Wat vereis beheer A.2.5.2?
Die organisasie moet die kliënt betyds inlig oor die basis vir PII-oordragte tussen jurisdiksies en van enige beoogde veranderinge in hierdie verband, sodat die kliënt teen sulke veranderinge beswaar kan maak of die kontrak kan beëindig.
Hierdie beheer sit binne die PII-verwerkerkontroles aanhangsel (A.2) en spreek een van die mees komplekse areas van databeskerming aan: grensoverschrijdende oordragte. Wanneer 'n verwerker PII oor jurisdiksionele grense oordra, moet die beheerder die regsgrondslag vir daardie oordrag ken. Indien die basis verander, moet die beheerder die geleentheid hê om beswaar te maak of die reëling te beëindig voordat die verandering in werking tree.
Wat sê die implementeringsriglyne van Aanhangsel B?
Aanhangsel B (afdeling B.2.5.2) verskaf die volgende riglyne:
- Dokumenteer die regsbasis — Die organisasie moet voldoening aan wetlike vereistes as basis vir die oordrag dokumenteer
- Stel kliënte in kennis van oordragte — Moet die kliënt in kennis stel van oordragte na verskaffers, ander partye, ander lande of ander organisasies
- Vooraf kennisgewing — Moet die kliënt vooraf in kennis stel sodat hulle beswaar kan maak teen veranderinge of die kontrak kan beëindig
- Kontraktuele buigsaamheidsklousules — Ooreenkomste kan klousules insluit wat die organisasie toelaat om veranderinge sonder vooraf kennisgewing te implementeer, onderhewig aan vasgestelde perke.
- Oordragmeganismes — Vir internasionale oordragte, identifiseer modelkontrakklousules, bindende korporatiewe reëls (BCR's), grensoverschrijdende privaatheidsreëls en die spesifieke lande en omstandighede wat betrokke is.
- Sien ook A.2.5.5: Kennisgewing van versoeke om persoonlike inligting (PII) vir verwante vereistes
- Sien ook A.2.5.6: Wetlik bindende PII-bekendmakings vir verwante vereistes
Die riglyne maak dit duidelik dat deursigtigheid die verstekposisie is. Die verwerker moet die beheerder proaktief inlig oor die regsbasis vir oordragte, nie wag vir die beheerder om te vra nie. Waar kontraktuele buigsaamheidsklousules bestaan, moet hulle gedefinieerde perke hê en kan nie gebruik word om die beheerder se reg op toesig te omseil nie.
Hoe pas dit by die GDPR?
Beheer A.2.5.2 karteer na die volgende BBP artikels:
- Artikel 44 — Algemene beginsel vir oordragte: oordragte vind slegs plaas indien BBP voorwaardes word nagekom
- Artikel 46 (1) — Gepaste waarborge vir oordragte in die afwesigheid van 'n toereikendheidsbesluit
- Artikel 46(2)(af) — Spesifieke waarborge, insluitend bindende korporatiewe reëls, standaard kontraktuele klousules, gedragskodes en sertifiseringsmeganismes
- Artikel 46(3)(ab) — Kontraktuele klousules en administratiewe reëlings gemagtig deur toesighoudende owerhede
- Artikel 48 — Oordragte of openbaarmakings wat nie deur die Unie-wetgewing gemagtig is nie
- Artikel 49(1)(ag) — Uitsonderings vir spesifieke situasies, insluitend uitdruklike toestemming, kontraktuele noodsaaklikheid en lewensbelangrike belange
- Artikel 49(2-6) — Voorwaardes en beperkings vir oordragte gebaseer op afwyking
Dit is een van die mees omvattende gekarteerde kontroles in die standaard, wat die kompleksiteit van GDPR se oordragraamwerk weerspieël. Verwerkers moet in staat wees om te identifiseer en te dokumenteer watter spesifieke GDPR-meganisme op elke oordrag van toepassing is.
Wat het verander van ISO 27701:2019?
Vir 'n stap-vir-stap benadering, sien die Oorgang van 2019 na 2025.
In die 2019-uitgawe is hierdie vereiste binne die breër klousulestruktuur aangespreek. Die 2025-uitgawe verskaf A.2.5.2 as 'n alleenstaande beheermaatreël met implementeringsriglyne in B.2.5.2 wat eksplisiete dekking van bindende korporatiewe reëls, modelkontrakklousules en grensoverschrijdende privaatheidsreëls as oordragmeganismes byvoeg. Sien die Aanhangsel F korrespondensietabel vir die volledige kartering.
Bevry jouself van 'n berg sigblaaie
Integreer, brei uit en skaal jou nakoming, sonder die gemors. IO gee jou die veerkragtigheid en vertroue om veilig te groei.
Watter bewyse verwag ouditeure?
Wanneer voldoening aan A.2.5.2 beoordeel word, sal ouditeure tipies kyk na:
- Oordrag-impakbeoordelings — Gedokumenteerde assesserings van die regsbasis vir elke grensoorskrydende oordrag, insluitend die spesifieke GDPR-meganisme waarop staatgemaak word
- Kennisgewings van klante — Rekords van kennisgewings wat aan kliënte gestuur is oor die basis vir oordragte, insluitend datums wat gestuur is en enige kliëntreaksies of besware
- Verander bestuursrekords — Bewyse dat kliënte vooraf in kennis gestel word van enige beoogde veranderinge aan oordragreëlings, met voldoende tyd om beswaar te maak of dit te beëindig
- Dokumentasie van oordragmeganismes — Kopieë van standaard kontraktuele klousules, bindende korporatiewe reëls, toereikendheidsbesluite of ander meganismes waarop vir elke oordrag staatgemaak word.
