קאָנטראָל A.2.5.7: אַנטפּלעקונג פון סובקאָנטראַקטאָרס

ISO 27701:2025 קאָנטראָל A.2.5.7: אַנטפּלעקונג פון סובקאָנטראַקטאָרן געניצט צו פּראָצעסירן פּערזענלעך אינפֿאָרמאַציע

קאָנטראָל A.2.5.7 פארלאנגט פון אָרגאַניזאַציעס צו אַנטפּלעקן דעם קונה צי עס ווערן גענוצט סובקאָנטראַקטאָרן צו פּראָצעסירן פּערזענלעך אינפֿאָרמאַציע איידער זיי ווערן אָנגעשטעלט. דאָס גיט קאָנטראָללערס די טראַנספּעראַנס וואָס זיי דאַרפֿן צו אָפּשאַצן סובקאָנטראַקטאָר ריזיקעס און אויפהאַלטן זייערע אייגענע קאָנפאָרמאַנס אָבליגאַציעס.

וואָס דאַרף קאָנטראָל A.2.5.7?

פארן באַנוץ, זאָל די אָרגאַניזאַציע אַנטפּלעקן צי עס ווערן גענוצט סובקאָנטראַקטאָרן צו פאַראַרבעטן פּערזענלעך אינפֿאָרמאַציע צום קונה.

די קאנטראל געפינט זיך אינעם PII פּראַסעסער קאָנטראָלס אַנעקס (A.2) און אַדרעסירט סובקאָנטראַקטאָר טראַנספּעראַנסי. ווען אַ פּראַסעסער ניצט סובקאָנטראַקטאָרן (סוב-פּראַסעסערז) צו פּראַסעסירן PII אין נאָמען פון די קאָנטראָללער, מוז דער קאָנטראָללער ווערן אינפאָרמירט איידער דער סובקאָנטראַקטאָר הייבט אָן פּראַסעסינג. דאָס איז אַ פּראָאַקטיווע פליכט: אַנטפּלעקונג מוז פּאַסירן איידער נוצן, נישט דערנאָך.

וואָס זאָגט די אַנעקס ב' אימפּלעמענטאַציע גיידליינז?

אַנעקס ב (סעקציע ב.2.5.7) גיט די פאלגענדע אנווייזונגען:

קאָנטראַקטואַלע פּראָוויזשאַנז — פּראָוויזיעס פֿאַר סובקאָנטראַקטאָר אַנטפּלעקונג זאָל זיין אַרייַנגערעכנט אין די קונה קאָנטראַקט
אַנטפּלעקונג פאַרנעם — אַנטפּלעקן דעם פאַקט פון סובקאָנטראַקטינג און די נעמען פון די סובקאָנטראַקטאָרס
לאַנד און טראַנספער אינפֿאָרמאַציע — אויך אַנטפּלעקן די לענדער און אָרגאַניזאַציעס וואו סובקאָנטראַקטאָרס קענען אַריבערפירן דאַטן און די מיטלען דורך וועלכע סובקאָנטראַקטאָרס טרעפן אָדער איבערשטייגן די פּראַסעסאָר'ס אייגענע פֿאַרפליכטונגען
זיכערהייט ריזיקע באַטראַכטונגען — אויב עפנטלעכע אַנטפּלעקונג פון סובקאָנטראַקטאָר דעטאַלן פאַרגרעסערט זיכערהייט ריזיקע, קען אַנטפּלעקונג געמאַכט ווערן אונטער אַ ניט-אַנטפּלעקונג אָפּמאַך (NDA) אָדער אויף בקשה. אָבער, די לענדער רשימה מוז שטענדיק אַנטפּלעקט ווערן נישט קוקנדיק אויף דעם,
זע אויך A.2.5.4: רעקאָרדס פון PII אַנטפּלעקונגען צו דריטע פּאַרטיעס פֿאַר פֿאַרבונדענע באַדערפֿנישן
זע אויך A.2.5.5: מעלדונג וועגן בקשות פאר PII אויפדעקונג פֿאַר פֿאַרבונדענע באַדערפֿנישן

די אנווייזונגען באַלאַנסירן טראַנספּאַרענץ מיט זיכערהייט. כאָטש פולע סובקאָנטראַקטאָר דעטאַלן (אַרייַנגערעכנט נעמען און קאָנפאָרמאַנס סטאַטוס) קען מאל דאַרפֿן צו זיין אַנטפּלעקט אונטער NDA צו פאַרמייַדן זיכערהייט ריסקס, די לענדער וווּ PII קען זיין טראַנספערד שטענדיק מוזן זיין אַנטפּלעקט אָן באַגרענעצונג. דאָס ענשורז אַז קאָנטראָללערס קענען שטענדיק אַססעסס קראָס גרענעץ טראַנספער קאַנפאָרמאַנס.

