Hyppää sisältöön
ISMS.online

ISO 27701:2025 -standardin mukainen valvonta A.2.5.3: Maat ja kansainväliset organisaatiot henkilötietojen siirtoa varten

Kohdan A.2.5.3 mukaan organisaatioiden on määriteltävä ja dokumentoitava maat ja kansainväliset organisaatiot, joille henkilötietoja voidaan mahdollisesti siirtää. Tämä antaa asiakkaille läpinäkyvyyttä, jota he tarvitsevat arvioidakseen omia rajat ylittävien tietovirtojen vaatimustenmukaisuusvelvoitteitaan.

kirjailija
Max Edwards
Päivitetty maaliskuu 27, 2026
4/5 tähteä

Mitä kohta A.2.5.3 edellyttää?

Organisaation on määriteltävä ja dokumentoitava maat ja kansainväliset järjestöt, joille henkilötietoja voidaan mahdollisesti siirtää.

Tämä ohjaus sijaitsee PII-käsittelijän hallintalaitteet liite (A.2) ja käsittelee perustavanlaatuista läpinäkyvyysvaatimusta. Rekisterinpitäjien on tiedettävä, minne heidän tietonsa saattavat päätyä, koska eri lainkäyttöalueilla on erilaiset tietosuojastandardit. Ilman dokumentoitua luetteloa siirtojen kohteista rekisterinpitäjä ei voi suorittaa siirtojen vaikutustenarviointeja tai varmistaa rajat ylittävien siirtojen vaatimusten noudattamista.

Mitä liitteen B täytäntöönpano-ohjeissa sanotaan?

Liitteessä B (kohta B.2.5.3) annetaan seuraavat ohjeet:

  • Normaali toiminta — Normaaliin toimintaan osallistuvien maiden tulisi olla asiakkaiden saatavilla
  • Alihankintakäsittely — Luettelon tulisi sisältää maat, jotka ovat mukana alihankintasopimusten kautta
  • Oikeudellisten toimivaltuuksien siirrot — Normaalin toiminnan ulkopuolella oikeusviranomaisten vaatimia siirtoja ei välttämättä voida määrittää etukäteen tai niiden julkistaminen voidaan kieltää tutkinnan luottamuksellisuuden säilyttämiseksi.
  • Katso myös A.2.5.9: Alihankkijan vaihto henkilötietojen käsittelyyn asiaankuuluvia vaatimuksia varten

Ohjeistus tekee tärkeän eron normaaliin toimintaan kuuluvien siirtojen (jotka on dokumentoitava ja julkistettava) ja lain edellyttämien siirtojen (jotka eivät välttämättä ole ennustettavissa tai julkistettavissa) välillä. Normaalin toiminnan osalta käsittelijän on ylläpidettävä kattavaa luetteloa, joka sisältää sekä suorat siirtokohteet että alihankkijoiden kautta toimitetut siirrot.

Miten tämä vastaa GDPR:ää?

Kontrolli A.2.5.3 vastaa seuraavaa GDPR artikkeli:

  • 30 artiklan 2 kohdan c alakohta — Rekisterinpitäjän lukuun suoritettujen käsittelytoimien selosteen on sisällettävä henkilötietojen siirrot kolmanteen maahan tai kansainväliselle järjestölle, mukaan lukien kyseisen kolmannen maan tai kansainvälisen järjestön tunnistetiedot.

GDPR Artiklan 30(2)(c) mukaan tästä on pakollinen tietojen kirjaamisvelvollisuus. Käsittelijöiden on sisällytettävä siirtokohteet käsittelytoimia koskeviin rekistereihinsä. Tämä ei ole valinnaista käsittelijöille, joilla on vähintään 250 työntekijää, ja sitä sovelletaan myös pienempiin käsittelijöihin, jos käsittely todennäköisesti aiheuttaa riskin rekisteröidyille.

Mikä muuttui standardista ISO 27701:2019?

Vaiheittaisen lähestymistavan löydät kohdasta Siirtymäkausi vuodesta 2019 vuoteen 2025.

