Hyppää sisältöön
ISMS.online

ISO 27701:2025 -standardin mukainen valvonta A.1.5.3: Maat ja kansainväliset organisaatiot henkilötietojen siirtoa varten

Kohdan A.1.5.3 mukainen valvonta edellyttää organisaatioilta, että ne määrittelevät ja dokumentoivat maat ja kansainväliset järjestöt, joille henkilötietoja voidaan mahdollisesti siirtää. Tämä avoimuusvelvoite on keskeinen osa rajat ylittävien tietovirtojen vastuullisuutta.

kirjailija
Max Edwards
Päivitetty maaliskuu 27, 2026
4/5 tähteä

Mitä kohta A.1.5.3 edellyttää?

Organisaation on määriteltävä ja dokumentoitava maat ja kansainväliset järjestöt, joille henkilötietoja voidaan mahdollisesti siirtää.

Tämä ohjaus sijaitsee Henkilötietojen siirto tavoite (A.1.5) PII-ohjaimen ohjaimet. Missä A.1.5.2 Henkilötietojen siirron peruste Kohta A.1.5.3 käsittelee oikeudellista mekanismia, kun taas kohta A.1.5.3 keskittyy dokumentoimaan tarkasti, mihin henkilötiedot voivat päätyä.

Yhtiömme rajat ylittävien tiedonsiirtojen opas tarjoaa kokonaisvaltaista ohjausta siirtojen suojatoimien toteuttamiseen ISO 27701:2025 -standardin mukaisesti.

Mitä käyttöönotto-ohjeissa sanotaan?

Liitteessä B (kohta B.1.5.3) annetaan seuraavat ohjeet:

  • Ylläpidä rekisteriä kaikista maista ja kansainvälisistä järjestöistä, joille henkilötietoja voidaan siirtää
  • Ota huomioon kunkin kohdelainkäyttöalueen riittävyysstatus määritettäessä, ovatko siirrot sallittuja
  • Aseta tiedot siirtokohteista henkilötietojen käsittelijöille joko suoraan tai julkaistujen tietosuoja-asiakirjojen kautta
  • Pidä rekisteri ajan tasalla, kun uusia siirtokohteita lisätään tai olemassa olevia poistetaan

Käytännössä tämä tarkoittaa, että organisaatiot eivät voi käsitellä kansainvälisiä siirtoja mustana laatikkona. Jokainen mahdollinen kohde on oltava näkyvissä, arvioitu ja dokumentoitu ennen kuin henkilötietoja siirtyy sinne.

Miten tämä vastaa GDPR:ää?

Ohjaus A.1.5.3 vastaa kahta avainta GDPR-säännökset:

  • Article 15 (2) — Rekisteröidyllä on oikeus saada tieto maista, joihin hänen henkilötietojaan siirretään, ja käytössä olevista asianmukaisista suojatoimista.
  • 30 artiklan 1 kohdan e alakohta — Käsittelytoimien kirjaamiseen on sisällyttävä siirrot kolmansiin maihin tai kansainvälisille järjestöille sekä asianmukaisten suojatoimien dokumentointi.

Alle GDPRnäiden tietojen on oltava helposti sekä rekisteröityjen että valvontaviranomaisten saatavilla pyynnöstä.

Miten tämä liittyy ISO 29100 -standardin mukaisiin yksityisyyden suojaa koskeviin periaatteisiin?

Tämä ohjaus tukee ISO 29100 periaate VastuullisuusDokumentoidun siirtokohteiden rekisterin ylläpitäminen osoittaa, että organisaatio tietää, minne henkilötiedot menevät, ja on ryhtynyt harkittuihin toimiin kunkin kohteen arvioimiseksi ja hyväksymiseksi.



kiipeily

Vapauta itsesi laskentataulukoiden vuorten vallasta

Ota käyttöön, laajenna ja skaalaa vaatimustenmukaisuus ilman sotkua. Io antaa sinulle joustavuutta ja luottamusta kasvaa turvallisesti.

