Hvad kræver kontrol A.1.5.2?
Organisationen skal identificere og dokumentere det relevante grundlag for overførsler af personoplysninger mellem jurisdiktioner.
Denne kontrol ligger inden for PII-overførsel målsætning (A.1.5), som sikrer, at organisationer har robuste mekanismer til at håndtere grænseoverskridende bevægelse af personoplysninger. Det er en af de sidste dataansvarligspecifikke kontroller i Bilag A og understøtter enhver anden overførselskontrol i gruppen.
Vores vejledning til grænseoverskridende dataoverførsler giver komplette retningslinjer for implementering af overførselsbeskyttelse i henhold til ISO 27701:2025.
Hvad siger implementeringsvejledningen?
Bilag B (afsnit B.1.5.2) indeholder følgende vejledning:
- Identificer de juridiske mekanismer, der er tilgængelige for internationale overførsler, såsom tilstrækkelighedsafgørelser, standardkontraktbestemmelser, bindende virksomhedsregler, udtrykkeligt samtykke eller lovbestemte undtagelser.
- Dokumentér det specifikke grundlag, der anvendes for hver overførsel af personoplysninger mellem jurisdiktioner
- Gennemgå det dokumenterede grundlag, når de juridiske rammer ændres, for eksempel når en tilstrækkelighedsafgørelse tilbagekaldes, eller ny lovgivning træder i kraft.
- Hvor der er flere mekanismer tilgængelige, skal den mest passende vælges og begrundes baseret på arten, mængden og følsomheden af de personoplysninger, der overføres.
Vejledningen gør det klart, at det sandsynligvis ikke er tilstrækkeligt blot at forlade sig på én generel mekanisme. Hver overførselsstrøm bør vurderes ud fra sine egne meritter, og det valgte grundlag bør kunne forsvares af både tilsynsmyndigheder og revisorer.
Hvordan relaterer dette sig til GDPR?
Kontrol A.1.5.2 knytter sig til en væsentlig blok af GDPR bestemmelser:
- artikel 44 — Generelt princip for internationale overførsler (overførsler kun med passende sikkerhedsforanstaltninger)
- Artikel 45(1-9) — Overførsler på grundlag af en tilstrækkelighedsafgørelse
- Artikel 46(1-5) — Overførsler underlagt passende sikkerhedsforanstaltninger (standardkontraktsklausuler, bindende selskabsregler, adfærdskodekser)
- Artikel 47(1-3) — Bindende virksomhedsregler
- artikel 48 — Overførsler, der ikke er tilladt i henhold til EU-retten
- Artikel 49(1-6) — Undtagelser i specifikke situationer (udtrykkeligt samtykke, kontraktmæssig nødvendighed, offentlig interesse)
- Artikel 30, stk. 1, litra e) — Behandlingsregistreringer skal omfatte overførsler til tredjelande
- Artikel 15 (2) — Retten til adgang omfatter oplysninger om internationale overførsler og sikkerhedsforanstaltninger
Bredden af denne kortlægning afspejler, hvordan centrale overførselsmekanismer skal GDPR Organisationer, der opererer under begge rammer, vil opleve, at opfyldelse af A.1.5.2 i høj grad er med til at opfylde kapitel V i GDPR.
Hvordan hænger dette sammen med ISO 29100-principperne for privatlivsbeskyttelse?
Denne kontrol understøtter to ISO 29100 privatlivsprincipper:
- Ansvarlighed — Dokumentation af retsgrundlaget for hver overførsel viser ansvarlighed for grænseoverskridende datastrømme
- Begrænsning af brug, opbevaring og videregivelse — Dokumentation på basis af overførsel sikrer, at personoplysninger kun videregives på tværs af grænser, hvor der er en berettiget og dokumenteret grund til at gøre det
Start din gratis prøveperiode
Vil du udforske?
Tilmeld dig din gratis prøveperiode i dag, og få fat i alle de overholdelsesfunktioner, som ISMS.online har at tilbyde
Hvilken dokumentation forventer revisorer?
Ved vurdering af overholdelse af A.1.5.2 vil revisorer typisk se efter:
- Overførselsmekanismeregister — En dokumenteret liste over alle grænseoverskridende PII-overførsler med den identificerede juridiske mekanisme for hver enkelt
- Due diligence-optegnelser — Dokumentation for, at organisationen vurderede tilstrækkeligheden af beskyttelsen i den modtagende jurisdiktion
- Udførte overdragelsesaftaler — Kopier af standardkontraktbestemmelser, bindende selskabsregler eller tilsvarende instrumenter
- Gennemgå optegnelser — Dokumentation for periodiske evalueringer, især efter ændringer i de juridiske rammer (f.eks. tilbagetrækning af afgørelser om tilstrækkelighed)
- Vurderinger af overførselskonsekvenser — Hvor det er nødvendigt, dokumenterede vurderinger af de risici, der er forbundet med specifikke overførsler
Hvad er de relaterede kontroller?
