Hyppää sisältöön
ISMS.online

ISO 27701:2025 -standardin mukainen valvonta A.1.5.2: Henkilötietojen siirron perusteiden tunnistaminen lainkäyttöalueiden välillä

Kontrollin A.1.5.2 mukaan organisaatioiden on tunnistettava ja dokumentoitava asiaankuuluvat perusteet henkilötietojen siirroille lainkäyttöalueiden välillä. Kansainvälisten siirtojen oikeaoppisuus on yksi eniten tarkastelluista osa-alueista yksityisyyden suojaan liittyen.

kirjailija
Max Edwards
Päivitetty maaliskuu 27, 2026
4/5 tähteä

Mitä kohta A.1.5.2 edellyttää?

Organisaation on tunnistettava ja dokumentoitava asiaankuuluvat perusteet henkilötietojen siirrolle lainkäyttöalueiden välillä.

Tämä ohjaus sijaitsee Henkilötietojen siirto tavoite (A.1.5), jolla varmistetaan, että organisaatioilla on vankat mekanismit henkilötietojen rajat ylittävän liikkumisen hallitsemiseksi. Se on yksi viimeisistä rekisterinpitäjäkohtaisista kontrolleista Liite A ja tukee kaikkia muita ryhmän siirto-ohjauksia.

Yhtiömme rajat ylittävien tiedonsiirtojen opas tarjoaa kokonaisvaltaista ohjausta siirtojen suojatoimien toteuttamiseen ISO 27701:2025 -standardin mukaisesti.

Mitä käyttöönotto-ohjeissa sanotaan?

Liitteessä B (kohta B.1.5.2) annetaan seuraavat ohjeet:

  • Tunnista kansainvälisiin siirtoihin käytettävissä olevat oikeudelliset mekanismit, kuten tietosuojan riittävyyttä koskevat päätökset, mallisopimuslausekkeet, sitovat yrityssäännöt, nimenomainen suostumus tai lakisääteiset poikkeukset
  • Dokumentoi kunkin lainkäyttöalueiden välisen henkilötietojen siirron erityinen peruste
  • Tarkista dokumentoitu perusta aina, kun oikeudelliset kehykset muuttuvat, esimerkiksi kun tietosuojan riittävyyttä koskeva päätös kumotaan tai uutta lainsäädäntöä tulee voimaan.
  • Jos käytettävissä on useita mekanismeja, valitse ja perustele sopivin siirrettävien henkilötietojen luonteen, määrän ja arkaluontoisuuden perusteella.

Ohjeistus tekee selväksi, että pelkkä yhteen yleiseen mekanismiin turvautuminen ei todennäköisesti riitä. Jokainen siirtovirta tulisi arvioida erikseen, ja valitun perusteen tulisi olla sekä sääntelyviranomaisten että tilintarkastajien kannalta perusteltavissa.

Miten tämä vastaa GDPR:ää?

Kontrolli A.1.5.2 vastaa huomattavaa lohkoa GDPR-säännökset:

  • Artikla 44 — Kansainvälisten siirtojen yleinen periaate (siirrot vain asianmukaisin suojatoimin)
  • 45 artiklan 1–9 kohta — Siirrot tietosuojan riittävyyttä koskevan päätöksen perusteella
  • 46 artiklan 1–5 kohta — Siirrot, joihin sovelletaan asianmukaisia ​​suojatoimia (sopimuslausekkeet, sitovat yrityssäännöt, käytännesäännöt)
  • 47 artiklan 1–3 kohta — Sitovat yrityssäännöt
  • Artikla 48 — Siirrot, joita unionin lainsäädäntö ei salli
  • 49 artiklan 1–6 kohta — Poikkeukset erityistilanteissa (nimenomaisen suostumuksen, sopimuksen välttämättömyyden, yleisen edun)
  • 30 artiklan 1 kohdan e alakohta — Käsittelytietojen on sisällettävä siirrot kolmansiin maihin
  • Article 15 (2) — Tiedonsaantioikeus sisältää tiedot kansainvälisistä siirroista ja suojatoimista

Tämän kartoituksen laajuus heijastaa sitä, miten keskeiset siirtomekanismit toimivat. GDPR vaatimustenmukaisuus. Molempien viitekehysten mukaisesti toimivat organisaatiot huomaavat, että kohdan A.1.5.2 täyttäminen on pitkälti GDPR:n V luvun vaatimusten mukaista.

Miten tämä liittyy ISO 29100 -standardin mukaisiin yksityisyyden suojaa koskeviin periaatteisiin?