Varaa esittelysi


Mitä todisteita tilintarkastajat odottavat?

Arvioidessaan kohdan A.1.5.3 vaatimustenmukaisuutta tilintarkastajat etsivät tyypillisesti seuraavia seikkoja:

  • Maarekisteri — Dokumentoitu ja ajantasainen luettelo kaikista maista ja kansainvälisistä järjestöistä, joille henkilötietoja voidaan siirtää
  • Riittävyyden arvioinnit — Todiste siitä, että kunkin kohteen riittävyystila on otettu huomioon ja kirjattu
  • Tietosuojailmoitukset — Julkaistu tietosuoja-asiakirja, joka ilmoittaa henkilötietojen käsittelystä vastaaville maista, joissa heidän tietojaan voidaan käsitellä
  • Muuta tietueita — Todiste siitä, että rekisteriä päivitetään, kun lisätään uusia kohteita, esimerkiksi kun uusi pilvipalveluntarjoaja tai alihankkija otetaan mukaan
  • Yhdenmukaistaminen siirtotietojen kanssa — Että todelliset siirrot (kirjattu kohdassa A.1.5.4 Henkilötietojen siirtoa koskevat tiedot) mene vain dokumentoituihin kohteisiin

Mitä asiaan liittyviä ohjausobjekteja on?

Valvonta: Yhteys
A.1.5.2 Henkilötietojen siirron perusteen määrittäminen Oikeusperusta määrittää, mitkä maat ovat sallittuja kohdemaita
A.1.5.4 Henkilötietojen siirtoa koskevat tiedot Todellisten siirtotietojen tulee olla yhdenmukaisia ​​hyväksyttyjen kohdeluetteloiden kanssa.
A.1.5.5 Henkilötietojen luovutusten tiedot Muissa lainkäyttöalueissa kolmansille osapuolille tehdyt ilmoitukset on dokumentoitava
A.1.3.3 Tietoja henkilötietojen käsittelijöille Henkilötietojen määrittäminen päämiehille Vaihtokohteet ovat osa tietoja, jotka on annettava henkilöille
A.1.2.9 Henkilötietojen käsittelyä koskevat tiedot Kohderekisteri syötetään yleisiin käsittelytietueisiin

Mikä muuttui standardista ISO 27701:2019?

Vaiheittaisen lähestymistavan löydät kohdasta Siirtymäkausi vuodesta 2019 vuoteen 2025.

Vuoden 2019 painoksessa tätä vaatimusta käsiteltiin kohdassa 7.5.2 (maat ja kansainväliset järjestöt, joille henkilötietoja voidaan siirtää). Asiasisältö on pysynyt muuttumattomana, mutta vuoden 2025 uudelleenjärjestelyssä selkeämpi yhteys valvontalausunnon (A.1.5.3) ja toteutusohjeiden (B.1.5.3) välille. Keskeisenä vaatimuksena on edelleen painopiste kohdetietojen asettamisessa henkilötietojen haltijan saataville. Katso Liitteen F vastaavuustaulukko koko kartoitusta varten.



ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa

ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Varaa esittelysi


Miksi valita ISMS.online henkilötietojen siirtokohteiden seurantaa varten?

ISMS.online antaa sinulle työkalut selkeän ja auditoitavan kirjanpitoon siitä, minne henkilötiedot menevät:

