Wat vereis beheer A.2.5.3?
Die organisasie moet die lande en internasionale organisasies spesifiseer en dokumenteer waarheen PII moontlik oorgedra kan word.
Hierdie beheer sit binne die PII-verwerkerkontroles aanhangsel (A.2) en spreek 'n fundamentele deursigtigheidsvereiste aan. Beheerders moet weet waar hul data kan beland, want verskillende jurisdiksies het verskillende databeskermingsstandaarde. Sonder 'n gedokumenteerde lys van oordragbestemmings kan die beheerder nie oordragimpakassesserings uitvoer of voldoening aan grensoorskrydende oordragvereistes verseker nie.
Wat sê die implementeringsriglyne van Aanhangsel B?
Aanhangsel B (afdeling B.2.5.3) verskaf die volgende riglyne:
- Normale operasies — Lande wat betrokke is by normale bedrywighede moet aan kliënte beskikbaar gestel word
- Subkontrakteerde verwerking — Die lys moet lande insluit wat betrokke is deur middel van subkontrakteringsreëlings vir verwerking
- Oordrag van wetlike gesag — Buite normale bedrywighede mag oordragte wat deur wetlike owerhede vereis word, nie vooraf gespesifiseer word nie, of mag dit verbied word om die ondersoekvertroulikheid te bewaar.
- Sien ook A.2.5.9: Verandering van subkontrakteur om PII te verwerk vir verwante vereistes
Die riglyne tref 'n belangrike onderskeid tussen oordragte wat deel is van normale bedrywighede (wat gedokumenteer en openbaar gemaak moet word) en oordragte wat deur wetlike owerhede vereis word (wat moontlik nie voorspelbaar of openbaarbaar is nie). Vir normale bedrywighede moet die verwerker 'n omvattende lys byhou wat beide direkte oordragbestemmings en dié wat deur subkontrakteurs ingestel word, insluit.
Hoe pas dit by die GDPR?
Beheer A.2.5.3 karteer na die volgende BBP Artikel:
- Artikel 30 (2) (c) — Die rekord van verwerkingsaktiwiteite wat namens 'n beheerder uitgevoer word, moet oordragte van persoonlike data na 'n derde land of 'n internasionale organisasie bevat, insluitend die identifikasie van daardie derde land of internasionale organisasie.
BBP Artikel 30(2)(c) maak dit 'n verpligte rekordhoudingverpligting. Verwerkers moet oordragbestemmings in hul rekords van verwerkingsaktiwiteite insluit. Dit is nie opsioneel vir verwerkers met 250 of meer werknemers nie, en geld ook vir kleiner verwerkers waar die verwerking waarskynlik 'n risiko vir datasubjekte sal inhou.
Wat het verander van ISO 27701:2019?
Vir 'n stap-vir-stap benadering, sien die Oorgang van 2019 na 2025.
In die 2019-uitgawe is hierdie vereiste binne die breër klousulestruktuur aangespreek. Die 2025-uitgawe verskaf A.2.5.3 as 'n losstaande beheermaatreël met implementeringsriglyne in B.2.5.3 wat spesifiek onderskei tussen normale operasionele oordragte en wettige magtigingoordragte. Sien die Aanhangsel F korrespondensietabel vir die volledige kartering.
Begin jou gratis toets
Wil jy verken?
Sluit vandag aan vir jou gratis proeftydperk en kry al die voldoeningskenmerke wat ISMS.online kan bied, in die hand
Watter bewyse verwag ouditeure?
Wanneer voldoening aan A.2.5.3 beoordeel word, sal ouditeure tipies kyk na:
- Landregister — 'n Gedokumenteerde, bygehoue lys van alle lande en internasionale organisasies waarheen PII moontlik tydens normale bedrywighede oorgedra kan word
- Subkontrakteurdekking — Bewyse dat die landlys bestemmings insluit wat deur subkontraktering ingebring is, nie net direkte oordragte nie.
