Wat vereis beheer A.1.5.3?
Die organisasie moet die lande en internasionale organisasies spesifiseer en dokumenteer waarheen PII moontlik oorgedra kan word.
Hierdie beheer sit binne die PII-oordrag doelwit (A.1.5) in die PII-beheerderkontroles. waar A.1.5.2 Basis vir PII-oordrag handel oor die wetlike meganisme, A.1.5.3 fokus op die dokumentasie van presies waar PII kan beland.
ons gids vir grensoverschrijdende data-oordragte verskaf omvattende leiding oor die implementering van oordragbeskermingsmaatreëls kragtens ISO 27701:2025.
Wat sê die implementeringsriglyne?
Aanhangsel B (afdeling B.1.5.3) verskaf die volgende riglyne:
- Hou 'n register by van alle lande en internasionale organisasies waarna PII oorgedra kan word
- Oorweeg die toereikendheidstatus van elke bestemmingsjurisdiksie wanneer bepaal word of oordragte toelaatbaar is.
- Maak inligting oor oordragbestemmings beskikbaar aan PII-hoofde, hetsy direk of deur gepubliseerde privaatheidsdokumentasie
- Hou die register op datum soos nuwe oordragbestemmings bygevoeg of bestaande verwyder word
Die praktiese effek is dat organisasies nie internasionale oordragte as 'n swart boks kan hanteer nie. Elke potensiële bestemming moet sigbaar, geassesseer en gedokumenteer wees voordat enige persoonlike inligting daarheen vloei.
Hoe pas dit by die GDPR?
Beheer A.1.5.3 karteer na twee sleutels GDPR-bepalings:
- Artikel 15 (2) — Die betrokke persoon het die reg om ingelig te word oor die lande waarheen hul persoonlike data oorgedra word en die toepaslike waarborge wat in plek is.
- Artikel 30(1)(e) — Rekords van verwerkingsaktiwiteite moet oordragte na derde lande of internasionale organisasies insluit, tesame met die dokumentasie van geskikte waarborge.
Onder BBP, moet hierdie inligting geredelik beskikbaar wees vir beide datasubjekte en toesighoudende owerhede op versoek.
Hoe hou dit verband met ISO 29100-privaatheidsbeginsels?
Hierdie beheer ondersteun die ISO 29100 beginsel van AanspreeklikheidDie byhou van 'n gedokumenteerde register van oordragbestemmings toon dat die organisasie weet waarheen PII gaan en doelbewuste stappe geneem het om elke bestemming te assesseer en goed te keur.
Bevry jouself van 'n berg sigblaaie
Integreer, brei uit en skaal jou nakoming, sonder die gemors. IO gee jou die veerkragtigheid en vertroue om veilig te groei.
Watter bewyse verwag ouditeure?
Wanneer voldoening aan A.1.5.3 beoordeel word, sal ouditeure tipies kyk na:
- Landregister — ’n Gedokumenteerde, opgedateerde lys van alle lande en internasionale organisasies waarna PII oorgedra kan word
- Toereikendheidsassesserings — Bewyse dat die toereikendheidstatus van elke bestemming oorweeg en aangeteken is
- Privaatheidskennisgewings — Gepubliseerde privaatheidsdokumentasie wat PII-hoofde inlig oor die lande waar hul data verwerk kan word
- Verander rekords — Bewyse dat die register opgedateer word wanneer nuwe bestemmings bygevoeg word, byvoorbeeld wanneer 'n nuwe wolkverskaffer of subverwerker aangestel word
- Belyning met oordragrekords — Dat werklike oordragte (aangeteken onder A.1.5.4 Rekords van PII-oordrag) gaan slegs na gedokumenteerde bestemmings
Wat is die verwante kontroles?
| Beheer | Verhoudings |
|---|---|
| A.1.5.2 Identifiseer die basis vir PII-oordrag | Die wetlike basis bepaal watter lande toelaatbare bestemmings is |
| A.1.5.4 Rekords van oordrag van persoonlike inligting | Werklike oordragrekords moet ooreenstem met die goedgekeurde bestemmingslys |
| A.1.5.5 Rekords van PII-openbaarmakings | Openbaarmakings aan derde partye in ander jurisdiksies moet gedokumenteer word |
| A.1.3.3 Inligting vir PII-hoofde Bepaling van inligting vir PII-hoofde | Oordragbestemmings is deel van die inligting wat aan individue verskaf moet word |
| A.1.2.9 Rekords van Verwerking van PII | Die bestemmingsregister word in die algehele verwerkingsrekords ingesluit |
Wat het verander van ISO 27701:2019?
