Hyppää sisältöön
ISMS.online

ISO 27701:2025 -standardin mukainen valvonta A.1.5.5: Kolmansille osapuolille luovutettujen henkilötietojen tiedot

Kontrolli A.1.5.5 edellyttää organisaatioilta henkilötietojen luovutusten kolmansille osapuolille kirjaamista, mukaan lukien tiedot siitä, mitä henkilötietoja on luovutettu, kenelle ja milloin. Tämä tallentaa sekä rutiininomaiset että poikkeukselliset luovutukset ja tarjoaa täydellisen auditointiketjun.

kirjailija
Max Edwards
Päivitetty maaliskuu 27, 2026
4/5 tähteä

Mitä kohta A.1.5.5 edellyttää?

Organisaation on kirjattava henkilötietojen luovutukset kolmansille osapuolille, mukaan lukien tiedot siitä, mitä henkilötietoja on luovutettu, kenelle ja milloin.

Tämä on viimeinen kontrolli tässä Henkilötietojen siirto tavoite (A.1.5) PII-ohjaimen ohjaimet. Vaikka A.1.5.4 Henkilötietojen siirtoa koskevat tiedot Keskittyen virallisten siirtojen kirjaamiseen, A.1.5.5 laajentaa soveltamisalaa kattamaan kaikki julkistettavat tiedot, mukaan lukien ne, jotka jäävät tyypillisen siirtokehyksen ulkopuolelle.

Yhtiömme rajat ylittävien tiedonsiirtojen opas tarjoaa kokonaisvaltaista ohjausta siirtojen suojatoimien toteuttamiseen ISO 27701:2025 -standardin mukaisesti.

Mitä käyttöönotto-ohjeissa sanotaan?

Liitteessä B (kohta B.1.5.5) annetaan seuraavat ohjeet:

  • Normaalit operatiiviset tiedonannot tulisi kirjata, kuten henkilötietojen jakaminen käsittelijän, liikekumppanin tai palveluntarjoajan kanssa osana rutiinitoimintoja
  • Lisätiedot Myös normaalin toiminnan ulkopuoliset tiedot, kuten oikeudellisiin tutkimuksiin vastauksena tehdyt tiedot, valvontaviranomaisten tarkastuspyynnöt tai tuomioistuimen määräykset, tulisi kirjata.
  • Kirjanpidon tulisi sisältää ilmoituksen lähde — henkilö tai järjestelmä, joka aloitti tai valtuutti luovutuksen
  • Kirjanpidon tulisi sisältää valtuudet tehdä ilmoitus — sen sallinut oikeusperusta, sopimusvelvoite tai sisäinen valtuutus

”Normaalin” ja ”lisätietojen” luovuttamisen välinen erottelu on tärkeää. Monet organisaatiot seuraavat rutiininomaista tiedonjakoa, mutta eivät kirjaa paineen alla tehtyjä kertaluonteisia luovutuksia, kuten lainvalvontaviranomaisten pyyntöön vastaamista. Molemmat on kirjattava.

Miten tämä vastaa GDPR:ää?

Kontrollin A.1.5.5 kohdennus GDPR Artiklan 30(1)(d) mukaan käsittelytoimien selosteiden on sisällettävä tiedot vastaanottajista, joille henkilötietoja on luovutettu tai luovutetaan, mukaan lukien kolmansissa maissa olevat vastaanottajat tai kansainväliset järjestöt.

Tämä menee pelkän vastaanottajaluokkien listaamisen edelle. Yhdistelmä A.1.5.4 Henkilötietojen siirtoa koskevat tiedot ja A.1.5.5 varmistaa, että organisaatiot voivat osoittaa yksityiskohtaisesti, mitä jaettiin kenen kanssa ja milloin.

Miten tämä liittyy ISO 29100 -standardin mukaisiin yksityisyyden suojaa koskeviin periaatteisiin?

Tämä ohjaus tukee ISO 29100 periaate Käyttö-, säilytys- ja luovutusrajoituksetJokaisen paljastuksen kirjaaminen luo näyttöön perustuvan pohjan sille, että henkilötietoja jaetaan vain, jos siihen on dokumentoitu ja perusteltu syy, ja että tarpeettomat tai luvattomat paljastukset voidaan tunnistaa ja tutkia.



ISMS.onlinen tehokas kojelauta

Aloita helposti henkilökohtaisella tuote-esittelyllä

Yksi perehdytysasiantuntijoistamme opastaa sinua alustamme läpi ja auttaa sinua alkuun luottavaisin mielin.

