Wat vereis beheer A.1.5.4?
Die organisasie moet oordragte van PII na of van derde partye registreer en samewerking met daardie partye verseker om toekomstige versoeke met betrekking tot verpligtinge teenoor die PII-prinsipale te ondersteun.
Hierdie beheer sit binne die PII-oordrag doelwit (A.1.5) in die PII-beheerderkontroles. Terwyl A.1.5.2 Basis vir PII-oordrag identifiseer die regsgrondslag en A.1.5.3 Lande vir PII-oordrag dokumenteer die bestemmings, A.1.5.4 skep die operasionele rekord van wat werklik beweeg het.
ons gids vir grensoverschrijdende data-oordragte verskaf omvattende leiding oor die implementering van oordragbeskermingsmaatreëls kragtens ISO 27701:2025.
Wat sê die implementeringsriglyne?
Aanhangsel B (afdeling B.1.5.4) verskaf die volgende riglyne oor wat oordragrekords moet bevat:
- Watter PII is oorgedra — Die kategorieë en volume van persoonlike inligting wat in elke oordrag ingesluit is
- Aan wie — Die identiteit van die ontvangende party, insluitend hul rol (beheerder, verwerker, subverwerker)
- Wanneer — Die datum en, waar relevant, die tyd van die oordrag
- Regsgrondslag — Die gedokumenteerde basis waaronder die oordrag gemaak is
- Samewerkingsbepalings — Reëlings om te verseker dat die ontvangende party kan saamwerk aan PII-hoofversoeke, soos toegang, regstelling of uitwissing
Rekords moet gehou word vir die bewaringstydperk wat in die organisasie se databewaringsbeleid uiteengesit word. Die riglyne beklemtoon dat samewerkingsbepalings nie opsionele ekstras is nie; hulle is noodsaaklik vir die nakoming van voortgesette verpligtinge teenoor PII-prinsipale wie se data oorgedra is.
Hoe pas dit by die GDPR?
Beheer A.1.5.4 karteer na BBP Artikel 30(1)(e), wat vereis dat rekords van verwerkingsaktiwiteite inligting oor oordragte na derde lande of internasionale organisasies moet insluit, insluitend die identifikasie van die ontvanger en, waar van toepassing, die dokumentasie van geskikte waarborge.
Die samewerkingselement stem ooreen met die breër BBP vereiste vir beheerders om die uitoefening van data-onderwerpregte te fasiliteer (Artikels 12–22), selfs wanneer PII met derde partye gedeel is.
Hoe hou dit verband met ISO 29100-privaatheidsbeginsels?
Hierdie beheer ondersteun die ISO 29100 beginsel van AanspreeklikheidDie byhou van gedetailleerde oordragrekords toon dat die organisasie rekenskap kan gee van waar PII heen gegaan het en dit deur die verwerkingsketting kan naspeur wanneer vrae ontstaan.
Begin jou gratis toets
Wil jy verken?
Sluit vandag aan vir jou gratis proeftydperk en kry al die voldoeningskenmerke wat ISMS.online kan bied, in die hand
Watter bewyse verwag ouditeure?
Wanneer voldoening aan A.1.5.4 beoordeel word, sal ouditeure tipies kyk na:
- Oordrag log — 'n Chronologiese rekord van PII-oordragte wat wys wat oorgedra is, aan wie, wanneer en onder watter regsbasis
- Samewerkingsooreenkomste — Kontraktuele bepalings of gedokumenteerde reëlings wat vereis dat ontvangende partye saamwerk aan PII-hoofversoeke
- Dataverwerkingsooreenkomste — Uitgevoerde ooreenkomste met derde partye wat samewerkingsklousules vir data-onderwerpregte insluit
- Bewyse van samewerking in die praktyk — Rekords wat toon dat samewerking getoets is, byvoorbeeld wanneer 'n PII-prinsipaal hul regte uitgeoefen het en die ontvangende party bygestaan het
- Nakoming van behoudvereistes — Bewys dat oordragrekords vir die vasgestelde bewaringstydperk behou word
Wat is die verwante kontroles?
