Hyppää sisältöön
ISMS.online

ISO 27701:2025 -standardin mukainen valvonta A.2.5.2: Henkilötietojen siirron perusteet lainkäyttöalueiden välillä

Kohdan A.2.5.2 mukainen valvonta edellyttää, että organisaatiot ilmoittavat asiakkaalle ajoissa lainkäyttöalueiden välisten henkilötietojen siirtojen perusteista ja aiotuista muutoksista, jotta asiakas voi vastustaa sopimusta tai irtisanoa sen. Tämä varmistaa läpinäkyvyyden rajat ylittävissä tietovirroissa.

kirjailija
Max Edwards
Päivitetty maaliskuu 27, 2026
4/5 tähteä

Mitä kohta A.2.5.2 edellyttää?

Organisaation on ilmoitettava asiakkaalle ajoissa lainkäyttöalueiden välisten henkilötietojen siirtojen perusteista ja mahdollisista tähän liittyvistä suunnitelluista muutoksista, jotta asiakas voi vastustaa tällaisia ​​muutoksia tai irtisanoa sopimuksen.

Tämä ohjaus sijaitsee PII-käsittelijän hallintalaitteet liite (A.2) ja käsittelee yhtä tietosuojan monimutkaisimmista osa-alueista: rajat ylittäviä siirtoja. Kun käsittelijä siirtää henkilötietoja lainkäyttöalueiden rajojen yli, rekisterinpitäjän on tiedettävä siirron oikeusperusta. Jos oikeusperusta muuttuu, rekisterinpitäjällä on oltava mahdollisuus vastustaa järjestelyä tai irtisanoa se ennen muutoksen voimaantuloa.

Mitä liitteen B täytäntöönpano-ohjeissa sanotaan?

Liitteessä B (kohta B.2.5.2) annetaan seuraavat ohjeet:

  • Dokumentoi oikeusperusta — Organisaation on dokumentoitava lakisääteisten vaatimusten noudattaminen siirron perusteeksi
  • Ilmoita asiakkaille siirroista — On ilmoitettava asiakkaalle siirroista toimittajille, muille osapuolille, muille maille tai muille organisaatioille
  • Ennakkoilmoitus — Asiakkaan on ilmoitettava muutoksista etukäteen, jotta hän voi vastustaa niitä tai irtisanoa sopimuksen
  • Sopimusjoustolausekkeet — Sopimuksiin voi sisältyä lausekkeita, jotka sallivat organisaation toteuttaa muutoksia ilman ennakkoilmoitusta määriteltyjen rajoitusten mukaisesti.
  • Siirtomekanismit — Kansainvälisten siirtojen osalta yksilöi mallisopimuslausekkeet, sitovat yrityssäännöt (BCR), rajat ylittävät yksityisyydensuojasäännöt sekä asiaankuuluvat erityismaat ja olosuhteet
  • Katso myös A.2.5.5: Henkilötietojen luovutuspyyntöjen ilmoittaminen asiaankuuluvia vaatimuksia varten
  • Katso myös A.2.5.6: Oikeudellisesti sitovat henkilötietojen luovutukset asiaankuuluvia vaatimuksia varten

Ohjeissa tehdään selväksi, että läpinäkyvyys on oletusarvoinen periaate. Käsittelijän on ilmoitettava rekisterinpitäjälle ennakoivasti siirtojen oikeusperustasta eikä odotettava rekisterinpitäjän kysymystä. Jos sopimukseen sisältyy joustavuuslausekkeita, niillä on oltava määritellyt rajat, eikä niitä voida käyttää rekisterinpitäjän valvontaoikeuden kiertämiseen.

Miten tämä vastaa GDPR:ää?

Kontrolli A.2.5.2 vastaa seuraavaa GDPR artikkeleita:

  • Artikla 44 — Yleinen periaate siirtojen osalta: siirtoja tehdään vain, jos GDPR ehdot täyttyvät
  • Article 46 (1) — Asianmukaiset suojatoimet siirroille, kun tietosuojan riittävyyttä koskevaa päätöstä ei ole tehty
  • 46 artiklan 2 kohdan a alakohta — Erityiset suojatoimet, mukaan lukien sitovat yrityssäännöt, mallisopimuslausekkeet, käytännesäännöt ja sertifiointimekanismit
  • 46 artiklan 3 kohdan a alakohta — Valvontaviranomaisten hyväksymät sopimuslausekkeet ja hallinnolliset järjestelyt
  • Artikla 48 — Siirrot tai luovutukset, joita unionin lainsäädäntö ei salli
  • 49 artiklan 1 kohdan a alakohta — Poikkeukset erityistilanteissa, mukaan lukien nimenomainen suostumus, sopimusperusteinen välttämättömyys ja elintärkeät edut
  • 49 artiklan 2–6 kohta — Poikkeusluonteisten siirtojen ehdot ja rajoitukset

Tämä on yksi standardin laajimmin kuvatuista kontrolleista, mikä heijastaa GDPR:n siirtokehyksen monimutkaisuutta. Käsittelijöiden on kyettävä tunnistamaan ja dokumentoimaan, mitä tiettyä GDPR-mekanismia sovelletaan kuhunkin siirtoon.

