Mitä kohta A.1.5.4 edellyttää?
Organisaation on kirjattava henkilötietojen siirrot kolmansille osapuolille tai kolmansilta osapuolilta ja varmistettava yhteistyö kyseisten osapuolten kanssa tukeakseen tulevia pyyntöjä, jotka liittyvät henkilötietojen käsittelijöihin kohdistuviin velvoitteisiin.
Tämä ohjaus sijaitsee Henkilötietojen siirto tavoite (A.1.5) PII-ohjaimen ohjaimet. Vaikka A.1.5.2 Henkilötietojen siirron peruste yksilöi oikeusperustan ja A.1.5.3 Maat, joissa henkilötietoja siirretään dokumentoi määränpäät, A.1.5.4 luo operatiivisen tietueen siitä, mitä todellisuudessa liikkui.
Yhtiömme rajat ylittävien tiedonsiirtojen opas tarjoaa kokonaisvaltaista ohjausta siirtojen suojatoimien toteuttamiseen ISO 27701:2025 -standardin mukaisesti.
Mitä käyttöönotto-ohjeissa sanotaan?
Liitteessä B (kohta B.1.5.4) annetaan seuraavat ohjeet siitä, mitä siirtotietojen tulee sisältää:
- Mitä henkilötietoja siirrettiin — Kunkin siirron sisältämien henkilötietojen luokat ja määrä
- Kenelle — Vastaanottavan osapuolen henkilöllisyys, mukaan lukien rooli (rekisterinpitäjä, käsittelijä, alihankkija)
- Kun — Siirron päivämäärä ja tarvittaessa kellonaika
- Oikeusperusta — Dokumentoitu peruste, jonka nojalla siirto tehtiin
- Yhteistyömääräykset — Järjestelyt sen varmistamiseksi, että vastaanottava osapuoli voi tehdä yhteistyötä henkilötietoja koskevien pääasiallisten pyyntöjen, kuten tiedonsaanti-, oikaisu- tai poistopyyntöjen, osalta
Tietoja tulee säilyttää organisaation tietojen säilytyskäytännössä määritellyn säilytysajan ajan. Ohjeissa korostetaan, että yhteistyötä koskevat määräykset eivät ole valinnaisia lisäyksiä, vaan ne ovat olennainen osa jatkuvien velvoitteiden täyttämistä henkilötietojen käsittelyyn osallistuvia päämiehiä kohtaan, joiden tietoja on siirretty.
Miten tämä vastaa GDPR:ää?
Kontrollin A.1.5.4 kohdennus GDPR Artiklan 30(1)(e) mukaan käsittelytoimia koskevien selosteiden on sisällettävä tiedot siirroista kolmansiin maihin tai kansainvälisille järjestöille, mukaan lukien vastaanottajan tunnistetiedot ja tarvittaessa asianmukaisten suojatoimien dokumentointi.
Yhteistyöelementti on linjassa laajemman GDPR rekisterinpitäjille asetettu vaatimus helpottaa rekisteröityjen oikeuksien käyttöä (12–22 artikla), vaikka henkilötietoja olisi jaettu kolmansille osapuolille.
Miten tämä liittyy ISO 29100 -standardin mukaisiin yksityisyyden suojaa koskeviin periaatteisiin?
Tämä ohjaus tukee ISO 29100 periaate VastuullisuusYksityiskohtaisten siirtotietojen ylläpito osoittaa, että organisaatio pystyy selvittämään, minne henkilötietoja on mennyt, ja voi jäljittää ne käsittelyketjussa, jos kysymyksiä ilmenee.
Aloita ilmainen kokeilu
Haluatko tutkia?
Rekisteröidy ilmaiseen kokeilujaksoon tänään ja pääset käyttämään kaikkia ISMS.onlinen tarjoamia yhteensopivuusominaisuuksia
Mitä todisteita tilintarkastajat odottavat?
Arvioidessaan kohdan A.1.5.4 vaatimustenmukaisuutta tilintarkastajat etsivät tyypillisesti seuraavia seikkoja:
- Siirtoloki — Henkilötietojen siirtojen aikajärjestys, josta käy ilmi, mitä tietoja siirrettiin, kenelle, milloin ja millä oikeusperustalla
- Yhteistyösopimukset — Sopimusmääräykset tai dokumentoidut järjestelyt, jotka edellyttävät vastaanottavilta osapuolilta yhteistyötä henkilötietoja koskevien pyyntöjen osalta
- Tietojenkäsittelysopimukset — Kolmansien osapuolten kanssa tehdyt sopimukset, jotka sisältävät rekisteröidyn oikeuksia koskevia yhteistyölausekkeita
- Käytännön näyttöä yhteistyöstä — Tiedot, jotka osoittavat yhteistyön testaamisen, esimerkiksi silloin, kun PII-vastuuhenkilö käytti oikeuksiaan ja vastaanottava osapuoli avusti
- Säilytysvaatimustenmukaisuus — Todiste siitä, että siirtotietoja säilytetään määritellyn säilytysajan
Mitä asiaan liittyviä ohjausobjekteja on?