- Kliëntbeskikbaarheid — Bewyse dat die landlys aan kliënte beskikbaar gestel is, hetsy deur kontrakte, kliënteportale of direkte kommunikasie
- Rekords van verwerkingsaktiwiteite — Oordragbestemmings aangeteken in die Artikel 30(2)-rekords van verwerkingsaktiwiteite
- Werk prosedures op — 'n Gedokumenteerde proses vir die opdatering van die landlys wanneer nuwe oordragbestemmings bygevoeg word, insluitend kliëntkennisgewingprosedures
Wat is die verwante kontroles?
| Beheer | Verhoudings |
|---|---|
| A.2.5.2 Basis vir PII-oordrag | Elke gedokumenteerde land vereis 'n gedokumenteerde regsbasis vir die oordrag |
| A.2.5.7 Openbaarmaking van subkontrakteurs | Openbaarmakings van subkontrakteurs sluit die lande in waar subkontrakteurs werksaam is |
| A.2.5.8 Aanstelling van subkontrakteurs | Subkontrakteurskontrakte moet oordragbestemmings aanspreek |
| A.2.2.7 Rekords van verwerking | Oordragbestemmings is 'n vereiste element van die verwerking van rekords |
| A.2.5.4 Rekords van PII-openbaarmakings | Openbaarmakings aan organisasies in ander lande moet by die bestemmingsland aangeteken word |
Op wie is hierdie beheer van toepassing?
A.2.5.3 is uitsluitlik van toepassing op PII-verwerkersBeheerders benodig hierdie inligting om hul eie oordrag-impakstudies uit te voer en hul deursigtigheidsverpligtinge teenoor datasubjekte na te kom. As 'n verwerker nie sy kliënte kan vertel waarheen PII oorgedra kan word nie, kan die beheerder nie aan sy eie databeskermingsverpligtinge voldoen nie. Dit maak die landslys 'n fundamentele element van verwerkerdeursigtigheid.
Bestuur al u nakoming, alles op een plek
ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.
Hoekom kies ISMS.aanlyn vir oordragbestemmingsbestuur?
ISMS.aanlyn bied praktiese gereedskap vir die dokumentasie en bestuur van PII-oordragbestemmings:
- Landregister — Handhaaf 'n gesentraliseerde, weergawebeheerde register van alle lande en internasionale organisasies waarna PII oorgedra kan word
- Subkontrakteur-integrasie — Koppel subkontrakteurrekords aan hul verwerkingsliggings, wat outomaties subkontrakteurlande in jou oordragbestemmingslys insluit
- Kliënte verslagdoening — Genereer oordragbestemmingsverslae vir kliënte, wat alle lande wat betrokke is by die verwerking van hul data toon
- Veranderingopsporing — Volg byvoegings en verwyderings van die landlys met 'n volledige ouditspoor en outomatiese kliëntkennisgewingsaankondigers
- Nakomingskartering — Koppel elke oordragbestemming aan sy regsbasis (A.2.5.2 Basis vir PII-oordrag) en verwante kontraktuele bepalings vir 'n volledige nakomingsbeeld
Vrae & Antwoorde
Moet die landslys wolkverskafferstreke insluit?
Ja. Indien jou wolkinfrastruktuur in verskeie streke of beskikbaarheidsones bedryf word, moet elke land waar data gestoor of verwerk kan word, in die landlys ingesluit word. Dit sluit primêre verwerkingsliggings, oorskakelingstreke en enige liggings in wat vir datareplikasie of rugsteun gebruik word. Selfs al konfigureer jy 'n spesifieke streek, kyk of die wolkverskaffer se bepalings toelaat dat data verwerk of tydelik op ander liggings gestoor word vir operasionele redes.
Wat van oordragte wat deur wetstoepassing vereis word?
Die Aanhangsel B-riglyne erken dat oordragte wat deur wetlike owerhede vereis word, moontlik nie vooraf gespesifiseer kan word nie en moontlik verbode is om openbaarmaking te bewaar om ondersoekvertroulikheid te handhaaf. Hierdie oordragte val buite die bestek van die lys van normale bedrywighede in lande. U moet egter steeds u prosedure vir die hantering van sulke versoeke dokumenteer (gedek deur A.2.5.5 Versoeke om PII-openbaarmaking en A.2.5.6 Regsbindende Bekendmakings) en stel kliënte in kennis waar dit wettiglik toegelaat word.
Hoe gereeld moet die landelys hersien word?
Die landlys moet hersien word wanneer daar 'n verandering aan u verwerkingsinfrastruktuur, subkontrakteurreëlings of wolkverskafferkonfigurasies is. Doen ten minste 'n jaarlikse hersiening om te bevestig dat die lys akkuraat bly. Veranderinge aan die lys moet die kliëntkennisgewingsproses wat deur A.2.5.2 Basis vir PII-oordrag, wat kliënte die geleentheid gee om die implikasies te beoordeel en beswaar te maak indien nodig.
ons gids vir grensoverschrijdende data-oordragte dek beide die oordragverpligtinge van beheerders en verwerkers kragtens ISO 27701:2025.
sien ons gids vir vereistes vir ouditbewyse vir die dokumentasie wat ouditeure verwag vir oordragbeheer.