- Kontraktuele bepalings — Kontrakklousules wat grensoverschrijdende oordragte aanspreek, insluitend enige buigsaamheidsklousules en hul gedefinieerde perke
Wat is die verwante kontroles?
| Beheer | Verhoudings |
|---|---|
| A.2.5.3 Lande vir PII-oordrag | Dokumenteer die spesifieke lande waarheen PII oorgedra kan word |
| A.2.5.7 Openbaarmaking van subkontrakteurs | Openbaarmakings van subkontrakteurs sluit die lande in waar hulle persoonlike inligting verwerk |
| A.2.4.4 PII-oordragkontroles | Tegniese beheermaatreëls vir die beveiliging van persoonlike inligting tydens grensoverschrijdende oordrag |
| A.2.2.2 Kliëntooreenkoms | Oordragbasis en kennisgewingsprosedures moet in die kontrak gespesifiseer word |
| A.2.5.4 Rekords van PII-openbaarmakings | Grensoorskrydende oordragte na derde partye moet as openbaarmakings aangeteken word |
Op wie is hierdie beheer van toepassing?
A.2.5.2 is uitsluitlik van toepassing op PII-verwerkersBeheerders is wetlik verantwoordelik om te verseker dat grensoorskrydende oordragte voldoen aan die wetgewing oor databeskerming, maar hulle kan nie hierdie verpligting nakom sonder deursigtigheid van hul verwerkers nie. Hierdie beheer verseker dat verwerkers beheerders inlig oor die regsgrondslag vir oordragte en hulle die geleentheid gee om beswaar te maak voordat enige veranderinge in werking tree.
Bestuur al u nakoming, alles op een plek
ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.
Hoekom kies ISMS.aanlyn vir grensoverschrijdende oordragbestuur?
ISMS.aanlyn bied praktiese gereedskap vir die bestuur van grensoverschrijdende PII-oordragte:
- Oordragkartering — Karteer alle grensoverschrijdende datavloei, dokumenteer die regsbasis, oordragmeganisme en bestemmingsland vir elke oordrag
- Kennisgewingwerkvloei — Bestuur kliëntkennisgewings oor oordragreëlings en veranderinge met opgespoorde kommunikasie en reaksieopname
- Dokumentbestuur — Stoor standaard kontraktuele klousules, bindende regulasies (BCR's) en verwysings na toereikendheidsbesluite langs elke oordragrekord.
- Veranderings bestuur — Volg voorgestelde veranderinge aan oordragreëlings deur goedkeuringswerkvloeie, en verseker dat kliënte in kennis gestel word voordat veranderinge in werking tree
- Voldoeningskontroleskerm — Monitor die status van alle grensoorskrydende oordragte, hul regsbasisse en kennisgewingstatus vanuit 'n enkele aansig
Vrae & Antwoorde
Wat tel as 'n oordrag tussen jurisdiksies?
'n Oordrag tussen jurisdiksies vind plaas wanneer persoonlike inligting (PII) van een wettige jurisdiksie na 'n ander skuif. Dit sluit in fisiese oordragte (versending van media tussen lande), elektroniese oordragte (oordrag van data na bedieners in 'n ander land), afstandtoegang (wat personeel in 'n ander land toelaat om toegang tot PII te verkry wat plaaslik gestoor word) en wolkverwerking (deur wolkdienste te gebruik wat data in verskeie streke stoor of verwerk). Selfs tydelike oordragte, soos data wat deur 'n netwerknode in 'n ander jurisdiksie beweeg, kan kwalifiseer afhangende van die toepaslike wetgewing.
Hoeveel kennisgewing moet kliënte ontvang voor oordragveranderinge?
Die standaard vereis "tydige" kennisgewing, maar spesifiseer nie 'n minimum kennisgewingstydperk nie. Die kennisgewingstydperk moet voldoende wees vir die kliënt om die verandering te evalueer, enige nodige assesserings (soos 'n oordrag-impakstudie) uit te voer, en óf die verandering te aanvaar, wysigings te onderhandel óf die kontrak te beëindig. 'n Minimum van 30 dae is algemene praktyk, maar die spesifieke tydperk moet in die kontrak gedefinieer word op grond van die kompleksiteit en sensitiwiteit van die verwerking.
Kan 'n kontrak oordragte toelaat sonder vooraf kennisgewing van die kliënt?
Die Aanhangsel B-riglyne erken dat ooreenkomste klousules kan insluit wat die organisasie toelaat om veranderinge sonder vooraf kennisgewing te implementeer, maar hierdie klousules moet gedefinieerde perke hê. In die praktyk is sulke klousules tipies van toepassing op oordragte binne dieselfde wetlike raamwerk (byvoorbeeld tussen EU-lidlande waar toereikendheid outomaties is) eerder as op oordragte na jurisdiksies met aansienlik verskillende databeskermingsstandaarde. Die beheerder se reg op toesig moet nie ondermyn word deur oordrewe breë buigsaamheidsklousules nie.
ons gids vir grensoverschrijdende data-oordragte dek beide die oordragverpligtinge van beheerders en verwerkers kragtens ISO 27701:2025.
sien ons gids vir vereistes vir ouditbewyse vir die dokumentasie wat ouditeure verwag vir oordragbeheer.