| Valvonta: | Yhteys |
|---|---|
| A.1.5.2 Henkilötietojen siirron perusteen määrittäminen | Oikeudellinen perusta, joka on dokumentoitu kohdassa A.1.5.2 Henkilötietojen siirron peruste kirjataan jokaista siirtoa kohden |
| A.1.5.3 Maat, joihin henkilötietoja siirretään | Siirtojen tulisi tapahtua vain dokumentoituihin ja hyväksyttyihin kohteisiin |
| A.1.5.5 Henkilötietojen luovutusten tiedot | Tiedonantotiedot täydentävät siirtotietoja ja kattavat tiedonannot, jotka eivät välttämättä liity viralliseen siirtoon. |
| A.1.3.7 Tietojen saaminen, korjaaminen tai poistaminen Pääsy henkilötietoihin | Yhteistyömääräykset varmistavat, että PII-päähenkilöt voivat käyttää käyttöoikeuksia koko siirtoketjussa |
| A.1.3.7 Tietojen saaminen, korjaaminen tai poistaminen | Yhteistyö on välttämätöntä sen varmistamiseksi, että vastaanottavat osapuolet voivat täyttää poistopyynnöt. |
| A.1.2.9 Henkilötietojen käsittelyä koskevat tiedot | Siirtotiedot ovat osa laajempia käsittelytoimien tietoja |
Mikä muuttui standardista ISO 27701:2019?
Vuoden 2019 painoksessa tätä vaatimusta käsiteltiin kohdassa 7.5.3 (henkilökohtaisten tietojen siirron tiedot). Ydinvaatimus on pysynyt muuttumattomana, mutta vuoden 2025 ohjeistuksessa annetaan tarkempia tietoja siirtotietojen sisällöstä ja painotetaan enemmän yhteistyötä vastaanottavien osapuolten kanssa koskevia määräyksiä. Uudelleen jäsennelty Liite A/B-muoto erottaa ohjauslausekkeen yksityiskohtaisesta toteutusohjeesta selkeämmin. Katso Liitteen F vastaavuustaulukko koko kartoitusta varten.
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.
Miksi valita ISMS.online henkilötietojen siirtojen kirjaamiseksi?
ISMS.online tarjoaa tarkoitukseen rakennettuja työkaluja kattavien siirtotietojen ylläpitoon:
- Siirtoloki — Kirjaa jokainen henkilötietojen siirto jäsennellyillä kentillä vastaanottajalle, henkilötietojen luokille, päivämäärälle, oikeusperustalle ja yhteistyön tilalle
- Kolmannen osapuolen hallinta — Yhdistä siirtotietueet toimittajaprofiileihin, joihin on liitetty tietojenkäsittelysopimukset ja yhteistyölausekkeet
- Rekisteröidyn pyyntöjen seuranta — Kun henkilötietojen käsittelystä vastaava henkilö käyttää oikeuksiaan, jäljitä hänen tietonsa siirtoketjussa ja koordinoi toimintaa vastaanottavien osapuolten kanssa
- Säilytyksen hallinta — Merkitsee automaattisesti säilytysrajaansa lähestyvät siirtotietueet tarkistusta tai hävittämistä varten
- Vaatimustenmukaisuuden kojelaudat — Näe yhdellä silmäyksellä, millä siirroilla on täydellinen dokumentaatio ja mitkä vaativat huomiota
UKK
Kuinka yksityiskohtaisia siirtotietueiden tulee olla?
Siirtotietojen tulee olla riittävän yksityiskohtaisia, jotta niistä voidaan tunnistaa siirretyt henkilötietojen luokat, vastaanottava osapuoli, päivämäärä ja oikeusperusta. Jokaista yksittäistä tietokenttää ei tarvitse tallentaa, mutta luokkien tulee olla mielekkäitä (esim. ”työntekijöiden yhteystiedot ja palkkatiedot” pelkän ”henkilötiedot” sijaan). Tietojen yksityiskohtaisuuden tason tulisi tukea organisaation kykyä vastata henkilötietoja koskeviin pyyntöihin ja osoittaa vaatimustenmukaisuus tilintarkastajille.
Miten yhteistyö kolmansien osapuolten kanssa tulisi dokumentoida?
Yhteistyömääräykset tulisi sisällyttää tietojenkäsittelysopimuksiin tai vastaaviin sopimuksiin. Näissä tulisi määrittää henkilötietoja koskevien pyyntöjen vasteajat, pyyntöjen edelleenvälitysprosessi, poistamisessa tai oikaisussa avustamisen vastuut sekä eskalointimenettelyt. On hyvä käytäntö testata näitä yhteistyömekanismeja säännöllisesti sen sijaan, että odotettaisiin, että reaaliaikainen pyyntö havaitsee niiden toimimattomuuden.
Lasketaanko konserniyhtiöiden väliset sisäiset siirrot mukaan?
Kyllä, jos konserniyhtiöt ovat erillisiä oikeushenkilöitä. Jokainen oikeushenkilö on erillinen rekisterinpitäjä tai käsittelijä, joten niiden väliset siirrot ovat siirtoja kolmansille osapuolille tämän valvonnan tarkoituksia varten. Konsernin sisäisten tietojen yhteiskäyttösopimusten tulisi sisältää samat yhteistyömääräykset kuin ulkoisten sopimusten, ja siirrot olisi kirjattava siirtolokiin.
Katso tarkastusevidenssivaatimusten opas tilintarkastajien odottamien siirtodokumentaatioiden osalta.
