artikla | Automatisoitu yksilöllinen päätöksenteko, profilointi |
| B.1.4.2-3 | A.1.4.2 Rajakeräys, A.1.4.3 Raja-arvojen käsittely | 5 artiklan 1 kohdan b alakohta ja 25 artiklan 2 kohta | Käyttötarkoituksen rajoittaminen, tietojen minimointi, sisäänrakennettu tietosuoja |
| B.1.4.6 | A.1.4.6 Tunnistamattomuuden poistaminen ja poistaminen | Taide. 5(1)(ce), 6(4(e)), 11,32 | Tietojen minimointi, tallennusrajoitus, pseudonymisointi |
| B.1.5.2 | A.1.5.2 Kansainvälisen siirron peruste | 15, 30 ja 44–49 artiklaa | Siirrot kolmansiin maihin, tietosuojan riittävyys, suojatoimet, BCR-säännöt, poikkeukset |
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.
Miten henkilötietojen käsittelijän hallintaominaisuudet (B.2) vastaavat GDPR:ää?
PII-käsittelijä Toteutusohjeissa noudatetaan samaa numerointikäytäntöä. Jokainen B.2-viittaus vastaa sitä vastaavaa A.2-ohjausobjektia.
| Liitteen B ohjeet | Liitteen A valvonta | Keskeiset GDPR-artikkelit | Aihe |
|---|---|---|---|
| B.2.2.2 | A.2.2.2 Asiakassopimus | Taide. 28, 35 | Käsittelijän velvollisuudet, tietosuojavaikutusten arviointia koskeva tuki |
| B.2.2.3 | A.2.2.3 Organisaation tarkoitukset | 5 artiklan 1 kohdan a alakohta, 28 artiklan 3 kohdan a alakohta, 29 ja 32 artikla | Rekisterinpitäjän valtuudella tapahtuva käsittely |
| B.2.2.4 | A.2.2.4 Markkinointi ja mainonta | 7 artiklan 4 kohta | Suostumus ei ole ehdollinen palvelulle |
| B.2.2.7 | A.2.2.7 Käsittelyn tiedot | 30 artiklan 2–5 kohta | Käsittelytoimien tiedot (käsittelijä) |
| B.2.3.2 | A.2.3.2 Velvollisuudet henkilövakuutuksen haltijaa kohtaan | 15 artiklan 3 kohta, 17 artiklan 2 kohta ja 28 artiklan 3 kohdan e alakohta | Avustaa rekisterinpitäjää rekisteröityjen pyyntöjen kanssa |
| B.2.4.3 | A.2.4.3 Henkilötietojen palauttaminen tai hävittäminen | 28 artiklan 3 kohdan g alakohta ja 30 artiklan 1 kohdan f alakohta | Poistaminen tai palauttaminen palvelun päättymisen jälkeen |
| B.2.5.2 | A.2.5.2 Kansainväliset siirrot | 44, 46, 48 ja 49 artiklaa | Siirrot kolmansiin maihin (käsittelijä) |
| B.2.5.7 | A.2.5.7 Alihankkijoiden julkistaminen | 28 artiklan 2 kohta | Alikäsittelijän valtuutus |
| B.2.5.8 | A.2.5.8 Alihankkijan palkkaaminen | 28 artiklan 2–4 kohta | Alihankkijan sopimusvaatimukset |
| B.2.5.9 | A.2.5.9 Alihankkijan vaihdos | 28 artiklan 2 kohta | Alikäsittelijän muutosilmoitus |
Miten jaetut tietoturvakontrollit (B.3) vastaavat GDPR:ää?
jaetut suojauskontrollit ensisijaisesti vastaa GDPR:n 5(1)(f) artiklaa (tietojen eheys ja luottamuksellisuus) ja 32 artiklaa (käsittelyn turvallisuus). Jokainen B.3-viittaus vastaa sitä vastaavaa A.3-komponenttia.
