Mitä kohta A.2.5.4 edellyttää?
Organisaation on kirjattava henkilötietojen luovutukset kolmansille osapuolille, mukaan lukien tiedot siitä, mitä henkilötietoja on luovutettu, kenelle ja milloin.
Tämä ohjaus sijaitsee PII-käsittelijän hallintalaitteet liite (A.2) ja käsittelee kolmansille osapuolille jaetun tiedon vastuuta. Aina kun käsittelijä luovuttaa henkilötietoja kolmannelle osapuolelle, olipa kyseessä alihankkija, oikeusviranomainen, tilintarkastaja tai jokin muu vastaanottaja, on luotava tallenne. Tämän tallenteen on sisällettävä luovutettujen tietojen laajuus, vastaanottajan henkilöllisyys ja luovutuspäivämäärä.
Mitä liitteen B täytäntöönpano-ohjeissa sanotaan?
Liitteessä B (kohta B.2.5.4) annetaan seuraavat ohjeet:
- Normaali toiminta — Normaalien käsittelytoimien aikana tehdyt tietojen luovutukset, kuten siirrot alihankkijoille tai tietojen palautukset asiakkaille
- Epätavalliset tiedonannot — Kirjaa myös lisätiedot, jotka johtuvat oikeudellisista tutkimuksista tai ulkoisista tarkastuksista
- Lähde ja auktoriteetti — Asiakirjoihin tulee sisällyttää tiedot luovutuksen lähteestä (kuka sen aloitti) ja valtuutuksen lähteestä (mikä laki- tai sopimusperuste oikeutti sen)
- Katso myös A.2.5.2: Perusteet henkilötietojen siirrolle lainkäyttöalueiden välillä asiaankuuluvia vaatimuksia varten
- Katso myös A.2.5.8: Alihankkijan palkkaaminen henkilötietojen käsittelyyn asiaankuuluvia vaatimuksia varten
Ohjeistus tekee selväksi, että tiedonantorekisterien on katettava sekä rutiininomaiset että epärutiiniset tiedonannot. Rutiininomaisiin tiedonannoksiin kuuluvat säännölliset tiedonsiirrot alihankkijoille osana normaalia käsittelyä. Epärutiinisiin tiedonannoksiin kuuluvat vastaukset viranomaisten pyyntöihin, ulkoisen tarkastuksen pääsy ja muu henkilötietojen ad hoc -jakaminen kolmansille osapuolille.
Miten tämä vastaa GDPR:ää?
Kontrolli A.2.5.4 vastaa seuraavaa GDPR artikkeli:
- 30 artiklan 1 kohdan d alakohta — Käsittelytoimien selosteen on sisällettävä vastaanottajaryhmät, joille henkilötietoja on luovutettu tai luovutetaan, mukaan lukien kolmansissa maissa olevat vastaanottajat tai kansainväliset järjestöt.
Vaikka GDPR Artikla 30 edellyttää vastaanottajaluokkien kirjaamista, kun taas ISO 27701 A.2.5.4 menee pidemmälle vaatimalla tiettyjen luovutusten kirjaamista, mukaan lukien tarkalleen, mitä henkilötietoja on luovutettu, mille vastaanottajalle ja minä päivänä. Tämä tarjoaa yksityiskohtaisemman auditointipolun kuin GDPR:n vähimmäisvaatimus.
Mikä muuttui standardista ISO 27701:2019?
Vaiheittaisen lähestymistavan löydät kohdasta Siirtymäkausi vuodesta 2019 vuoteen 2025.
Vuoden 2019 painoksessa tätä vaatimusta käsiteltiin laajemman lausekerakenteen sisällä. Vuoden 2025 painoksessa A.2.5.4 on omana erillisenä kontrollina, ja sen toteutusohjeita on kohdassa B.2.5.4, joka käsittelee erityisesti oikeudellisten tutkimusten ja ulkoisten tarkastusten yhteydessä tehtyjen epätavanomaisten tietojen kirjaamista ja edellyttää, että tiedoissa mainitaan tiedonantolähde ja auktoriteetti. Katso Liitteen F vastaavuustaulukko koko kartoitusta varten.