ווי אזוי פאסט זיך דאס צו צום GDPR?

קאָנטראָל A.2.5.7 מאַפּעט זיך צו די פאלגענדע GDPR ארטיקלען:

אַרטיקל קסנומקס (קסנומקס) — דער פּראַסעסאָר זאָל נישט אָנשטעלן אַן אַנדערן פּראַסעסאָר אָן פריערדיקן ספּעציפֿישן אָדער אַלגעמיינעם שריפֿטלעכן דערלויבעניש פֿונעם קאָנטראָללער. אין פֿאַל פֿון אַלגעמיינער שריפֿטלעכער דערלויבעניש, זאָל דער פּראַסעסאָר אינפֿאָרמירן דעם קאָנטראָללער וועגן יעדע פּלאַנירטע ענדערונגען וועגן דעם צולייגן אָדער פֿאַרבײַטן פֿון אַנדערע פּראַסעסאָרן, און דערמיט געבן דעם קאָנטראָללער די מעגלעכקייט צו פּראָטעסטירן.
אַרטיקל קסנומקס (קסנומקס) — ווען אַ פּראַסעסער באַשעפֿטיגט אַן אַנדערן פּראַסעסער צו דורכפֿירן ספּעציפֿישע פּראַסעסינג אַקטיוויטעטן אין נאָמען פֿונעם קאָנטראָללער, זאָלן די זעלבע דאַטן שוץ פֿאַרפֿליכטונגען ווי באַשטימט אין דעם קאָנטראַקט צווישן דעם קאָנטראָללער און פּראַסעסער ווערן אויפֿגעלייגט אויף יענעם אַנדערן פּראַסעסער.

GDPR אַרטיקל 28(2) פארלאנגט אָדער ספּעציפֿישע דערלויבעניש (מיטן נאָמען פֿון יעדן סוב-פּראָצעסאָר) אָדער אַלגעמיינע דערלויבעניש מיט אַ מעלדונג און אָבדזשעקשאַן מעקאַניזאַם. סיי ווי, מוז דער קאָנטראָללער וויסן וועגן סוב-פּראָצעסאָרן איידער זיי אָנהייבן פּראַסעסינג.

וואָס האָט זיך געביטן פֿון ISO 27701:2019?

פֿאַר אַ שריט-פֿאַר-שריט צוגאַנג, זעט די איבערגאַנג פֿון 2019 ביז 2025.

אין דער 2019 אויסגאבע, איז די דאזיגע פארלאנג באהאנדלט געווארן אינעם ברייטערן קלאוז סטרוקטור. די 2025 אויסגאבע גיט A.2.5.7 אלס א זעלבשטענדיגע קאנטראל מיט אימפלעמענטאציע אנווייזונגען אין B.2.5.7 וואס לייגט צו קלארע באדעקונג פון לאנד אפענטלעכונג פארלאנגען, NDA פארארדענונגען פאר זיכערהייט-סענסיטיווע אפענטלעכונגען און די פארלאנג צו אפענטלעכן ווי סובקאנטראקטארן טרעפן אדער איבערשטייגן די פראסעסאר'ס פארפליכטונגען. זעה די אַנעקס F קאָרעספּאָנדענץ טאַבעלע פֿאַר דער פֿולער מאַפּינג.

ISMS.online שטיצט איבער 100 סטאַנדאַרדס און רעגיאַליישאַנז, געבן איר אַ איין פּלאַטפאָרמע פֿאַר אַלע דיין העסקעם דאַרף.

ספר אַ דעמאָ

וואָסערע באַווײַזן ערוואַרטן אוידיטאָרן?

ווען מען אפשאצט די קאנפארמיטעט פון A.2.5.7, וועלן אוידיטארן טיפיש זוכן:

סובקאנטראקטאר רעגיסטער — א רעגיסטער פון אלע סובקאנטראקטארן וואס ווערן גענוצט צו פארארבעטן פערזענליכע אינפארמאציע (PII), אריינגערעכנט זייערע נעמען, פארארבעטונג אקטיוויטעטן, לאקאציעס און דעם דאטום וואס זיי זענען געווארן אנטפלעקט צו יעדן קונה.
פאַר-באַטייליקונג אַנטפּלעקונג רעקאָרדס — באווייזן אז סובקאנטראקטארן זענען געווארן אנטפלעקט צו קאסטומערס איידער זיי האבן אנגעהויבן פראצעסירן פערזענליכע אינפארמאציע, נישט נאכדעם
מדינה אינפֿאָרמאַציע — דאָקומענטאַציע פון די לענדער און אָרגאַניזאַציעס וואו יעדער סובקאָנטראַקטאָר פּראַסעסירט אָדער טראַנספערס פּערזענלעך אינפֿאָרמאַציע
באַווײַזן פון קאָנפאָרמאַטי — רעקאָרדס וואָס ווײַזן ווי סובקאָנטראַקטאָרן טרעפן אָדער איבערטרעפן די פּראַסעסאָר'ס אייגענע פֿאַרפֿליכטונגען, אַזאַ ווי סערטיפיקאַציעס, אָדיט באַריכטן אָדער קאָנטראַקטואַלע פֿאַרפֿליכטונגען
קאָנטראַקטואַלע פּראָוויזשאַנז — קאָנטראַקט קלאָזולעס וואָס דעפינירן די סאַבקאָנטראַקטאָר אַנטפּלעקונג פּראָצעדור, אַרייַנגערעכנט צי ספּעציפֿישע אָדער אַלגעמיינע דערלויבעניש איז אָנווענדלעך און דעם קונה'ס רעכט צו אָבדזשעקטירן

