Hyppää sisältöön
ISMS.online

ISO 27701 – Lauseke 7.2 – Keräyksen ja käsittelyn ehdot

ISO 27701:n lausekkeessa 7.2 esitetään vaatimukset lailliselle ja läpinäkyvälle henkilötietojen käsittelylle, mukaan lukien tarkoitusten tunnistaminen, oikeusperustan luominen, suostumuksen hankkiminen ja tallentaminen sekä tietosuojavaikutusten arviointi.

kirjailija
Toby Cane
Päivitetty syyskuussa 19, 2025
4/5 tähteä

ISO 27701:n lausekkeen 7.2 ymmärtäminen: Henkilötietojen laillisen käsittelyn ehdot

ISO 27701:n lauseke 7.2 (Keräyksen ja käsittelyn ehdot) sisältää ohjeita siitä, miten voidaan todistaa ja dokumentoida, että organisaation henkilötietojen käsittelytoimet ovat laillisia ja toimivat asianmukaisten laillisten rajojen sisällä.

Tässä on yhteenveto ISO:n lausekohtaisista ohjeista sekä vastaava Yhdistynyt kuningaskunta GDPR lainaukset (sivun alareunassa linkitetyt lainaukset).

Huomaa, että GDPR-viitteet ovat vain ohjeellisia. Organisaatioiden tulee tutkia lainsäädäntöä ja tehdä omat arvionsa siitä, mitä lain osia niihin sovelletaan.

ISO 27701, lauseke 7.2.1 – Tunnista ja dokumentoi tarkoitus

Kohdan 7.2.1 tarkoitus

Organisaatioiden on ensin tunnistettava ja sitten kirjattava tarkat syyt käyttämiensä henkilökohtaisten tunnistetietojen käsittelyyn.

Ohjeet lausekkeesta 7.2.1

PII-päämiesten on oltava täysin perillä kaikista eri syistä, miksi heidän henkilökohtaisia ​​tunnistetietojaan käsitellään.

Organisaation vastuulla on välittää nämä syyt PII-päämiehille sekä "selkeä lausunto" siitä, miksi heidän on käsiteltävä tietojaan.

Kaikkien asiakirjojen on oltava selkeitä, kattavia ja helposti ymmärrettäviä kaikkien niitä lukevien henkilökohtaisten tunnistetietojen päämiesten – mukaan lukien kaiken suostumukseen liittyvän – sekä kopiot sisäisistä menettelyistä (katso ISO 27701:n kohdat 7.2.3, 7.3.2 ja 7.2.8).

Asiaankuuluvat ISO 27701 -lausekkeet

  • ISO 27701 7.2.3
  • ISO 27701 7.3.2
  • ISO 27701 7.2.8


ISMS.online antaa sinulle 81 %:n etumatkan heti sisäänkirjautumisestasi lähtien.

ISO 27001 helposti

81 %:n etumatka ensimmäisestä päivästä lähtien

Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään. Sinun tarvitsee vain täyttää tyhjät kohdat.

Aloita


ISO 27701 lauseke 7.2.2 – Tunnista laillinen perusta

Kohdan 7.2.2 tarkoitus

Lainkäyttöalueesta riippuen organisaatiot voivat joutua todistaa, että heidän henkilötietojen käsittelytoimintansa on laillista ennen kuin ne alkavat.

Ohjeet lausekkeesta 7.2.2

Luodakseen oikeusperustan henkilökohtaisten tunnistetietojen käsittelylle organisaatioiden tulee:

  • Pyydä lupa PII-päämiehiltä.
  • Laadi sopimus.
  • Noudata monia muita lakisääteisiä velvoitteita.
  • Suojaa eri PII-päämiesten "tärkeitä etuja".
  • Varmista, että suoritettavat tehtävät ovat yleisen edun mukaisia.
  • Vahvista, että henkilötietojen käsittely on oikeutettu etu.

Organisaatioiden tulee pystyä tarjoamaan dokumentoitu vahvistus jokaisesta edellä mainitusta kohdasta.

Organisaatioiden on myös otettava huomioon niiden organisaatioon liittyvät PII-erikoisluokat niiden tietojen luokitusjärjestelmässä (katso ISO 27701, kohta 7.2.8) (luokitukset voivat vaihdella alueittain).

Jos organisaatiot kokevat muutoksia henkilökohtaisten tunnistetietojen käsittelyn taustalla olevissa syissä, tämän tulee välittömästi näkyä niiden dokumentoidussa oikeusperustassa.

Asiaankuuluvat ISO 27701 -lausekkeet

  • ISO 27701 7.2.8

ISO 27701 lauseke 7.2.3 – Määritä, milloin ja miten suostumus on hankittava

Kohdan 7.2.3 tarkoitus

Organisaatioiden on pystyttävä osoittamaan tämä suostumus käsittelyyn on saatu laillisesti PII-päämiehiltä.

Ohjeet lausekkeesta 7.2.3

Organisaatioiden tulee pystyä dokumentoimaan syyt suostumuksen hakemiseen ja miten se hankitaan.