Mikä muuttui standardista ISO 27701:2019?

Vaiheittaisen lähestymistavan löydät kohdasta Siirtymäkausi vuodesta 2019 vuoteen 2025.

Vuoden 2019 painoksessa tätä vaatimusta käsiteltiin laajemman lausekerakenteen sisällä. Vuoden 2025 painoksessa A.2.5.2 on omana erillisenä säädöksenä, ja B.2.5.2:ssa on täytäntöönpano-ohjeita, jotka sisältävät nimenomaisen kattavuuden sitovista yrityssäännöistä, mallisopimuslausekkeista ja rajat ylittävistä yksityisyydensuojasäännöistä siirtomekanismeina. Katso Liitteen F vastaavuustaulukko koko kartoitusta varten.



kiipeily

Vapauta itsesi laskentataulukoiden vuorten vallasta

Ota käyttöön, laajenna ja skaalaa vaatimustenmukaisuus ilman sotkua. Io antaa sinulle joustavuutta ja luottamusta kasvaa turvallisesti.

Varaa esittelysi


Mitä todisteita tilintarkastajat odottavat?

Arvioidessaan kohdan A.2.5.2 vaatimustenmukaisuutta tilintarkastajat etsivät tyypillisesti seuraavia seikkoja:

  • Siirtovaikutusten arvioinnit — Dokumentoidut arvioinnit kunkin rajat ylittävän siirron oikeusperustasta, mukaan lukien käytetty erityinen GDPR-mekanismi
  • Asiakasilmoitukset — Asiakkaille lähetettyjen siirtojen perusteita koskevien ilmoitusten tiedot, mukaan lukien lähetyspäivämäärät sekä asiakkaiden vastaukset tai vastalauseet
  • Muutoshallintatietueet — Todiste siitä, että asiakkaille ilmoitetaan etukäteen kaikista siirtojärjestelyihin suunnitelluista muutoksista ja että heille annetaan riittävästi aikaa vastustaa tai irtisanoa sopimus
  • Siirtomekanismien dokumentaatio — Kopiot vakiosopimuslausekkeista, sitovista yrityssäännöistä, tietosuojan riittävyyttä koskevista päätöksistä tai muista mekanismeista, joita käytetään kunkin siirron yhteydessä
  • Sopimusmääräykset — Rajatylittäviä siirtoja koskevat sopimuslausekkeet, mukaan lukien mahdolliset joustolausekkeet ja niiden määritellyt rajat

Mitä asiaan liittyviä ohjausobjekteja on?

Valvonta: Yhteys
A.2.5.3 Maat, joihin henkilötietoja siirretään Dokumentoi tietyt maat, joihin henkilötietoja voidaan siirtää
A.2.5.7 Alihankkijoiden julkistaminen Alihankkijoiden tiedonannot sisältävät maat, joissa he käsittelevät henkilötietoja
A.2.4.4 PII-lähetysohjaimet Tekniset suojaustoimenpiteet henkilötietojen suojaamiseksi rajat ylittävän siirron aikana
A.2.2.2 Asiakassopimus Siirtoperuste ja ilmoitusmenettelyt olisi määriteltävä sopimuksessa
A.2.5.4 Henkilötietojen luovutusten tiedot Rajat ylittävät siirrot kolmansille osapuolille olisi kirjattava tiedonannona

Ketä tämä valvonta koskee?

A.2.5.2 koskee yksinomaan PII-käsittelijätRekisterinpitäjillä on laillinen vastuu varmistaa, että rajat ylittävät siirrot ovat tietosuojalainsäädännön mukaisia, mutta he eivät voi täyttää tätä velvoitetta ilman käsittelijöidensä läpinäkyvyyttä. Tämä valvonta varmistaa, että käsittelijät ilmoittavat rekisterinpitäjille siirtojen oikeusperustasta ja antavat heille mahdollisuuden vastustaa muutoksia ennen niiden voimaantuloa.



ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa

ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Varaa esittelysi


Miksi valita ISMS.online rajat ylittävien siirtojen hallintaan?