Tämä ohjaus tukee kahta ISO 29100 yksityisyyden suojan periaatteet:

  • Vastuullisuus — Kunkin siirron oikeusperustan dokumentointi osoittaa vastuullisuuden rajat ylittävistä tietovirroista
  • Käyttö-, säilytys- ja luovutusrajoitukset — Siirtoperusteinen dokumentointi varmistaa, että henkilötietoja luovutetaan rajojen yli vain, jos siihen on perusteltu ja dokumentoitu syy


ISMS.onlinen tehokas kojelauta

Aloita ilmainen kokeilu

Haluatko tutkia?

Rekisteröidy ilmaiseen kokeilujaksoon tänään ja pääset käyttämään kaikkia ISMS.onlinen tarjoamia yhteensopivuusominaisuuksia

Aloita


Mitä todisteita tilintarkastajat odottavat?

Arvioidessaan kohdan A.1.5.2 vaatimustenmukaisuutta tilintarkastajat etsivät tyypillisesti seuraavia seikkoja:

  • Siirtomekanismirekisteri — Dokumentoitu luettelo kaikista rajat ylittävistä henkilötietojen siirroista, joihin on liitetty kullekin tunnistettu oikeudellinen mekanismi
  • Due diligence -asiakirjat — Todiste siitä, että organisaatio on arvioinut vastaanottavan lainkäyttöalueen suojan riittävyyden
  • Toteutetut siirtosopimukset — Kopiot vakiosopimuslausekkeista, sitovista yrityssäännöistä tai vastaavista asiakirjoista
  • Tarkista tiedot — Todisteet säännöllisistä tarkasteluista, erityisesti oikeudellisten puitteiden muutosten jälkeen (esim. tietosuojan riittävyyttä koskevien päätösten peruuttaminen)
  • Siirtovaikutusten arvioinnit — Tarvittaessa dokumentoidut arvioinnit tiettyihin siirtoihin liittyvistä riskeistä

Mitä asiaan liittyviä ohjausobjekteja on?

Valvonta: Yhteys
A.1.5.3 Maat ja kansainväliset järjestöt henkilötietojen siirtoa varten Määrittää, minne henkilötietoja voidaan siirtää; kohdassa A.1.5.2 määritelty peruste määrää, mitkä kohteet ovat sallittuja
A.1.5.4 Henkilötietojen siirtoa koskevat tiedot Kirjaa jokaisen todellisen siirron tässä dokumentoidun pohjalta
A.1.5.5 Kolmansille osapuolille luovutettujen henkilötietojen tiedot Laajemmat tiedonantorekisterit, jotka sisältävät rajat ylittävät siirrot
A.1.2.9 Henkilötietojen käsittelyä koskevat tiedot Siirtoperusteet heijastuvat käsittelytoimien yleisiin tietoihin
A.1.3.3 Tietoja henkilötietojen käsittelijöille Henkilötietojen määrittäminen päämiehille Henkilötietojen vastuuhenkilöillä on oikeus tietää siirtoperuste ja käytössä olevat suojatoimet

Mikä muuttui standardista ISO 27701:2019?

Vaiheittaisen lähestymistavan löydät kohdasta Siirtymäkausi vuodesta 2019 vuoteen 2025.

Vuoden 2019 painoksessa tätä vaatimusta käsiteltiin kohdassa 7.5.1 (yksilöi peruste ammatillisen vastuuvakuutuksen siirrolle lainkäyttöalueiden välillä). Vuoden 2025 määräysvalta on sisällöltään sama, mutta uudelleenjärjestelty Liite A/B-muoto tarjoaa selkeämmän eron valvontalausunnon ja täytäntöönpano-ohjeiden välille. Ohjeistus painottaa nyt erityisesti siirtomekanismien tarkistamista oikeudellisten puitteiden muuttuessa, mikä heijastaa kansainvälisen siirtolainsäädännön turbulenssia vuodesta 2019 lähtien. Katso Liitteen F vastaavuustaulukko koko kartoitusta varten.



ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa

ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Varaa esittelysi


Miksi valita ISMS.online kansainvälisten henkilötietojen siirtojen hallintaan?