וואָס זענען די פֿאַרבונדענע קאָנטראָלן?

קאָנטראָל	שייכות
A.2.5.8 אײַנשטעלן סובקאָנטראַקטאָרן	רעגולירט די קאנטראקטועלע און אויטאריזאציע רעקווייערמענץ פארן טאקע אנשטעלן דעם סובקאנטראקטאר
A.2.5.3 לענדער פֿאַר פּערזענלעך אינפארמאציע איבערפֿירונג	סובקאנטראקטאר לענדער מוזן זיין אריינגערעכנט אין דער טראנספער דעסטינאציע ליסטע
A.2.5.2 באַזיס פֿאַר PII טראַנספער	טראַנספערס צו סובקאָנטראַקטאָרס אין אַנדערע יוריסדיקציעס דאַרפן אַ דאָקומענטירטע לעגאַלע באַזע
A.2.2.2 קונה אפמאך	דער קאָנטראַקט דעפינירט דעם סובקאָנטראַקטאָר אויטאָריזאַציע מאָדעל (ספּעציפֿיש אָדער אַלגעמיין)
A.2.2.6 קונה פֿאַרפליכטונגען	סובקאנטראקטאר טראנספארענץ העלפט קאסטומערס ווייזן זייער אייגענע קאמפלייענס

אויף וועמען גילט די קאנטראל?

A.2.5.7 גילט אויסשליסלעך פֿאַר PII פּראַסעסערזקאָנטראָלירער זענען לעצטendlich פאַראַנטוואָרטלעך פֿאַר דער פאַראַרבעטונג פון פּערזענלעך אינפארמאציע (PII), אַרייַנגערעכנט פאַראַרבעטונג דורכגעפירט דורך סוב-פּראַסעסאָרן אין זייער נאָמען. אָן טראַנספּעראַנס וועגן ווער פאַראַרבעט זייער דאַטן און וואו, קענען קאָנטראָלירער נישט מקיים זיין זייערע פאַראַנטוואָרטלעך פליכטן. די קאָנטראָל זאָרגט אַז פּראַסעסאָרן פירן נישט איין סובקאָנטראַקטאָרן אין דער פאַראַרבעטונג קייט אָן דעם קאָנטראָלירערס וויסן.

איינער פון אונדזערע אָנבאָאַרדינג ספּעציאַליסטן וועט אייך דורכפֿירן אונדזער פּלאַטפאָרמע צו העלפֿן אייך אָנהייבן מיט בטחון.

ספר דיין דעמאָ

פארוואס קלייַבן ISMS.online פֿאַר סובקאָנטראַקטאָר אַנטפּלעקונג פאַרוואַלטונג?

ISMS.online גיט פּראַקטישע מכשירים פֿאַר פאַרוואַלטן סובקאָנטראַקטאָר טראַנספּעראַנסי:

סובקאנטראקטאר רעגיסטער — פירן א צענטראליזירטן רעגיסטער פון אלע סוב-פראצעסארן, אריינגערעכנט זייערע נעמען, פראצעסינג אקטיוויטעטן, לאקאציעס, סערטיפיקאציעס און קאמפלייענס סטאטוס
אַנטפּלעקונג וואָרקפלאָוז — פירן פאַר-באַטייליקונג אַנטפּלעקונג וואָרקפלאָוז מיט טראַקעד קונה נאָוטאַפאַקיישאַנז, האַסקאָמע ריקוועסץ און אַבדזשעקשאַן האַנדלינג
לאַנד מאַפּינג — פֿאַרבינדן סובקאָנטראַקטאָרן צו זייערע פּראַסעסינג לענדער, אויטאָמאַטיש אַפּדייטן דעם טראַנספער דעסטיניישאַן רעגיסטער ווען סובקאָנטראַקטאָרן טוישן זיך
העסקעם מאָניטאָרינג — נאכפאלגן באווייזן פון סובקאנטראקטאר קאנפארמאנס (סערטיפיקאציעס, אוידיט באריכטן, קאנטראקט באדינגונגען) און אנצייגן ווען באווייזן עקספייערן אדער דארפן באנייט ווערן
קונה טויער — געבן קאסטומערס א קלארע איבערבליק איבער אייער סובקאנטראקטאר רעגיסטער, רעדוצירן אד-האק אינפארמאציע פארלאנגען און ווייזן אנגייענדע טראנספארענץ

FAQs

וואָסערע אינפֿאָרמאַציע מוז מען אַנטפּלעקן וועגן סובקאָנטראַקטאָרן?