Vir 'n stap-vir-stap benadering, sien die Oorgang van 2019 na 2025.
In die 2019-uitgawe is hierdie vereiste gedek onder Klousule 7.5.2 (lande en internasionale organisasies waarna PII oorgedra kan word). Die inhoud is onveranderd, maar die 2025-herstrukturering bied 'n duideliker skakel tussen die beheerverklaring (A.1.5.3) en implementeringsriglyne (B.1.5.3). Die klem op die beskikbaarstelling van bestemmingsinligting aan PII-prinsipale bly 'n kernvereiste. Sien die Aanhangsel F korrespondensietabel vir die volledige kartering.
Bestuur al u nakoming, alles op een plek
ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.
Hoekom kies ISMS.aanlyn vir die opsporing van PII-oordragbestemmings?
ISMS.aanlyn gee jou die gereedskap om 'n duidelike, ouditeerbare rekord te handhaaf van waar PII heen gaan:
- Oordragbestemmingsregister — Handhaaf 'n gesentraliseerde lys van goedgekeurde lande en organisasies met toereikendheidstatus en hersieningsdatums
- Subverwerker-opsporing — Koppel elke derdeparty-verwerker aan die lande waar hulle werksaam is, met outomatiese vlaggewing wanneer 'n nuwe bestemming bekendgestel word
- Integrasie van privaatheidskennisgewing — Hou privaatheidsdokumentasie in lyn met die goedgekeurde bestemmingslys deur middel van gekoppelde rekords
- Hersien werkvloeie — Stel geskeduleerde hersienings vir elke bestemming en ontvang waarskuwings wanneer toereikendheidsbesluite of wetlike raamwerke verander.
- Ouditbewyse — Voer die volledige bestemmingsregister met veranderingsgeskiedenis uit vir sertifiseringsoudits en regulatoriese navrae
Vrae & Antwoorde
Moet ons elke land lys waarin 'n wolkverskaffer werk?
Ja, as PII vanaf daardie plekke gestoor of verkry kan word. Wolkverskaffers verwerk dikwels data oor verskeie streke en mag ondersteuningspersoneel in lande hê wat verskil van waar data gehuisves word. Jy moet met jou verskaffers saamwerk om 'n definitiewe lys te kry van alle lande waar PII verwerk, gestoor of verkry kan word, en elkeen in jou register insluit.
Wat as die lys van lande gereeld verander?
Die register moet 'n lewende dokument wees. Bou 'n proses om dit op te dateer wanneer 'n nuwe oordragbestemming voorgestel word, byvoorbeeld deur verkrygings- of verskaffer-aanboordwerkvloeie. Elke verandering moet beoordeel word teen die oordragbasis wat gedokumenteer is onder A.1.5.2 Basis vir PII-oordrag, en privaatheidskennisgewings moet opgedateer word om die huidige posisie te weerspieël.
Geld dit vir oordragte binne die EU/EER?
Ingevolge die AVG word oordragte binne die EU/EER nie as internasionale oordragte beskou nie en vereis nie 'n spesifieke oordragmeganisme nie. ISO 27701 volg egter 'n breër, jurisdiksie-neutrale benadering. Goeie praktyk is om alle lande waar persoonlike inligting verwerk word, te dokumenteer, selfs binne die EER, aangesien ander toepaslike wette (bv. nasionale implementeringswetgewing) addisionele vereistes mag hê.
sien ons gids vir vereistes vir ouditbewyse vir die spesifieke oordragdokumentasie wat ouditeure verwag.