Varaa esittelysi


Mitä todisteita tilintarkastajat odottavat?

Arvioidessaan kohdan A.1.5.5 vaatimustenmukaisuutta tilintarkastajat etsivät tyypillisesti seuraavia seikkoja:

  • Tietojen luovutusrekisteri — Jäsennelty loki kaikista henkilötietojen ilmoituksista, josta käy ilmi ilmoitetut henkilötiedot, vastaanottaja, päivämäärä/kellonaika ja ilmoituksen tehnyt viranomainen
  • Valtuutustietueet — Todiste siitä, kuka valtuutti kunkin luovutuksen, erityisesti epätavallisten luovutusten, kuten lainvalvontaviranomaisten pyyntöjen, osalta
  • Prosessin dokumentaatio — Määritellyt menettelyt tietojen luovuttamista varten, mukaan lukien kuka on vastuussa rekisterin ylläpidosta
  • Epätavanomaisten tietojen kattavuus — Todisteet siitä, että prosessi tallentaa tietoja normaalin toiminnan ulkopuolelta, ei pelkästään rutiininomaisesta tiedonjaosta
  • Yhdenmukaisuus siirtotietojen kanssa — Että tiedonantotiedot ovat yhdenmukaiset siirtotietojen kanssa, joita ylläpidetään A.1.5.4 Henkilötietojen siirtoa koskevat tiedot

Mitä asiaan liittyviä ohjausobjekteja on?

Valvonta: Yhteys
A.1.5.4 Henkilötietojen siirtoa koskevat tiedot Siirtotiedot kattavat viralliset siirrot; tiedonantotiedot kuvaavat laajempaa kuvaa, mukaan lukien kertaluonteiset tiedonannot.
A.1.5.2 Henkilötietojen siirron perusteen määrittäminen Tietojen siirtojen oikeusperusta koskee myös rajat ylittäviä tiedonsiirtoja koskevia luovutuksia.
A.1.5.3 Maat, joihin henkilötietoja siirretään Muiden lainkäyttöalueiden osapuolille annettavien tietojen tulee olla yhdenmukaisia ​​hyväksyttyjen kohdeluetteloiden kanssa.
A.1.2.9 Henkilötietojen käsittelyä koskevat tiedot Tietojen luovutusta koskevat tiedot ovat osa käsittelytoimien kokonaisrekistereitä.
A.1.3.3 Tietoja henkilötietojen käsittelijöille Henkilötietojen määrittäminen päämiehille Henkilötietojen luovutuksista vastaaville päämiehille saatetaan joutua ilmoittamaan.
A.1.3.8 Velvollisuus ilmoittaa kolmansille osapuolille Tietyt tiedonannot voivat aiheuttaa ilmoitusvelvollisuuden henkilötietojen käsittelijöille

Mikä muuttui standardista ISO 27701:2019?

Vuoden 2019 painoksessa tätä vaatimusta käsiteltiin kohdassa 7.5.4 (kolmansille osapuolille luovutettujen henkilötietojen kirjaaminen). Vuoden 2025 versiossa on säilytetty samat ydinvaatimukset, mutta uudelleenjärjestellyssä liitteen B ohjeistuksessa tehdään nyt selkeämpi ero normaalin operatiivisen tiedonannon ja lisätiedon (oikeudelliset tutkimukset, tarkastukset) välillä. Myös vaatimusta kirjata lähde ja auktoriteetti kunkin tiedonannon osalta on korostettu. Katso Liitteen F vastaavuustaulukko koko kartoitusta varten.



kiipeily

Vapauta itsesi laskentataulukoiden vuorten vallasta

Ota käyttöön, laajenna ja skaalaa vaatimustenmukaisuus ilman sotkua. Io antaa sinulle joustavuutta ja luottamusta kasvaa turvallisesti.

Varaa esittelysi


Miksi valita ISMS.online henkilötietojen paljastusten seurantaa varten?