| Beheer | Verhoudings |
|---|---|
| A.1.5.2 Identifiseer die basis vir PII-oordrag | Die regsgrondslag wat gedokumenteer is in A.1.5.2 Basis vir PII-oordrag word teen elke oordrag aangeteken |
| A.1.5.3 Lande vir PII-oordrag | Oordragte moet slegs na gedokumenteerde en goedgekeurde bestemmings gaan |
| A.1.5.5 Rekords van PII-openbaarmakings | Openbaarmakingsrekords vul oordragrekords aan en dek openbaarmakings wat moontlik nie 'n formele oordrag behels nie. |
| A.1.3.7 Toegang, Regstelling of Uitwissing Toegang tot persoonlike inligting | Samewerkingsbepalings verseker dat PII-hoofde toegangsregte oor die oordragketting kan uitoefen. |
| A.1.3.7 Toegang, Regstelling of Uitwissing | Samewerking is noodsaaklik om te verseker dat uitwissingsversoeke deur ontvangende partye nagekom kan word |
| A.1.2.9 Rekords van Verwerking van PII | Oordragrekords vorm deel van die breër rekords van verwerkingsaktiwiteite |
Wat het verander van ISO 27701:2019?
In die 2019-uitgawe is hierdie vereiste gedek onder Klousule 7.5.3 (rekords van PII-oordrag). Die kernvereiste is onveranderd, maar die 2025-riglyne verskaf meer eksplisiete besonderhede oor die inhoud van oordragrekords en plaas sterker klem op samewerkingsbepalings met ontvangende partye. Die herstrukturering Aanhangsel A/B-formaat skei die beheerverklaring duideliker van die gedetailleerde implementeringsriglyne. Sien die Aanhangsel F korrespondensietabel vir die volledige kartering.
Bestuur al u nakoming, alles op een plek
ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.
Hoekom kies ISMS.aanlyn vir die opname van PII-oordragte?
ISMS.aanlyn bied doelgeboude gereedskap vir die instandhouding van omvattende oordragrekords:
- Oordrag log — Teken elke PII-oordrag aan met gestruktureerde velde vir ontvanger, PII-kategorieë, datum, regsbasis en samewerkingsstatus
- Derdepartybestuur — Koppel oordragrekords aan verskafferprofiele met aangehegte dataverwerkingsooreenkomste en samewerkingsklousules
- Opsporing van versoeke vir data-onderwerpe — Wanneer 'n PII-prinsipaal hul regte uitoefen, hul data deur die oordragketting opspoor en met ontvangende partye koördineer
- Behoudbestuur — Merk outomaties oordragrekords wat hul behoudslimiet nader vir hersiening of beskikking
- Voldoening dashboards — Sien met 'n oogopslag watter oordragte volledige dokumentasie het en watter aandag benodig
Vrae & Antwoorde
Watter vlak van detail word in oordragrekords benodig?
Oordragrekords moet gedetailleerd genoeg wees om die spesifieke PII-kategorieë wat oorgedra is, die ontvangende party, die datum en die regsbasis te identifiseer. Jy hoef nie elke individuele dataveld aan te teken nie, maar die kategorieë moet betekenisvol wees (bv. "werknemerkontakbesonderhede en betaalstaatdata" eerder as net "persoonlike data"). Die vlak van detail moet die organisasie se vermoë ondersteun om op PII-hoofversoeke te reageer en voldoening aan ouditeure te demonstreer.
Hoe moet samewerking met derde partye gedokumenteer word?
Samewerkingsbepalings moet in dataverwerkingsooreenkomste of ekwivalente kontrakte ingesluit word. Hierdie moet reaksietye vir PII-hoofversoeke, die proses vir die aanstuur van versoeke, verantwoordelikhede vir hulp met uitwissing of regstelling, en eskalasieprosedures spesifiseer. Dit is goeie praktyk om hierdie samewerkingsmeganismes gereeld te toets eerder as om te wag vir 'n lewendige versoek om te ontdek dat hulle nie werk nie.
Tel interne oordragte tussen groepmaatskappye?
Ja, indien die groepmaatskappye afsonderlike regsentiteite is. Elke regsentiteit is 'n afsonderlike beheerder of verwerker, dus is oordragte tussen hulle oordragte na derde partye vir die doeleindes van hierdie beheer. Intragroep-datadelingsooreenkomste moet dieselfde samewerkingsbepalings insluit as eksterne ooreenkomste, en die oordragte moet in die oordraglogboek aangeteken word.
sien ons gids vir vereistes vir ouditbewyse vir die spesifieke oordragdokumentasie wat ouditeure verwag.