ISMS.online tarjoaa käytännön työkaluja rajat ylittävien henkilötietojen siirtojen hallintaan:

  • Siirtokartoitus — Kartoita kaikki rajat ylittävät tietovirrat ja dokumentoi kunkin siirron oikeusperusta, siirtomekanismi ja kohdemaa
  • Ilmoitusten työnkulut — Hallitse asiakasilmoituksia siirtojärjestelyistä ja muutoksista seuratun viestinnän ja vastausten tallennuksen avulla
  • Asiakirjan hallinta — Säilytä vakiosopimuslausekkeet, sitovat yrityssäännöt ja tietosuojan riittävyyttä koskevien päätösten viitetiedot jokaisen siirtotietueen rinnalla
  • Muutoksen hallinta — Seuraa ehdotettuja siirtojärjestelyjen muutoksia hyväksyntäprosessien avulla ja varmista, että asiakkaille ilmoitetaan ennen muutosten voimaantuloa.
  • Vaatimustenmukaisuuden hallintapaneeli — Seuraa kaikkien rajat ylittävien siirtojen tilaa, niiden oikeusperustaa ja ilmoitustilaa yhdestä näkymästä

UKK

Mikä lasketaan siirroksi lainkäyttöalueiden välillä?

Henkilötietoja siirretään lainkäyttöalueiden välillä aina, kun niitä siirretään lainkäyttöalueelta toiselle. Tähän sisältyvät fyysiset siirrot (tietojen siirtäminen maiden välillä), sähköiset siirrot (tietojen siirtäminen palvelimille toisessa maassa), etäkäyttö (toisessa maassa olevan henkilöstön pääsy paikallisesti tallennettuihin henkilötietoihin) ja pilvipalveluiden käyttö (pilvipalveluiden käyttö, jotka tallentavat tai käsittelevät tietoja useilla alueilla). Myös tilapäiset siirrot, kuten tiedon kulkeminen verkkosolmun kautta toisessa lainkäyttöalueella, voivat olla siirtokelpoisia sovellettavasta laista riippuen.

Kuinka paljon asiakkaiden tulisi saada ilmoitusta ennen siirtomuutoksia?

Standardi edellyttää ”oikea-aikaista” ilmoitusta, mutta ei määritä vähimmäisilmoitusaikaa. Ilmoitusajan tulisi olla riittävä, jotta asiakas ehtii arvioida muutosta, suorittaa tarvittavat arvioinnit (kuten siirtovaikutusten arvioinnin) ja joko hyväksyä muutoksen, neuvotella muutoksista tai irtisanoa sopimuksen. Vähintään 30 päivää on yleinen käytäntö, mutta tarkka ajanjakso tulisi määritellä sopimuksessa käsittelyn monimutkaisuuden ja arkaluontoisuuden perusteella.

Voiko sopimus sallia siirrot ilman asiakkaalle etukäteen annettavaa ilmoitusta?

Liitteessä B olevien ohjeiden mukaan sopimuksiin voi sisältyä lausekkeita, jotka sallivat organisaation toteuttaa muutoksia ilman ennakkoilmoitusta, mutta näillä lausekkeilla on oltava määritellyt rajat. Käytännössä tällaiset lausekkeet koskevat tyypillisesti siirtoja saman oikeudellisen kehyksen sisällä (esimerkiksi EU:n jäsenvaltioiden välillä, joissa tietosuojan riittävyys on automaattinen) pikemminkin kuin siirtoja lainkäyttöalueille, joilla on merkittävästi erilaiset tietosuojastandardit. Rekisterinpitäjän oikeutta valvontaan ei pitäisi heikentää liian laajoilla joustavuuslausekkeilla.

Yhtiömme rajat ylittävien tiedonsiirtojen opas kattaa sekä rekisterinpitäjän että käsittelijän siirtovelvoitteet ISO 27701:2025 -standardin mukaisesti.

Katso tarkastusevidenssivaatimusten opas dokumentaatiolle, jota tilintarkastajat odottavat siirtojen valvonnalta.

Max Edwards

Max toimii osana ISMS.online-markkinointitiimiä ja varmistaa, että verkkosivustomme päivitetään hyödyllisellä sisällöllä ja tiedolla kaikesta ISO 27001, 27002 ja vaatimustenmukaisuudesta.

Tee virtuaalikierros

Aloita ilmainen kahden minuutin interaktiivinen demosi nyt ja katso
ISMS.online toiminnassa!

Kokeile nyt
alustan kojelauta täysin uudenveroinen

Olemme alamme johtaja

4/5 tähteä
Käyttäjät rakastavat meitä
Johtaja - kevät 2026
Huippusuorittaja - kevät 2026 Pienyritykset Isossa-Britanniassa
Aluejohtaja - kevät 2026 EU
Aluejohtaja - kevät 2026 EMEA
Aluejohtaja - kevät 2026, Iso-Britannia
Huippusuorittaja - kevät 2026, keskikokoinen markkina-alue EMEA-alueella

"ISMS.Online, erinomainen työkalu sääntelyn noudattamiseen"

—Jim M.

"Tekee ulkoisista tarkastuksista helppoa ja yhdistää kaikki ISMS:si osat saumattomasti yhteen"

—Karen C.

"Innovatiivinen ratkaisu ISO- ja muiden akkreditointien hallintaan"

—Ben H.