ISMS.online tekee täydellisen tiedonantorekisterin ylläpitämisestä yksinkertaista:

  • Tietojen luovutusrekisteri — Kirjaa jokainen henkilötietojen paljastus jäsennellyillä kentillä vastaanottajalle, henkilötietojen luokille, päivämäärälle/kellonajalle, lähteelle ja valtuutukselle
  • Epätavanomaisten tietojen julkistamisen työnkulku — Sisäänrakennetut hyväksyntäprosessit lainvalvontapyyntöjä ja muita poikkeuksellisia tiedonantoja varten, mikä varmistaa asianmukaisen valtuutuksen hankkimisen ennen tietojen jakamista
  • Linkitetyt tietueet — Yhdistä tiedonantomerkinnät asiaankuuluviin tietojenkäsittelysopimuksiin, siirtotietoihin ja henkilötietojen pääasiallisiin profiileihin
  • Tarkastusrata — Jokainen tiedonanto sisältää täydellisen historian siitä, kuka sen loi, muokkasi tai tarkisti.
  • Raportointi — Luo vastaanottajan, ajanjakson, henkilötietojen luokan tai valtuutustyypin mukaisia ​​​​raportteja johdon tarkastuksia ja tarkastuksia varten

UKK

Mitä eroa on siirrolla ja julkistamisella?

Siirto viittaa tyypillisesti henkilötietojen järjestelmälliseen siirtämiseen yhdestä lainkäyttöalueesta tai organisaatiosta toiseen määritellyn järjestelyn (esim. tietojenkäsittelysopimuksen) mukaisesti. Luovuttaminen on laajempi käsite ja sisältää kaiken henkilötietojen jakamisen kolmannen osapuolen kanssa, olipa se rutiininomaista tai kertaluonteista. Kaikki siirrot ovat luovutuksia, mutta kaikki luovutukset eivät ole siirtoja. Esimerkiksi henkilötietojen toimittaminen lainvalvontaviranomaiselle vastauksena tuomioistuimen määräykseen on luovutusta, mutta ei välttämättä siirtoa perinteisessä mielessä.

Miten meidän tulisi käsitellä lainvalvontaviranomaisille annettuja paljastuksia?

Lainvalvonnan viranomaisten tietojen luovutuksissa tulee noudattaa määriteltyä menettelyä. Kirjaa vastaanotettu pyyntö, viitattu oikeusviranomainen, kuka organisaatiossa valtuutti tietojen luovuttamisen, mitä henkilötietoja jaettiin, milloin ja mille viranomaiselle. Jos pyyntö on epävirallinen (esim. suullinen pyyntö ilman tuomioistuimen määräystä), dokumentoi päätöksentekoprosessi ja perusteet, joilla tietojen luovutus tehtiin tai evättiin.

Pitääkö meidän ilmoittaa henkilötietojen käsittelijöille tietojen paljastumisista?

Se riippuu lainkäyttöalueesta ja tiedonannon luonteesta. GDPRrekisteröidyillä on oikeus tietää vastaanottajaryhmät. Tietyistä luovutuksista voidaan edellyttää ilmoitusta A.1.3.8 Velvollisuus ilmoittaa kolmansille osapuolille (muutoksista, käsittelystä tai luovuttamisesta ilmoittaminen). Tietyt luovutukset, erityisesti lainvalvontaviranomaisille, voidaan kuitenkin vapauttaa ilmoitusvaatimuksista, jos henkilötietojen käsittelystä vastaavalle taholle ilmoittaminen vahingoittaisi tutkintaa.

Katso tarkastusevidenssivaatimusten opas tilintarkastajien odottamien siirtodokumentaatioiden osalta.

Max Edwards

Max toimii osana ISMS.online-markkinointitiimiä ja varmistaa, että verkkosivustomme päivitetään hyödyllisellä sisällöllä ja tiedolla kaikesta ISO 27001, 27002 ja vaatimustenmukaisuudesta.

Tee virtuaalikierros

Aloita ilmainen kahden minuutin interaktiivinen demosi nyt ja katso
ISMS.online toiminnassa!

Kokeile nyt
alustan kojelauta täysin uudenveroinen

Olemme alamme johtaja

4/5 tähteä
Käyttäjät rakastavat meitä
Johtaja - kevät 2026
Huippusuorittaja - kevät 2026 Pienyritykset Isossa-Britanniassa
Aluejohtaja - kevät 2026 EU
Aluejohtaja - kevät 2026 EMEA
Aluejohtaja - kevät 2026, Iso-Britannia
Huippusuorittaja - kevät 2026, keskikokoinen markkina-alue EMEA-alueella

"ISMS.Online, erinomainen työkalu sääntelyn noudattamiseen"

—Jim M.

"Tekee ulkoisista tarkastuksista helppoa ja yhdistää kaikki ISMS:si osat saumattomasti yhteen"

—Karen C.

"Innovatiivinen ratkaisu ISO- ja muiden akkreditointien hallintaan"

—Ben H.