Aloita helposti henkilökohtaisella tuote-esittelyllä
Yksi perehdytysasiantuntijoistamme opastaa sinua alustamme läpi ja auttaa sinua alkuun luottavaisin mielin.
Mitä todisteita tilintarkastajat odottavat?
Arvioidessaan kohdan A.2.5.4 vaatimustenmukaisuutta tilintarkastajat etsivät tyypillisesti seuraavia seikkoja:
- Tietojen luovutusrekisteri — Ylläpidetty rekisteri tai loki kaikista henkilötietojen luovutuksista kolmansille osapuolille, ja merkinnät jokaisesta luovutustapahtumasta.
- Tietueiden täydellisyys — Jokaisen tietueen tulee sisältää: luovutettujen henkilötietojen luokat tai erityiset tiedot, vastaanottajan henkilöllisyys, luovutuksen päivämäärä ja kellonaika, luovutuksen lähde (kuka sen aloitti) ja luovutuksen valtuutus (oikeusperusta tai sopimusmääräys)
- Rutiininomainen ja epäsäännöllinen kattavuus — Todiste siitä, että rekisteri kattaa sekä rutiininomaiset operatiiviset tiedonannot (kuten alihankkijoiden siirrot) että epärutiiniset tiedonannot (kuten viranomaispyynnöt ja tarkastusoikeudet)
- Tietojen säilyttäminen — Tietojen luovutusta koskevat tiedot säilytetään sovellettavan lain ja asiakassopimuksen edellyttämän ajan
- Asiakasraportointi — Todiste siitä, että tiedonantotiedot voidaan toimittaa asiakkaille pyynnöstä, jotta he voivat täyttää omat avoimuusvelvoitteensa
Mitä asiaan liittyviä ohjausobjekteja on?
| Valvonta: | Yhteys |
|---|---|
| A.2.5.5 Henkilötietojen luovutuspyyntöjen ilmoittaminen | Asiakkaille on ilmoitettava oikeudellisesti sitovista tiedonantopyynnöistä, jotka on myös kirjattava. |
| A.2.5.6 Oikeudellisesti sitovat henkilötietojen luovutukset | Oikeudellisesti sitovat ilmoitukset on kirjattava sen oikeusviranomaisen kirjaamaan, joka ne pakotti tekemään |
| A.2.5.7 Alihankkijoiden julkistaminen | Alihankkijoiden tiedonannot ovat kolmannen osapuolen tiedonantojen luokka, joka edellyttää asiakirjojen kirjaamista. |
| A.2.2.7 Käsittelyn tiedot | Tietojen luovutusta koskevat tiedot ovat osa laajempia käsittelytietoja |
| A.2.5.3 Maat, joihin henkilötietoja siirretään | Muissa maissa oleville vastaanottajille annettavien tietojen tulee viitata maakohtaiseen rekisteriin |
Ketä tämä valvonta koskee?
A.2.5.4 koskee yksinomaan PII-käsittelijätKäsittelijät luovuttavat säännöllisesti henkilötietoja kolmansille osapuolille osana toimintaansa, joko alihankkijasopimusten, asiakkaille palautettujen tietojen, viranomaisille annettujen vastausten tai ulkoisen tarkastuksen kautta. Ilman näiden luovutusten järjestelmällistä kirjaa käsittelijä tai rekisterinpitäjä eivät voi osoittaa vastuullisuutta siitä, miten henkilötietoja on jaettu.
Vapauta itsesi laskentataulukoiden vuorten vallasta
Ota käyttöön, laajenna ja skaalaa vaatimustenmukaisuus ilman sotkua. Io antaa sinulle joustavuutta ja luottamusta kasvaa turvallisesti.
Miksi valita ISMS.online henkilötietojen paljastumisen seurantaa varten?