מינימום, מוז דער פּראַסעסאָר אַנטפּלעקן: דעם פאַקט אַז סובקאָנטראַקטאָרן ווערן גענוצט; די נעמען פון די סובקאָנטראַקטאָרן; די לענדער און אָרגאַניזאַציעס וואו סובקאָנטראַקטאָרן קענען איבערפירן פּערזענלעך אינפֿאָרמאַציע; און די מיטלען דורך וועלכע סובקאָנטראַקטאָרן טרעפן אָדער איבערטרעפן די פּראַסעסאָר'ס אייגענע פֿאַרפליכטונגען (אַזאַ ווי סערטיפיקאַציעס, קאָנטראַקטואַלע טערמינען אָדער אוידיט רעזולטאַטן). אויב אַנטפּלעקן סובקאָנטראַקטאָר נעמען שאַפֿט אַ זיכערהייט ריזיקע, קענען די נעמען אַנטפּלעקט ווערן אונטער NDA אָדער אויף בקשה, אָבער די לענדער ליסטע מוז שטענדיק אַנטפּלעקט ווערן אָפֿן.

וואָס איז דער חילוק צווישן ספּעציפֿישע און אַלגעמיינע דערלויבעניש?

אונטער GDPR ארטיקל 28(2), קען דער קאנטראלער געבן ספעציפישע אויטאריזאציע (באשטעטיגן יעדן סוב-פראצעסאר אינדיווידועל פארן אנשטעלן) אדער אלגעמיינע אויטאריזאציע (געבן א ברייטע ערלויבעניש פארן פראצעסאר צו ניצן סוב-פראצעסארן, אונטער א מעלדונג און אביעקציע מעכאניזם). מיט א אלגעמיינע אויטאריזאציע, מוז דער פראצעסאר אינפארמירן דעם קאנטראלער וועגן יעדע געפלאנטע ענדערונגען צו סוב-פראצעסארן און געבן דעם קאנטראלער די מעגלעכקייט צו אביעקציע פארן טוישן ווערט אפעקטירט. דער קאנטראקט זאל קלאר זאגן וועלכע מאדעל איז גילטיק.

קען אַ פּראַסעסער אָפּזאָגן צו אַנטפּלעקן די נעמען פון סובקאָנטראַקטאָרן?

די אנעקס ב' אנווייזונגען ערלויבן צו צוריקהאלטן נעמען פון פובליק אפדעקונג אויב דאס טאן פארגרעסערט זיכערהייט ריזיקע, צוגעשטעלט אז זיי ווערן אפדעקירט אונטער NDA אדער אויף פארלאנג. אבער, דער פראסעסאר קען נישט אפזאגן צו אפדעקן נעמען פארן קאסטומער אינגאנצן, ווייל דער קאנטראלירער דארף די אינפארמאציע צו מקיים זיין זיינע אייגענע פליכטן. די לענדער ליסטע מוז שטענדיג אפדעקירט ווערן אן קיין באגרעניצונגען. אין פראקטיק, ערווארטן רוב קאסטומערס פולע סובקאנטראקטאר נעמען אלס טייל פון די דאטן פראסעסאר אפמאך אדער א פובליק אפדעקליכע סוב-פראסעסאר ליסטע.

פּראָקורמענט טימז נוצן די קאָנטראָלן צו עוואַלויִרן פּראַסעסערז — זען אונדזער אנווייזונג פארלאנג גייד און סאַפּלייער עוואַלואַציע גייד.

אונדזער אָדיט באַווייַז רעקווייערמענץ גייד דעטאַלירט וואָס סובקאָנטראַקטאָר דאָקומענטאַציע אָדיטאָרס דערוואַרטן.

מאַקס עדוואַרדס

מאַקס אַרבעט ווי אַ טייל פון די ISMS.online פֿאַרקויף מאַנשאַפֿט און ינשורז אַז אונדזער וועבזייטל איז דערהייַנטיקט מיט נוציק אינהאַלט און אינפֿאָרמאַציע וועגן אַלע זאכן ISO 27001, 27002 און העסקעם.

מיר זענען אַ פירער אין אונדזער פעלד