| Liitteen B ohjeet | Liite A Valvonta | Keskeiset GDPR-artikkelit | Aihe |
|---|---|---|---|
| B.3.5-9 | A.3.5 Luokittelu, A.3.6 Merkinnät, A.3.7 Siirto, A.3.8 Henkilöllisyys, A.3.9 Pääsy | 5 artiklan 1 kohdan f alakohta | Rehellisyyden ja luottamuksellisuuden periaate |
| B.3.10, B.3.13 | A.3.10 Toimittajasopimukset, A.3.13 Lakisääteiset vaatimukset | Taide. 28, 32 | Käsittelijän velvollisuudet, käsittelyn turvallisuus |
| B.3.11-12 | A.3.11 Häiriönhallinta, A.3.12 Tapahtumaan reagointi | Taide. 33-34 | Tietoturvaloukkausilmoitus (valvontaviranomaiselle ja rekisteröidyille) |
| B.3.14, B.3.16 | A.3.14 Asiakirjojen suojaaminen, A.3.16 Vaatimustenmukaisuus | 5 artiklan 2 kohta, 24 ja 32 artikla | Vastuullisuus, vaatimustenmukaisuuden varmentaminen |
| B.3.19-25 | A.3.19 Kirkas työpöytä, A.3.20 Tallennusvälineet, A.3.21 Hävittäminen, A.3.22 Päätepisteet, A.3.23 Todennus, A.3.24 Varmuuskopiointi, A.3.25 Lokikirjaus | 5 artiklan 1 kohdan f alakohta ja 32 artiklan 1 kohdan a alakohta | Eheys, luottamuksellisuus, salaus ja pseudonymisointi |
| B.3.26 | A.3.26 Salauksen käyttö | 32 artiklan 1 kohdan a alakohta | Salaus ja pseudonymisointi |
| B.3.27-29 | A.3.27 Turvallinen kehitys, A.3.28 Sovelluksen tietoturva, A.3.29 Järjestelmäarkkitehtuuri | 25 artiklan 1 kohta | Sisäänrakennettu tietosuoja |
| B.3.31 | A.3.31 Testitiedot | 5 artiklan 1 kohdan f alakohta ja 32 kohta | Henkilötietojen suojaus testiympäristöissä |
Aloita helposti henkilökohtaisella tuote-esittelyllä
Yksi perehdytysasiantuntijoistamme opastaa sinua alustamme läpi ja auttaa sinua alkuun luottavaisin mielin.
Miten tätä kartoitusta tulisi käyttää käytännössä?
Liitteen D kartoitus on lähtökohta, ei vaatimustenmukaisuuden tarkistuslista. Näin käytät sitä tehokkaasti:
- Kuiluanalyysi: Jos olet ottanut käyttöön ISO 27701:2025 -standardin mukaisia komponentteja, käytä kartoitusta tunnistaaksesi, mitkä GDPR-artiklat olet jo käsitellyt ja missä on edelleen puutteita
- Tarkastusevidenssi: Viittaa kartoitukseen osoittaessasi valvontaviranomaisille tai tilintarkastajille, että PIMS-järjestelmäsi tukee GDPR-vaatimustenmukaisuutta.
- Kehystenvälinen raportointi: Käytä kartoitusta luodaksesi yhtenäisiä vaatimustenmukaisuusraportteja, jotka osoittavat, kuinka yksi valvontajoukko täyttää useita sääntelyvaatimuksia
- DPIA-tuki: Yhdistämiskohta artiklaan 35 auttaa sinua yhdistämään yksityisyyden suojaa koskevien vaikutustenarviointiesi tiedot (ohjaus A.1.2.6) GDPR:n tietosuoja-asetuksen vaatimusten mukaisesti
- Siirtymäsuunnitelma: Jos siirryt standardista ISO 27701:2019, käytä rinnakkaismääritystä siirtymäopas tarkistaa GDPR:n kattavuuden uuden valvontarakenteen mukaisesti
Muista, että GDPR-vaatimustenmukaisuus sisältää velvoitteita, jotka ylittävät yhden standardin kattamat vaatimukset (esim. johtavan valvontaviranomaisen nimeäminen, valvontatoimiin vastaaminen). Kartoitus osoittaa, missä ISO 27701:2025 tarjoaa jäsenneltyä tukea, ei siinä, missä vaatimustenmukaisuus on taattu.
Miksi valita ISMS.online GDPR:n ja ISO 27701 -standardin yhdenmukaistamiseksi?