  • Siirtokohderekisteri — Ylläpitää keskitettyä luetteloa hyväksytyistä maista ja organisaatioista, joilla on tietosuojan riittävyysstatus ja tarkistuspäivämäärät.
  • Alikäsittelijän seuranta — Yhdistä jokainen kolmannen osapuolen käsittelijä maihin, joissa se toimii, ja ilmoita automaattisesti, kun uusi kohde lisätään
  • Tietosuojailmoituksen integrointi — Pidä tietosuoja-asiakirjat linjassa hyväksyttyjen kohdeluetteloiden kanssa linkitettyjen tietueiden avulla
  • Tarkista työnkulut — Aseta aikataulutetut tarkastukset kullekin kohteelle ja vastaanota ilmoituksia, kun tietosuojan riittävyyttä koskevat päätökset tai oikeudelliset kehykset muuttuvat
  • Tarkastusevidenssi — Vie koko kohderekisteri muutoshistorian kera sertifiointitarkastuksia ja sääntelyyn liittyviä tiedusteluja varten

UKK

Pitääkö meidän luetella jokainen maa, jossa pilvipalveluntarjoaja toimii?

Kyllä, jos henkilötietoja voitaisiin tallentaa tai käyttää näistä sijainneista. Pilvipalveluntarjoajat käsittelevät usein tietoja useilla alueilla ja heillä voi olla tukihenkilöstöä eri maissa kuin missä tietoja isännöidään. Sinun tulisi tehdä yhteistyötä palveluntarjoajiesi kanssa saadaksesi lopullisen luettelon kaikista maista, joissa henkilötietoja voidaan käsitellä, tallentaa tai käyttää, ja sisällyttää jokainen näistä maista rekisteriisi.

Entä jos maiden lista muuttuu usein?

Rekisterin tulisi olla elävä asiakirja. Luo prosessi sen päivittämiseksi aina, kun ehdotetaan uutta siirtokohdetta, esimerkiksi hankinnan tai toimittajien perehdytysprosessien kautta. Jokainen muutos tulee arvioida siirtoperusteiden perusteella, jotka on dokumentoitu kohdassa A.1.5.2 Henkilötietojen siirron perusteja tietosuojailmoitukset olisi päivitettävä vastaamaan nykytilannetta.

Koskeeko tämä EU:n/ETA:n sisäisiä siirtoja?

GDPR:n mukaan EU:n/ETA:n sisäisiä siirtoja ei pidetä kansainvälisinä siirtoina, eivätkä ne vaadi erityistä siirtomekanismia. ISO 27701 -standardissa on kuitenkin laajempi, lainkäyttöalueneutraali lähestymistapa. Hyvä käytäntö on dokumentoida kaikki maat, joissa henkilötietoja käsitellään, myös ETA-alueella, sillä muilla sovellettavilla laeilla (esim. kansallisella täytäntöönpanolainsäädännöllä) voi olla lisävaatimuksia.

Katso tarkastusevidenssivaatimusten opas tilintarkastajien odottamien siirtodokumentaatioiden osalta.

Max Edwards

Max toimii osana ISMS.online-markkinointitiimiä ja varmistaa, että verkkosivustomme päivitetään hyödyllisellä sisällöllä ja tiedolla kaikesta ISO 27001, 27002 ja vaatimustenmukaisuudesta.

Tee virtuaalikierros

Aloita ilmainen kahden minuutin interaktiivinen demosi nyt ja katso
ISMS.online toiminnassa!

Kokeile nyt
alustan kojelauta täysin uudenveroinen

Olemme alamme johtaja

4/5 tähteä
Käyttäjät rakastavat meitä
Johtaja - kevät 2026
Huippusuorittaja - kevät 2026 Pienyritykset Isossa-Britanniassa
Aluejohtaja - kevät 2026 EU
Aluejohtaja - kevät 2026 EMEA
Aluejohtaja - kevät 2026, Iso-Britannia
Huippusuorittaja - kevät 2026, keskikokoinen markkina-alue EMEA-alueella

"ISMS.Online, erinomainen työkalu sääntelyn noudattamiseen"

—Jim M.

"Tekee ulkoisista tarkastuksista helppoa ja yhdistää kaikki ISMS:si osat saumattomasti yhteen"

—Karen C.

"Innovatiivinen ratkaisu ISO- ja muiden akkreditointien hallintaan"

—Ben H.