Vuoden 2019 painoksessa tätä vaatimusta käsiteltiin laajemman lausekerakenteen sisällä. Vuoden 2025 painoksessa A.2.5.3 on oma erillisenä kontrollina, ja sen toteutusohjeissa B.2.5.3 erotetaan toisistaan ​​erityisesti normaalit operatiiviset siirrot ja laillisten valtuuksien siirrot. Katso Liitteen F vastaavuustaulukko koko kartoitusta varten.



ISMS.onlinen tehokas kojelauta

Aloita ilmainen kokeilu

Haluatko tutkia?

Rekisteröidy ilmaiseen kokeilujaksoon tänään ja pääset käyttämään kaikkia ISMS.onlinen tarjoamia yhteensopivuusominaisuuksia

Aloita


Mitä todisteita tilintarkastajat odottavat?

Arvioidessaan kohdan A.2.5.3 vaatimustenmukaisuutta tilintarkastajat etsivät tyypillisesti seuraavia seikkoja:

  • Maarekisteri — Dokumentoitu ja ylläpidetty luettelo kaikista maista ja kansainvälisistä organisaatioista, joille henkilötietoja voidaan mahdollisesti siirtää normaalin toiminnan aikana
  • Alihankkijoiden vakuutusturva — Todiste siitä, että maaluettelo sisältää alihankinnan kautta tuotuja kohteita, ei pelkästään suoria siirtoja
  • Asiakkaan saatavuus — Todiste siitä, että maaluettelo on asetettu asiakkaiden saataville joko sopimusten, asiakasportaalien tai suoran viestinnän kautta
  • Käsittelytoimien tiedot — Käsittelytoimia koskeviin 30(2) artiklan mukaisiin rekistereihin kirjatut siirtokohteet
  • Päivitysmenettelyt — Dokumentoitu prosessi maaluettelon päivittämiseksi, kun uusia siirtokohteita lisätään, mukaan lukien asiakkaille ilmoitusmenettelyt

Mitä asiaan liittyviä ohjausobjekteja on?

Valvonta: Yhteys
A.2.5.2 Henkilötietojen siirron peruste Jokainen dokumentoitu maa vaatii dokumentoidun oikeusperustan siirrolle
A.2.5.7 Alihankkijoiden julkistaminen Alihankkijoiden tiedot sisältävät maat, joissa alihankkijat toimivat
A.2.5.8 Alihankkijoiden käyttö Alihankintasopimusten on käsiteltävä siirtojen määränpäätä
A.2.2.7 Käsittelyn tiedot Siirtokohteet ovat käsittelytietojen pakollinen osa
A.2.5.4 Henkilötietojen luovutusten tiedot Muiden maiden organisaatioille tehdyt luovutukset tulee kirjata kohdemaan tietoihin.

Ketä tämä valvonta koskee?

A.2.5.3 koskee yksinomaan PII-käsittelijätRekisterinpitäjät tarvitsevat näitä tietoja voidakseen suorittaa omat siirtojen vaikutustenarviointinsa ja täyttääkseen avoimuusvelvoitteensa rekisteröityjä kohtaan. Jos käsittelijä ei voi kertoa asiakkailleen, minne henkilötietoja saatetaan siirtää, rekisterinpitäjä ei voi noudattaa omia tietosuojavelvoitteitaan. Tämä tekee maaluettelosta käsittelijän avoimuuden perustavanlaatuisen osan.



ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa

ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Varaa demo


Miksi valita ISMS.online siirtokohteiden hallintaa varten?

ISMS.online tarjoaa käytännön työkaluja henkilötietojen siirtokohteiden dokumentointiin ja hallintaan:

  • Maarekisteri — Ylläpitää keskitettyä, versiohallittua rekisteriä kaikista maista ja kansainvälisistä organisaatioista, joille henkilötietoja voidaan siirtää
  • Alihankkijoiden integrointi — Linkitä alihankkijoiden tiedot heidän käsittelypaikkoihinsa, jolloin alihankkijoiden maat sisällytetään automaattisesti siirtokohdeluetteloon
  • Asiakasraportointi — Luo asiakkaille siirtokohderaportteja, jotka näyttävät kaikki heidän tietojensa käsittelyyn osallistuvat maat
  • Muutosten seuranta — Seuraa maakohtaisia ​​lisäyksiä ja poistoja täydellisen tarkastusketjun ja automaattisten asiakasilmoitusten avulla
  • Vaatimustenmukaisuuden kartoitus — Yhdistä jokainen siirtokohde sen oikeusperustaan ​​(A.2.5.2 Henkilötietojen siirron peruste) ja siihen liittyvät sopimusmääräykset kattavan vaatimustenmukaisuuskuvan saamiseksi

UKK

Pitäisikö maaluettelon sisältää pilvipalveluntarjoajien alueet?

