Spring til indhold
ISMS.online

ISO 27701:2025 Kontrol A.1.2.8: Fælles PII-kontrollør

Kontrol A.1.2.8 kræver, at organisationer fastlægger og aftaler de respektive roller og ansvarsområder for behandling af personoplysninger med enhver fælles dataansvarlig for personoplysninger. Fælles dataansvar skaber fælles forpligtelser, der skal dokumenteres formelt.

Forfatter
Max Edwards
Opdateret marts 27, 2026
4/5 stjerner

Hvad kræver kontrol A.1.2.8?

Organisationen skal fastlægge de respektive roller og ansvarsområder for behandling af personoplysninger (herunder beskyttelse og sikkerhedskrav til personoplysninger) med enhver fælles personoplysningeransvarlig.

Denne kontrol ligger inden for Betingelser for indsamling og behandling mål (A.1.2). Den omhandler et specifikt, men stadig mere almindeligt scenarie: hvor to eller flere organisationer i fællesskab fastlægger formålene og midlerne til behandling af personoplysninger. I modsætning til forholdet mellem dataansvarlig og databehandler, der er reguleret af A.1.2.7 Kontrakter med PII-behandlere, fælles kontrol indebærer delt beslutningskompetence – og dermed delt ansvarlighed.

Fælles dataansvar opstår, når organisationer samarbejder om aktiviteter, der involverer personoplysninger – for eksempel fælles marketingkampagner, delte platforme, forskningspartnerskaber eller integrerede tjenester, hvor begge parter har indflydelse på, hvilke data der indsamles, og hvordan de bruges.

Hvad siger implementeringsvejledningen?

Bilag B (afsnit B.1.2.8) indeholder følgende vejledning:

  • Bliv enige om respektive ansvarsområder — Fælles dataansvarlige skal være enige om, hvilken organisation der er ansvarlig for hver forpligtelse, der følger af behandling af personoplysninger, især vedrørende:
    • Udøvelse af primære rettigheder vedrørende personoplysninger (anmodninger om adgang, sletning, berigtigelse, portabilitet)
    • Levering af nødvendige oplysninger til personoplysninger (privatlivsmeddelelser, gennemsigtighedsforpligtelser)
    • Implementering af sikkerhedsforanstaltninger
    • Underretning om brud
    • Se også A.1.2.2: Identificér og dokumenter formål for relaterede krav
    • Se også A.1.2.3: Identificér det lovlige grundlag for relaterede krav
  • Gør aftalen tilgængelig for PII-principaler — Essensen af ​​den fælles dataansvarsordning bør gøres tilgængelig for de personer, hvis personoplysninger behandles, så de ved, hvilken organisation de skal kontakte for hvad
  • Dokumentér aftalen formelt — Selvom kontrollen ikke bruger ordet "kontrakt", indebærer kravet om at "fastlægge" roller og ansvar en formel, dokumenteret aftale mellem parterne.

Vejledningen anerkender, at én fælles dataansvarlig i praksis kan tage føringen i forbindelse med visse forpligtelser (såsom at være det primære kontaktpunkt for anmodninger fra de registrerede), men dette fritager ikke de andre dataansvarlige for deres ansvar.

Hvordan relaterer dette sig til GDPR?

Kontrol A.1.2.8 knytter sig direkte til GDPR Artikel 26:

  • Artikel 26 (1) — Hvis to eller flere dataansvarlige i fællesskab fastlægger formålene og midlerne til behandling, skal de på en gennemsigtig måde fastlægge deres respektive ansvar for overholdelse af forpligtelserne i henhold til GDPR, især vedrørende udøvelsen af ​​de registreredes rettigheder og deres respektive pligter til at give oplysninger
  • Artikel 26 (2) — Aftalen skal behørigt afspejle de fælles dataansvarliges respektive roller og forhold til de registrerede. Aftalens essens skal stilles til rådighed for den registrerede.
  • Artikel 26 (3) — Uanset aftalens vilkår kan registrerede udøve deres rettigheder i henhold til GDPR i forhold til og over for hver af de dataansvarlige. Dette er et afgørende punkt — interne aftaler kan ikke begrænse PII-principalers rettigheder

Artikel 26(3) er særlig vigtig: Selv hvis de fælles dataansvarlige er enige om, at organisation A håndterer alle anmodninger fra den registrerede, kan en person stadig rette sin anmodning til organisation B, som derefter enten skal håndtere den eller videresende den på passende vis. Begge organisationer forbliver ansvarlige.