Henkilökohtaisia ​​tunnistetietoja koskevat määräykset vaihtelevat alueittain, joten organisaatioiden on oltava jatkuvasti tietoisia kaikista paikallisista ja/tai kansallisista lakeista ja määräyksistä, jotka voivat ohjata suostumuksen saamista, sekä tiettyihin tietotyyppeihin (esim. lapset) liittyvät erityisehdot.

ISO 27701, lauseke 7.2.4 – Hanki ja kirjaa suostumus

Kohdan 7.2.4 tarkoitus

Kun organisaatiot ovat todenneet, että suostumus vaaditaan, sen on hankittava suostumus yksilöllisten vaatimustensa mukaisesti.

Ohjeet lausekkeesta 7.2.4

Organisaatioiden on kerättävä suostumus tavalla, jonka avulla henkilökohtaisten tunnistetietojen kohteiden on helppo pyytää tietoja siitä, miten se on saatu (aikaleimat, kuka pyysi jne.) (katso ISO 27701, kohta 7.3.3).

Suostumus perustuu kolmeen oikeudelliseen määräykseen: sen on oltava tarjotaan vapaasti, jotka liittyvät käsittelyn syy ja tarkoituksessaan selvä.



kiipeily

Vapauta itsesi laskentataulukoiden vuorten vallasta

Ota käyttöön, laajenna ja skaalaa vaatimustenmukaisuus ilman sotkua. Io antaa sinulle joustavuutta ja luottamusta kasvaa turvallisesti.

Varaa esittelysi


ISO 27701, lauseke 7.2.5 – Tietosuojavaikutusten arviointi

Kohdan 7.2.5 tarkoitus

Tietosuojavaikutusten arvioinnin avulla organisaatiot voivat mitata tietoturvavaikutuksia uusien henkilökohtaisten tunnistetietojen käsittelyn tai olemassa olevien tietojen käsittelytavan muuttamisen yhteydessä.

Ohjeet lausekkeesta 7.2.5

Henkilötietojen käsittely on riskialtis liiketoimintatoiminto, joka on arvioitava perusteellisesti, jotta voidaan varmistaa käsiteltävien tietojen eheys, aitous ja laillisuus.

Lainkäyttöalueesta riippuen joidenkin organisaatioiden on noudatettava kategorista luetteloa skenaarioista, joissa vaaditaan tietosuojavaikutusten arviointi, kuten:

  • Automaattinen päätöksenteko.
  • Yritystason erityisten PII-luokkien käsittely.
  • Suurten julkisten alueiden valvonta.

Organisaatioiden on määritettävä, mikä on riittävä vaikutustenarviointi, mukaan lukien (mutta ei rajoittuen):

  1. Millaisia ​​henkilökohtaisia ​​tunnistetietoja tallennetaan.
  2. Missä sitä säilytetään.
  3. Mihin se voidaan siirtää.

ISO 27701 lauseke 7.2.6 – Sopimukset henkilökohtaisten tunnistetietojen prosessorien kanssa

Kohdan 7.2.6 tarkoitus

Organisaatioiden on tehtävä kirjalliset, sitovat sopimukset kaikkien käyttämiensä ulkoisten henkilötietojen käsittelijöiden kanssa.

Ohjeet lausekkeesta 7.2.6

Kaikissa sopimuksissa on varmistettava, että henkilötietojen käsittelijä toteuttaa kaikki vaaditut ISO 27701 -standardin liitteen B sisältämät tiedot, kiinnittäen erityistä huomiota riskinarvioinnin valvontaan (ISO 27701:n kohta 5.4.1.2) ja käsittelytoimintojen yleiseen laajuuteen (katso ISO 27701 -standardin kohta 6.12). )

Organisaatioiden on kyettävä perustelemaan liitteeseen B sisältyvien hallintatoimintojen pois jättäminen suhteessaan henkilötietojen prosessoriin (katso ISO 27701, kohta 5.4.1.3).

ISO 27701, lauseke 7.2.7 – Yhteinen PII-ohjain

Kohdan 7.2.7 tarkoitus

Organisaatioiden on esitettävä yksityiskohdat kaikista yhteisistä henkilökohtaisten tunnistetietojen käsittelyjärjestelyistä mukana tulevan henkilötietojen rekisterinpitäjän kanssa – tämä sisältää yleiset suojatoimenpiteet ja kaikki niihin liittyvät turvallisuusvaatimukset.

Ohjeet lausekkeesta 7.2.7

Roolien ja vastuiden on oltava selkeitä ja yksiselitteisiä, ja ne on määriteltävä oikeudellisesti sitovassa asiakirjassa (jota joskus kutsutaan "tiedonjakosopimukseksi").