Kyllä. Jos pilvi-infrastruktuurisi toimii useilla alueilla tai saatavuusvyöhykkeillä, maaluetteloon tulee sisällyttää jokainen maa, jossa tietoja voidaan tallentaa tai käsitellä. Tämä sisältää ensisijaiset käsittelypaikat, vikasietoalueet ja kaikki tietojen replikointiin tai varmuuskopiointiin käytetyt sijainnit. Vaikka määrittäisit tietyn alueen, tarkista, sallivatko pilvipalveluntarjoajan ehdot tietojen käsittelyn tai väliaikaisen tallentamisen muissa paikoissa toiminnallisista syistä.

Entä lainvalvontaviranomaisten vaatimat siirrot?

Liitteessä B olevissa ohjeissa todetaan, että oikeusviranomaisten vaatimat siirrot eivät välttämättä ole etukäteen määriteltävissä ja niiden julkistaminen voidaan kieltää tutkinnan luottamuksellisuuden säilyttämiseksi. Nämä siirrot eivät kuulu normaalin toiminnan maaluettelon piiriin. Sinun tulee kuitenkin silti dokumentoida tällaisten pyyntöjen käsittelymenettelysi (jota koskevat säännöt). A.2.5.5 Henkilötietojen luovutuspyynnöt ja A.2.5.6 Oikeudellisesti sitovat tiedonannot) ja tiedottaa asiakkaille, jos se on lain mukaan sallittua.

Kuinka usein maakohtaista luetteloa tulisi tarkistaa?

Maaluetteloa tulisi tarkistaa aina, kun käsittely-infrastruktuuriin, alihankkijajärjestelyihin tai pilvipalveluntarjoajan määrityksiin tulee muutoksia. Tee vähintään vuosittainen tarkistus sen varmistamiseksi, että luettelo on edelleen ajan tasalla. Luettelon muutosten tulisi käynnistää vaatimusten mukainen asiakasilmoitusprosessi. A.2.5.2 Henkilötietojen siirron peruste, antaen asiakkaille mahdollisuuden arvioida seurauksia ja tarvittaessa vastustaa niitä.

Yhtiömme rajat ylittävien tiedonsiirtojen opas kattaa sekä rekisterinpitäjän että käsittelijän siirtovelvoitteet ISO 27701:2025 -standardin mukaisesti.

Katso tarkastusevidenssivaatimusten opas dokumentaatiolle, jota tilintarkastajat odottavat siirtojen valvonnalta.

Max Edwards

Max toimii osana ISMS.online-markkinointitiimiä ja varmistaa, että verkkosivustomme päivitetään hyödyllisellä sisällöllä ja tiedolla kaikesta ISO 27001, 27002 ja vaatimustenmukaisuudesta.

Tee virtuaalikierros

Aloita ilmainen kahden minuutin interaktiivinen demosi nyt ja katso
ISMS.online toiminnassa!

Kokeile nyt
alustan kojelauta täysin uudenveroinen

Olemme alamme johtaja

4/5 tähteä
Käyttäjät rakastavat meitä
Johtaja - kevät 2026
Huippusuorittaja - kevät 2026 Pienyritykset Isossa-Britanniassa
Aluejohtaja - kevät 2026 EU
Aluejohtaja - kevät 2026 EMEA
Aluejohtaja - kevät 2026, Iso-Britannia
Huippusuorittaja - kevät 2026, keskikokoinen markkina-alue EMEA-alueella

"ISMS.Online, erinomainen työkalu sääntelyn noudattamiseen"

—Jim M.

"Tekee ulkoisista tarkastuksista helppoa ja yhdistää kaikki ISMS:si osat saumattomasti yhteen"

—Karen C.

"Innovatiivinen ratkaisu ISO- ja muiden akkreditointien hallintaan"

—Ben H.