Hvad kræver kontrol A.2.5.2?
Organisationen skal rettidigt informere kunden om grundlaget for overførsler af personoplysninger mellem jurisdiktioner og om eventuelle planlagte ændringer i denne henseende, så kunden kan gøre indsigelse mod sådanne ændringer eller opsige kontrakten.
Denne kontrol ligger inden for PII-processorkontroller bilag (A.2) og omhandler et af de mest komplekse områder inden for databeskyttelse: grænseoverskridende overførsler. Når en databehandler overfører personoplysninger på tværs af jurisdiktionsgrænser, skal den dataansvarlige kende retsgrundlaget for denne overførsel. Hvis grundlaget ændrer sig, skal den dataansvarlige have mulighed for at gøre indsigelse eller opsige aftalen, før ændringen træder i kraft.
Hvad står der i implementeringsvejledningen i bilag B?
Bilag B (afsnit B.2.5.2) indeholder følgende vejledning:
- Dokumentér det juridiske grundlag — Organisationen skal dokumentere overholdelse af lovkrav som grundlag for overførslen
- Informer kunder om overførsler — Skal informere kunden om overførsler til leverandører, andre parter, andre lande eller andre organisationer
- Forhåndsmeddelelse — Skal informere kunden på forhånd, så de kan gøre indsigelse mod ændringer eller opsige kontrakten
- Kontraktlige fleksibilitetsklausuler — Aftaler kan indeholde klausuler, der tillader organisationen at implementere ændringer uden forudgående varsel, med forbehold af definerede grænser
- Overførselsmekanismer — For internationale overførsler skal du identificere modelkontraktklausuler, bindende virksomhedsregler (BCR'er), grænseoverskridende regler for privatlivets fred og de specifikke lande og omstændigheder, der er involveret.
- Se også A.2.5.5: Meddelelse om anmodninger om videregivelse af personoplysninger for relaterede krav
- Se også A.2.5.6: Juridisk bindende oplysninger om personoplysninger for relaterede krav
Vejledningen gør det klart, at gennemsigtighed er standardpositionen. Databehandleren skal proaktivt informere den dataansvarlige om retsgrundlaget for overførsler og ikke vente på, at den dataansvarlige spørger. Hvor der findes kontraktlige fleksibilitetsklausuler, skal de have definerede grænser og kan ikke bruges til at omgå den dataansvarliges ret til tilsyn.
Hvordan relaterer dette sig til GDPR?
Kontrol A.2.5.2 knyttes til følgende GDPR artikler:
- artikel 44 — Generelt princip for overførsler: overførsler finder kun sted, hvis GDPR betingelserne er opfyldt
- Artikel 46 (1) — Passende sikkerhedsforanstaltninger for overførsler i mangel af en tilstrækkelighedsafgørelse
- Artikel 46(2)(af) — Specifikke sikkerhedsforanstaltninger, herunder bindende virksomhedsregler, standardkontraktbestemmelser, adfærdskodekser og certificeringsmekanismer
- Artikel 46(3)(ab) — Kontraktbestemmelser og administrative ordninger godkendt af tilsynsmyndighederne
- artikel 48 — Overførsler eller videregivelser, der ikke er tilladt i henhold til EU-retten
- Artikel 49(1)(ag) — Undtagelser for specifikke situationer, herunder udtrykkeligt samtykke, kontraktlig nødvendighed og vitale interesser
- Artikel 49(2-6) — Betingelser og begrænsninger for overførsler baseret på undtagelser
Dette er en af de mest omfattende kortlagte kontroller i standarden, hvilket afspejler kompleksiteten af GDPR's overførselsramme. Databehandlere skal kunne identificere og dokumentere, hvilken specifik GDPR-mekanisme der gælder for hver overførsel.
Hvad har ændret sig fra ISO 27701:2019?
For en trinvis fremgangsmåde, se Overgangen fra 2019 til 2025.
I 2019-udgaven blev dette krav behandlet inden for den bredere klausulstruktur. 2025-udgaven indeholder A.2.5.2 som en selvstændig kontrol med implementeringsvejledning i B.2.5.2, der tilføjer eksplicit dækning af bindende virksomhedsregler, modelkontraktklausuler og grænseoverskridende privatlivsregler som overførselsmekanismer. Se Bilag F korrespondancetabel for den fulde kortlægning.
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
Hvilken dokumentation forventer revisorer?
Ved vurdering af overholdelse af A.2.5.2 vil revisorer typisk se efter:
- Vurderinger af overførselskonsekvenser — Dokumenterede vurderinger af retsgrundlaget for hver grænseoverskridende overførsel, herunder den specifikke GDPR-mekanisme, der anvendes
- Kundemeddelelser — Optegnelser over meddelelser sendt til kunder om grundlaget for overførsler, herunder afsendelsesdatoer og eventuelle kundesvar eller indsigelser
- Ændring af ledelsesposter — Dokumentation for, at kunderne informeres på forhånd om eventuelle planlagte ændringer i overførselsordningerne, med tilstrækkelig tid til at gøre indsigelse eller opsige dem
- Dokumentation af overførselsmekanismer — Kopier af standardkontraktbestemmelser, bindende virksomhedsregler, tilstrækkelighedsafgørelser eller andre mekanismer, der anvendes i forbindelse med hver overførsel.