ISMS.online tarjoaa käytännön työkaluja rajat ylittävien siirtomekanismien dokumentointiin ja hallintaan:

  • Siirtomekanismirekisteri — Kartoittaa jokaisen rajat ylittävän tietovirran oikeusperustan, vastaanottajamaa ja suojatoimien kera keskitetyssä rekisterissä
  • Automaattiset tarkistusmuistutukset — Aseta siirtomekanismeille tarkistuspäivät ja vastaanota ilmoituksia, kun oikeudelliset kehykset muuttuvat tai tarkistukset ovat ajankohtaisia
  • Asiakirjan hallinta — Säilytä allekirjoitetut sopimusehdot, sitovat yrityssäännöt ja siirtovaikutusten arvioinnit asiaankuuluvan siirtotietueen rinnalla
  • Auditointivalmiit todistusaineistopaketit — Vie siirtodokumentaatio täydellisen versiohistorian kera sertifiointitarkastuksia varten
  • Ristiviittaus — Yhdistä siirtotietueet käsittelytoimiin, yksityisyyden suojaa koskevien vaikutustenarviointien ja rekisteröityjen oikeuksia koskevien pyyntöjen kanssa
  • Sääntelykartoitus — Katso rinnakkain, miten siirtorajoituksesi vastaavat GDPR:ää, ISO 27701 -standardia ja muita viitekehyksiä

UKK

Mikä lasketaan siirroksi lainkäyttöalueiden välillä?

Henkilötietojen siirtäminen tai luovuttaminen lainkäyttöalueelta toiselle. Tähän sisältyy tietojen lähettäminen pilvipalveluntarjoajalle, jonka palvelimet sijaitsevat eri maassa, henkilötietojen jakaminen konserniyhtiön kanssa toisella lainkäyttöalueella tai etäkäytön salliminen toisesta maasta. Vaikka tiedot eivät fyysisesti siirtyisikään, etäkäyttö toiselta lainkäyttöalueelta voi joidenkin tietosuojalakien nojalla muodostaa siirron.

Kuinka usein siirtomekanismeja tulisi tarkistaa?

Suunnitelluin väliajoin (yleensä vuosittain) ja aina kun oikeudellisessa ympäristössä tapahtuu merkittävä muutos. Esimerkkejä laukaisevista tekijöistä ovat siirtomekanismin mitätöivä tuomioistuimen päätös, uuden tietosuojan riittävyyttä koskevan päätöksen antaminen tai kumoaminen tai vastaanottavan lainkäyttöalueen tietosuojalainsäädännön muutokset. Organisaation tulisi myös tarkastella, milloin siirrettyjen henkilötietojen luonne tai määrä muuttuu olennaisesti.

Voidaanko suostumusta käyttää ainoana perusteena kansainvälisille siirroille?

Suostumus on yksi tunnustetuista siirtomekanismeista, mutta GDPR:n mukaan sitä käsitellään tiettyjä tilanteita koskevana poikkeuksena (artikla 49) eikä ensisijaisena mekanismina. Sen on oltava nimenomainen, tietoinen ja vapaaehtoinen. Sääntelyviranomaiset odottavat yleensä organisaatioiden käyttävän vankempia mekanismeja, kuten tietosuojan riittävyyttä koskevia päätöksiä tai vakiosopimuslausekkeita jatkuvissa, järjestelmällisissä siirroissa, ja varaavan suostumuksen satunnaisille tai ei-toistuville siirroille.

Katso tarkastusevidenssivaatimusten opas tilintarkastajien odottamien siirtodokumentaatioiden osalta.

Max Edwards

Max toimii osana ISMS.online-markkinointitiimiä ja varmistaa, että verkkosivustomme päivitetään hyödyllisellä sisällöllä ja tiedolla kaikesta ISO 27001, 27002 ja vaatimustenmukaisuudesta.

Tee virtuaalikierros

Aloita ilmainen kahden minuutin interaktiivinen demosi nyt ja katso
ISMS.online toiminnassa!

Kokeile nyt
alustan kojelauta täysin uudenveroinen

Olemme alamme johtaja

4/5 tähteä
Käyttäjät rakastavat meitä
Johtaja - kevät 2026
Huippusuorittaja - kevät 2026 Pienyritykset Isossa-Britanniassa
Aluejohtaja - kevät 2026 EU
Aluejohtaja - kevät 2026 EMEA
Aluejohtaja - kevät 2026, Iso-Britannia
Huippusuorittaja - kevät 2026, keskikokoinen markkina-alue EMEA-alueella

"ISMS.Online, erinomainen työkalu sääntelyn noudattamiseen"

—Jim M.

"Tekee ulkoisista tarkastuksista helppoa ja yhdistää kaikki ISMS:si osat saumattomasti yhteen"

—Karen C.

"Innovatiivinen ratkaisu ISO- ja muiden akkreditointien hallintaan"

—Ben H.