Sopimukset voivat sisältää (muiden toimenpiteiden ohella):

  • Miksi henkilökohtaisia ​​tunnistetietoja jaetaan.
  • Tietoluokat.
  • Yleiskatsaus henkilökohtaisten tunnistetietojen käsittelystä.
  • Kaikki asiaankuuluvat roolit ja vastuut.
  • Kuinka yksityisyyden tietoturvaa tulee hallita.
  • Mihin toimiin tulee ryhtyä tietoturvaloukkauksen sattuessa.
  • Kuinka henkilötiedot säilytetään ja tuhotaan, kun niitä ei enää tarvita.
  • Mitä tapahtuu, jos jompikumpi osapuoli rikkoo sopimusta.
  • Mitkä ovat jommankumman osapuolen velvollisuudet PII-päämiehiä kohtaan?
  • Mitä mekanismeja on käytössä, jotta PII-päämiehille voidaan toimittaa yhteisen sopimuksen sovellettavat tiedot?
  • Kuinka henkilökohtaisten tunnistetietojen päälliköt voivat tehdä virallisia pyyntöjä ja kuinka muotoilla ja toimittaa vastaus.
  • Yhteyspisteet – sekä sisäisesti että PII-päämiehille hyödynnettävissä.


ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa

ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Varaa esittelysi


ISO 27701, lauseke 7.2.8 – Henkilökohtaisten tunnistetietojen käsittelyyn liittyvät tietueet

Kohdan 7.2.8 tarkoitus

Organisaatioiden on ylläpidettävä perusteellisia tietueita, jotka tukevat sen toimia ja velvollisuuksia henkilötietojen käsittelijänä.

Ohjeet lausekkeesta 7.2.8

Tietueilla (tunnetaan myös nimellä "varastoluettelot") tulee olla valtuutettu omistaja, ja ne voivat sisältää:

  1. Operatiivinen – suoritettavan henkilötietojen käsittelyn tyyppi.
  2. Perustelut – miksi henkilökohtaisia ​​tunnistetietoja käsitellään.
  3. Kategorinen – luettelot henkilökohtaisten tunnistetietojen vastaanottajista, mukaan lukien kansainväliset järjestöt.
  4. Turvallisuus – yleiskatsaus henkilökohtaisten tunnistetietojen suojaamiseen.
  5. Yksityisyys – eli tietosuojavaikutusten arviointiraportti.

GDPR-artikkeleita tukevat

ISO 27701 -standardin lausekkeen 7.2 eri osia sovelletaan Yhdistyneen kuningaskunnan GDPR-lainsäädännössä. Katso alla olevasta taulukosta vastaavia viitteitä.

ISO 27701 -lausekkeen tunniste ISO 27701 -lausekkeen nimi Asiaan liittyvät GDPR-artikkelit
7.2.1 Tunnista ja dokumentoi tarkoitus Tavarat (5), (32)
7.2.2 Tunnista laillinen perusta Tavarat (5), (6), (8), (9), (10), (17), (18), (22)
7.2.3 Päätä, milloin ja miten suostumus on hankittava Artikkeli (8)
7.2.4 Hanki ja kirjaa suostumus Tavarat (7)(9)
7.2.5 Tietosuojavaikutusten arviointi Tavarat (35), (36)
7.2.6 Sopimukset henkilötietojen käsittelijöiden kanssa Tavarat (5), (28)
7.2.7 Yhteinen PII-ohjain Artikkeli (26)
7.2.8 Henkilökohtaisten tunnistetietojen käsittelyyn liittyvät tietueet Tavarat (5), (24), (30)

Miten ISMS.online auttaa

ISO 27701:n käyttöönottoprosessi voi olla haastava, varsinkin jos et ole koskaan aiemmin ryhtynyt vastaavaan projektiin. ISMS.online voi auttaa sinua!

ISO 27701 -kehysten avulla yrityksesi voi osoittaa noudattavansa ISO 27701 -standardia.

Tietoturva-asiantuntijamme voivat auttaa sinua luomaan loogisen toteutusmenettelyn, joka noudattaa viitekehystä.

Lisätietoja: varata demo.

Toby Cane

Kumppaniasiakkuuspäällikkö

Toby Cane on ISMS.onlinen Senior Partner Success Manager. Hän on työskennellyt yrityksessä lähes neljä vuotta ja toiminut useissa eri tehtävissä, kuten webinaarien juontajana. Ennen SaaS-työtään Toby työskenteli yläasteen opettajana.

LinkedIn

ISO 27701 -lausekkeet

Olemme alamme johtaja

4/5 tähteä
Käyttäjät rakastavat meitä
Johtaja - Talvi 2026
Aluejohtaja - Talvi 2026, Iso-Britannia
Aluejohtaja - talvi 2026 EU
Aluejohtaja - talvi 2026 Keskisuuret EU-markkinat
Aluejohtaja - Talvi 2026 EMEA
Aluejohtaja - Talvi 2026 Keskisuuret markkinat EMEA

"ISMS.Online, erinomainen työkalu sääntelyn noudattamiseen"

—Jim M.

"Tekee ulkoisista tarkastuksista helppoa ja yhdistää kaikki ISMS:si osat saumattomasti yhteen"

—Karen C.

"Innovatiivinen ratkaisu ISO- ja muiden akkreditointien hallintaan"

—Ben H.

Tee virtuaalikierros

Aloita ilmainen kahden minuutin interaktiivinen demosi nyt ja katso
ISMS.online toiminnassa!

Kokeile nyt
alustan kojelauta täysin uudenveroinen

Valmis aloittamaan?

Varaa demo