| kontrol | Relationship |
|---|---|
| A.1.5.3 Lande og internationale organisationer til overførsel af personoplysninger | Angiver, hvor PII kan overføres; grundlaget identificeret i A.1.5.2 bestemmer, hvilke destinationer der er tilladte |
| A.1.5.4 Optegnelser over overførsel af personoplysninger | Registrerer hver faktisk overførsel, baseret på det her dokumenterede grundlag |
| A.1.5.5 Registrering af videregivelse af personoplysninger til tredjeparter | Bredere oplysningsregistre, der omfatter grænseoverskridende overførsler |
| A.1.2.9 Registrering af behandling af personoplysninger | Overførselsgrundlaget indgår i de samlede registre over behandlingsaktiviteter |
| A.1.3.3 Information til PII-principaler Bestemmelse af oplysninger for PII-principper | Personoplysninger har ret til at kende overførselsgrundlaget og de gældende sikkerhedsforanstaltninger |
Hvad har ændret sig fra ISO 27701:2019?
For en trinvis fremgangsmåde, se Overgangen fra 2019 til 2025.
I 2019-udgaven var dette krav dækket under klausul 7.5.1 (identificer grundlaget for overførsel af personoplysninger mellem jurisdiktioner). Kontrollen fra 2025 er i det væsentlige den samme, men den omstrukturerede Bilag A/B-formatet giver en klarere adskillelse mellem kontrolerklæringen og implementeringsvejledningen. Vejledningen lægger nu ekstra vægt på at gennemgå overførselsmekanismer, når de juridiske rammer ændres, hvilket afspejler turbulensen i international overførselsret siden 2019. Se Bilag F korrespondancetabel for den fulde kortlægning.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Hvorfor vælge ISMS.online til håndtering af internationale PII-overførsler?
ISMS.online tilbyder praktiske værktøjer til dokumentation og håndtering af grænseoverskridende overførselsmekanismer:
- Overførselsmekanismeregister — Kortlæg alle grænseoverskridende datastrømme med deres retsgrundlag, modtagerland og sikkerhedsforanstaltninger i et centraliseret register
- Automatiske påmindelser om gennemgang — Fastsæt revisionsdatoer for overførselsmekanismer og modtag advarsler, når de juridiske rammer ændres, eller der skal foretages revisioner
- Dokumenthåndtering — Opbevar underskrevne standardkontraktkontraktbetingelser, bindende selskabsregler og konsekvensanalyser af overførsler sammen med den relevante overførselsregistrering
- Revisionsklare bevispakker — Eksport af overførselsdokumentation med fuld versionshistorik til certificeringsrevisioner
- Krydshenvisninger — Forbind overførselsregistre med behandlingsaktiviteter, vurderinger af konsekvenser for privatlivets fred og anmodninger om rettigheder for registrerede
- Reguleringskortlægning — Se, hvordan dine overførselskontroller er knyttet til GDPR, ISO 27701 og andre rammer side om side
Ofte Stillede Spørgsmål
Hvad tæller som en overførsel mellem jurisdiktioner?
Enhver flytning eller videregivelse af personoplysninger fra én jurisdiktion til en anden. Dette omfatter afsendelse af data til en cloududbyder, hvis servere er i et andet land, deling af personoplysninger med et koncernselskab i en anden jurisdiktion eller tilladelse til fjernadgang fra et andet land. Selv hvis data ikke fysisk flyttes, kan fjernadgang fra en anden jurisdiktion udgøre en overførsel i henhold til visse privatlivslove.
Hvor ofte bør overførselsmekanismer gennemgås?
Med planlagte intervaller (typisk årligt) og når der sker en væsentlig ændring i det juridiske landskab. Eksempler på udløsende faktorer omfatter en retsafgørelse, der ugyldiggør en overførselsmekanisme, en ny tilstrækkelighedsafgørelse, der udstedes eller tilbagekaldes, eller ændringer i databeskyttelseslovgivningen i den modtagende jurisdiktion. Organisationen bør også gennemgå, hvornår arten eller omfanget af overførte personoplysninger ændrer sig væsentligt.
Kan samtykke bruges som eneste grundlag for internationale overførsler?
Samtykke er en af de anerkendte overførselsmekanismer, men i henhold til GDPR behandles det som en undtagelse for specifikke situationer (artikel 49) snarere end en primær mekanisme. Det skal være eksplicit, informeret og gives frivilligt. Tilsynsmyndigheder forventer generelt, at organisationer benytter sig af mere robuste mekanismer såsom tilstrækkelighedsafgørelser eller standardkontraktsklausuler (SCC'er) til løbende, systematiske overførsler, og forbeholder samtykke til lejlighedsvise eller ikke-gentagne overførsler.
Se vores vejledning om krav til revisionsbeviser for den specifikke overførselsdokumentation, som revisorer forventer.