- Kontraktbestemmelser — Kontraktklausuler vedrørende grænseoverskridende overførsler, herunder eventuelle fleksibilitetsklausuler og deres definerede grænser
Hvad er de relaterede kontroller?
| kontrol | Relationship |
|---|---|
| A.2.5.3 Lande til overførsel af personoplysninger | Dokumenterer de specifikke lande, hvortil personoplysninger kan overføres |
| A.2.5.7 Oplysninger om underleverandører | Underleverandørers oplysninger omfatter de lande, hvor de behandler personoplysninger |
| A.2.4.4 PII-transmissionskontroller | Tekniske kontroller til sikring af personoplysninger under grænseoverskridende transmission |
| A.2.2.2 Kundeaftale | Overførselsgrundlag og underretningsprocedurer bør specificeres i kontrakten |
| A.2.5.4 Registrering af oplysninger om personoplysninger | Grænseoverskridende overførsler til tredjeparter bør registreres som oplysninger |
Hvem gælder denne kontrol for?
A.2.5.2 gælder udelukkende for PII-processorerDataansvarlige er juridisk ansvarlige for at sikre, at grænseoverskridende overførsler overholder databeskyttelseslovgivningen, men de kan ikke opfylde denne forpligtelse uden gennemsigtighed fra deres databehandlere. Denne kontrol sikrer, at databehandlere informerer dataansvarlige om retsgrundlaget for overførsler og giver dem mulighed for at gøre indsigelse, før ændringer træder i kraft.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Hvorfor vælge ISMS.online til håndtering af grænseoverskridende overførsler?
ISMS.online tilbyder praktiske værktøjer til håndtering af grænseoverskridende PII-overførsler:
- Overførselskortlægning — Kortlæg alle grænseoverskridende datastrømme, og dokumenter retsgrundlaget, overførselsmekanismen og destinationslandet for hver overførsel
- Meddelelsesarbejdsgange — Administrer kundemeddelelser om overførselsaftaler og ændringer med sporet kommunikation og svaroptagelse
- Dokumenthåndtering — Opbevar standardkontraktbestemmelser, bindende selskabsregler og referencer til tilstrækkelighedsbeslutninger sammen med hver overførselspost
- Forandringsledelse — Spor foreslåede ændringer af overførselsordninger via godkendelsesworkflows, og sørg for at kunderne underrettes, før ændringerne træder i kraft
- Overholdelsesdashboard — Overvåg status for alle grænseoverskridende overførsler, deres retsgrundlag og anmeldelsesstatus fra ét enkelt overblik
Ofte Stillede Spørgsmål
Hvad tæller som en overførsel mellem jurisdiktioner?
En overførsel mellem jurisdiktioner sker, når personoplysninger flyttes fra én jurisdiktion til en anden. Dette omfatter fysiske overførsler (forsendelse af medier mellem lande), elektroniske overførsler (overførsel af data til servere i et andet land), fjernadgang (hvilket giver personale i et andet land adgang til personoplysninger, der er lagret lokalt) og cloudbehandling (ved hjælp af cloudtjenester, der lagrer eller behandler data i flere regioner). Selv midlertidige overførsler, såsom data, der passerer gennem en netværksnode i en anden jurisdiktion, kan være berettigede afhængigt af gældende lov.
Hvor meget varsel skal kunderne have, før overførselsændringer?
Standarden kræver "rettidig" underretning, men specificerer ikke en minimumsvarselsperiode. Varselsperioden bør være tilstrækkelig til, at kunden kan evaluere ændringen, foretage nødvendige vurderinger (såsom en konsekvensanalyse af overførslen) og enten acceptere ændringen, forhandle ændringer eller opsige kontrakten. Minimum 30 dage er almindelig praksis, men den specifikke periode bør defineres i kontrakten baseret på behandlingens kompleksitet og følsomhed.
Kan en kontrakt tillade overførsler uden forudgående varsel til kunden?
Vejledningen i bilag B anerkender, at aftaler kan indeholde klausuler, der tillader organisationen at implementere ændringer uden forudgående varsel, men disse klausuler skal have definerede grænser. I praksis gælder sådanne klausuler typisk for overførsler inden for den samme juridiske ramme (f.eks. mellem EU-medlemsstater, hvor tilstrækkeligheden er automatisk) snarere end for overførsler til jurisdiktioner med væsentligt forskellige databeskyttelsesstandarder. Den dataansvarliges ret til tilsyn bør ikke undermineres af alt for brede fleksibilitetsklausuler.
Vores vejledning til grænseoverskridende dataoverførsler dækker både forpligtelser til overførsel af dataansvarlige og databehandlere i henhold til ISO 27701:2025.
Se vores vejledning om krav til revisionsbeviser for den dokumentation, som revisorer forventer til overførselskontroller.