Hvordan hænger dette sammen med ISO 29100-principperne for privatlivsbeskyttelse?

Denne kontrol understøtter Ansvarlighed princippet i ISO 29100. Ansvarlighed kræver, at behandlingen af ​​personoplysninger påhviler klart identificerede parter, der kan holdes ansvarlige for deres handlinger. Fælles kontrol skaber en situation, hvor ansvarlighed skal fordeles eksplicit – uden en formel aftale kan det være uklart, hvilken organisation der er ansvarlig for hvilken forpligtelse, hvilket underminerer hele ansvarlighedsrammen.



ISMS.onlines kraftfulde dashboard

Start din gratis prøveperiode

Vil du udforske?

Tilmeld dig din gratis prøveperiode i dag, og få fat i alle de overholdelsesfunktioner, som ISMS.online har at tilbyde

Kom i gang


Hvilken dokumentation forventer revisorer?

Ved vurdering af overholdelse af A.1.2.8 vil revisorer typisk se efter:

  • Fælles register over dataansvarlige — En dokumenteret liste over alle fælles dataansvarsordninger, som organisationen er part i, med angivelse af hver enkelt fælles dataansvarligs identitet og de behandlingsaktiviteter, der er omfattet
  • Fælles aftaler om dataansvarlig — Underskrevne, skriftlige aftaler, der fastlægger ansvarsfordelingen mellem parterne
  • Ansvarsmatrix — En klar kortlægning af, hvilken dataansvarlig der håndterer hvilke forpligtelser (den registreredes rettigheder, anmeldelse af brud, sikkerhed, gennemsigtighed)
  • Primær kommunikation om personoplysninger — Dokumentation for, at essensen af ​​den fælles kontrolordning er meddelt til PII-principaler, typisk gennem privatlivsmeddelelser eller dedikerede informationssider
  • Udpegning af kontaktpunkt — En dokumenteret enkelt kontaktperson for PII-principaler, selv hvor ansvaret er delt mellem dataansvarlige
  • Operationelle procedurer — Processer til håndtering af scenarier, hvor en PII-principal kontakter den "forkerte" dataansvarlige (f.eks. videresendelsesprocedurer, aftaler om svartid)

Hvad er de relaterede kontroller?

kontrol Relationship
A.1.2.7 Kontrakter med PII-behandlere Der gælder forskellige kontraktkrav afhængigt af, om et forhold er fælles dataansvarlig eller dataansvarlig-databehandler.
A.1.3.3 Information til PII-principaler Fælles dataansvarlige skal være enige om, hvem der leverer hvilke oplysninger, og hvordan
A.1.3.2 Forpligtelser over for PII-opdragsgivere Ansvaret for håndtering af anmodninger fra registrerede skal fordeles mellem fælles dataansvarlige
A.1.2.6 Vurdering af indvirkning på privatlivets fred Fælles behandlingsaftaler kan udløse PIA-krav
A.1.5.2 Grundlag for overførsel af personoplysninger mellem jurisdiktioner Deling af personoplysninger mellem fælles dataansvarlige skal reguleres
A.1.2.9 Registrering af behandling af personoplysninger Behandlingsregistre bør identificere fælles dataansvarsordninger

Hvad har ændret sig fra ISO 27701:2019?

For en trinvis fremgangsmåde, se Overgangen fra 2019 til 2025.

I 2019-udgaven optrådte dette krav som klausul 7.2.7 (fælles PII-dataansvarlig). Kernekravet er uændret — fælles dataansvarlige skal være enige om deres respektive ansvarsområder. Omstruktureringen i 2025 til Tabel A.1 giver en klarere adskillelse mellem kontrolerklæringen (A.1.2.8) og vejledningen (B.1.2.8). Vægten på at gøre ordningen tilgængelig for PII-hovedpersoner er bevaret, hvilket afspejler de gennemsigtighedskrav, der er grundlæggende for både ISO 27701 og GDPR. Se Bilag F korrespondancetabel for den fulde kortlægning.



ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.

Administrer al din compliance, alt på ét sted

ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.

Book din demo


Hvorfor vælge ISMS.online til administration af fælles dataansvarligeaftaler?