ISMS.online tarjoaa käytännön työkaluja henkilötietojen paljastusten kirjaamiseen ja hallintaan:
- Tietojen luovutusrekisteri — Ylläpidä keskitettyä rekisteriä kaikista henkilötietojen paljastuksista, joissa on jäsennellyt kentät henkilötietojen luokille, vastaanottajan henkilöllisyydelle, päivämäärälle, lähteelle ja viranomaiselle
- Automatisoitu lokikirjaus — Luo työnkulun laukaisimista tiedonantotietoja varmistaen, että rutiininomaiset tiedonannot tallennetaan järjestelmällisesti ilman manuaalisia toimia
- Valtuuksien seuranta — Yhdistä jokainen luovutus sen oikeusperustaan tai sopimusmääräykseen ja osoita, että jokainen luovutus oli valtuutettu
- Asiakasraportointi — Luo yksittäisille asiakkaille raportteja, jotka näyttävät kaikki heidän henkilötietojensa luovutukset kolmansille osapuolille
- Tarkastusvalmius — Esitä tiedonantotiedot jäsennellyssä muodossa sisäisiä ja ulkoisia tarkastuksia varten, suodattimilla päivämäärän, vastaanottajan, henkilötietojen luokan ja viranomaisen mukaan
UKK
Mikä lasketaan luovutukseksi kolmannelle osapuolelle?
Tietojen luovuttaminen tapahtuu aina, kun henkilötietoja asetetaan organisaation ulkopuolisen tahon saataville. Tähän sisältyvät: siirrot alihankkijoille käsittelyä varten; tietojen palautus asiakkaalle (rekisterinpitäjälle); vastaukset lainvalvontaviranomaisten pyyntöihin; ulkoisille tilintarkastajille annettu käyttöoikeus; jakaminen muiden käsittelijöiden tai rekisterinpitäjien kanssa; ja kaikki muut tilanteet, joissa henkilötiedot poistuvat organisaation hallinnasta. Organisaation sisäisiä osastojen tai järjestelmien välisiä sisäisiä siirtoja ei katsota luovutuksiksi kolmansille osapuolille, mutta siirrot konsernin erillisille oikeushenkilöille voivat olla.
Kuinka yksityiskohtaisia selvitysten tulisi olla?
Tietojen tulisi vähintäänkin sisältää seuraavat tiedot: mitä henkilötietoja luovutettiin (kategoriat tai tietyt tietoelementit); kenelle (tietty vastaanottajaorganisaatio); milloin (päivämäärä ja kellonaika); kuka aloitti luovutuksen; ja millä viranomaisen nojalla se tehtiin (sopimuslauseke, lakisääteinen vaatimus tai asiakkaan ohje). Epätavallisten luovutusten, kuten viranomaispyyntöjen, osalta lisätietoja tulisi olla pyynnön viitenumero, viitattu lakisääteinen säännös ja mahdolliset asiakkaan ilmoittamista koskevat rajoitukset.
Kuinka kauan tiedonantoasiakirjoja tulisi säilyttää?
Tietojen luovutusta koskevien tietojen säilytysaikojen tulee olla yhdenmukaisia sovellettavan tietosuojalainsäädännön (yleinen tietosuoja-asetus ei määrittele säilytysaikaa, mutta edellyttää, että tiedot ovat valvontaviranomaisen saatavilla pyynnöstä), asiakassopimuksen (jossa voidaan määrittää säilytysaika) ja organisaation oman säilytyskäytännön kanssa. Yleinen lähestymistapa on säilyttää tiedonluovutustietoja käsittelysuhteen keston ajan sekä ajanjakson, joka riittää mahdollisten oikeudellisten vaatimusten kattamiseksi (yleensä 6 vuotta Isossa-Britanniassa). Tietoja ei tule tuhota, kun asiaan liittyvä tutkinta tai riita on kesken.
Yhtiömme tarkastusevidenssivaatimusten opas kattaa tilintarkastajien edellyttämät tiedonantoasiakirjat.
Katso toimittajien arviointiopas siitä, miten asiakkaat arvioivat käsittelijän tiedonantokäytäntöjä.