ISMS.online auttaa hallitsemaan molempia kehyksiä yhdellä alustalla:
- Integroidut vaatimustenmukaisuusnäkymät — Katso, miten ISO 27701:2025 -standardin mukaiset valvonnat vastaavat GDPR-velvoitteita yhdessä koontinäytössä
- Todistekirjasto — Liitä samat todisteet (käytännöt, tietosuojaa koskevat vaikutustenarvioinnit, tietomurtomenettelyt) sekä ISO 27701 -standardin mukaisiin kontrolleihin että GDPR-vaatimuksiin
- Sääntelyseuranta — Pysy ajan tasalla GDPR-valvonnan trendeistä ja päivitä PIMS-järjestelmääsi vastaavasti
- Tietojen kartoitus — Dokumentoi käsittelytoimesi, lailliset perusteet ja kansainväliset siirrot jäsenneltyyn rekisteriin
- Rikkomuksen hallinta — Seurataan tapauksia havaitsemisesta ilmoittamiseen asti sekä 33/34 artiklan että valvonnan mukaisesti A.3.11/A.3.12
UKK
Tarkoittaako ISO 27701:2025 -standardin käyttöönotto, että olen GDPR-vaatimusten mukainen?
Ei automaattisesti. ISO 27701:2025 tarjoaa hallintajärjestelmäkehyksen, joka tukee monia GDPR-vaatimuksia, mutta GDPR-vaatimustenmukaisuus riippuu erityisistä käsittelytoimistasi, laillisista perusteistasi ja siitä, miten toteutat ja käytät valvontaasi. Liitteen D kartoitus on ohjeellinen, eikä se ole vaatimustenmukaisuustodistus. Katso tarkempi kuvaus siitä, miten standardi tukee GDPR:ää. GDPR-vaatimustenmukaisuusopas.
Mitkä GDPR-artiklat ISO 27701:2025 -standardi kattaa kattavimmat?
Artikloilla 5 (periaatteet), 6 (oikeusperusta), 12–22 (rekisteröidyn oikeudet), 25 (sisäänrakennettu tietosuoja), 28 (henkilötietojen käsittelijän velvollisuudet), 30 (käsittelyn tiedot), 32 (tietoturva), 33–34 (tietomurrosta ilmoittaminen) ja 44–49 (kansainväliset siirrot) on kaikki laajat vastaavuudet ISO 27701:2025 -standardin mukaisiin kontrolleihin. ohjaimen säätimet tarjota laajin mahdollinen kattavuus, jossa käsitellään rekisteröidyn oikeuksia, käyttötarkoituksen rajoittamista ja laillista perustetta koskevia vaatimuksia.
Onko GDPR-kartoitus muuttunut vuoden 2019 versiosta?
Yhdistämiskaaviota on päivitetty vastaamaan uutta ohjausnumerointia (Liite A/B-rakenne kohtien 6–8 sijaan), mutta katettavat GDPR-artiklojen perustavat artiklat pysyvät pääpiirteittäin samanlaisina. Vuoden 2025 kartoitus on joillakin alueilla yksityiskohtaisempi uudelleenjärjestellyn valvontajoukon vuoksi. Katso muutosten täydellinen vertailu lisätietoja.
Mikä on liitteen A ja liitteen B välinen suhde?
Liite A määrittelee yksityisyyden suojan toiminnot (mitä sinun on tehtävä) ja liite B tarjoaa vastaavat toteutusohjeet (miten se tehdään). Niillä on sama numerointi: A.1.2.2 on kontrolli ja B.1.2.2 on sen ohjeistus. Molemmat liitteet ovat normatiivisia vuoden 2025 painoksessa. Liitteen D yhdistämismäärityksessä viitataan B-numerointiin, koska se yhdistää täytäntöönpano-ohjeet GDPR-artikloihin, mutta jokaisella B-kontrollilla on suora A-vastine.
Käytännön ohjeita rajat ylittävien siirtojen valvonnan toteuttamisesta on osoitteessa rajat ylittävien tiedonsiirtojen opas.
Ymmärrä koko taloudellinen kuva analyysissämme Vaatimusten noudattamatta jättämisen ja sertifioinnin kustannukset.
Tietosuojavastaavat voivat löytää tarkemman näkökulman näihin velvoitteisiin osoitteestamme opas tietosuojavastaaville.