ISMS.online hjælper dig med at formalisere, spore og operationalisere fælles kontrol med klarhed:

  • Fælles register over dataansvarlige — Dokumentér alle fælles dataansvarsordninger med de involverede parter, de omfattede behandlingsaktiviteter og aftalens status
  • Skabeloner til ansvarsfordeling — Forudbyggede ansvarsmatricer, der dækker de registreredes rettigheder, underretning om brud, sikkerhed og gennemsigtighed, så intet går tabt
  • Aftalehåndtering — Opbevar, versionskontroller og gennemgå fælles dataansvarligeaftaler sammen med din anden compliance-dokumentation
  • Tilknyttede privatlivsmeddelelser — Forbind fælles dataansvarsordninger med de privatlivsmeddelelser, der informerer PII-principper, og sørg for, at gennemsigtighedskravene er opfyldt
  • Arbejdsgange på tværs af organisationer — Definer og spor procedurer for videresendelse af anmodninger fra registrerede mellem fælles dataansvarlige med SLA-overvågning
  • Revisionsklar dokumentation — Udarbejd dokumentationspakker for overholdelse, der demonstrerer ansvarsfordelingen og den operationelle implementering heraf

Ofte Stillede Spørgsmål

Hvordan afgør vi, om et forhold er fælles dataansvarlig eller dataansvarlig og databehandler?

Det centrale spørgsmål er, hvem der bestemmer formål og midler af behandling. Hvis begge organisationer har indflydelse på, hvorfor og hvordan personoplysninger behandles, er der tale om fælles dataansvarlig. Hvis den ene organisation bestemmer formålet, og den anden blot handler efter instruktioner, er der tale om et dataansvarlig-databehandlerforhold. I praksis falder mange forhold i en gråzone. Overvej: Har den anden part sin egen interesse i behandlingsresultatet? Beslutter den, hvilke data der skal indsamles, eller hvordan de skal bruges? Hvis ja, er det sandsynligvis en fælles dataansvarlig snarere end en databehandler.

Kan en fælles dataansvarlig holdes ansvarlig for den andens fejl?

I henhold til GDPR artikel 26(3) kan personoplysningernes hovedansvarlige udøve deres rettigheder over for enhver af de fælles dataansvarlige, uanset interne aftaler. Det betyder, at hvis en dataansvarlig undlader at behandle en anmodning fra en registreret, kan den anden holdes ansvarlig. Tilsynsmyndigheder kan også træffe håndhævelsesforanstaltninger mod enhver eller alle fælles dataansvarlige. Interne aftaler kan fordele økonomisk ansvar mellem parterne, men de kan ikke begrænse personoplysningernes hovedansvarliges rettigheder eller tilsynsmyndighedernes beføjelser.

Hvad skal vi fortælle PII-principaler om det fælles dataansvar?

Kernen i aftalen skal gøres tilgængelig for PII-principaler. Dette bør som minimum omfatte: identiteten af ​​hver fælles dataansvarlig, de typer behandling, som hver enkelt er ansvarlig for, og hvordan PII-principaler kan udøve deres rettigheder (herunder et kontaktpunkt). Disse oplysninger findes typisk i privatlivsmeddelelsen. Den behøver ikke at afsløre alle detaljer i den interne aftale – kun nok til, at enkeltpersoner kan forstå, hvem der er ansvarlig, og hvordan de skal kontaktes.

Se vores vejledning om krav til revisionsbeviser for hvad revisorer forventer, når de vurderer denne kontrol.

Max Edwards

Max arbejder som en del af ISMS.online marketingteamet og sikrer, at vores hjemmeside er opdateret med nyttigt indhold og information om alt, hvad ISO 27001, 27002 og compliance angår.

Tag en virtuel rundvisning

Start din gratis 2-minutters interaktive demo nu og se
ISMS.online i aktion!

Prøv det nu
platformsdashboard fuldt ud i perfekt stand

Vi er førende inden for vores felt

4/5 stjerner
Brugere elsker os
Leder - Forår 2026
Højtydende - Forår 2026 Small Business UK
Regional leder - EU forår 2026
Regional leder - Forår 2026 EMEA
Regional leder - Forår 2026 Storbritannien
Højtydende - Forår 2026 Mellemmarked EMEA

"ISMS.Online, fremragende værktøj til overholdelse af lovgivning"

— Jim M.

"Gør ekstern revision til en leg og forbinder alle aspekter af dit ISMS problemfrit"

— Karen C.

"Innovativ løsning til styring af ISO og andre akkrediteringer"

— Ben H.