policy ISO 27701 PIMS Policy Pack

Henkilötietojen kansainvälisten siirtojen politiikka

Hallinnoi henkilötietojen kansainvälisiä siirtoja REG09-todentavan aineiston, siirtoperusteiden, siirtoriskin arviointien, tietojen edelleen siirtämisen hallintatoimien, keskeyttämisen ja auditointivalmiutta tukevien tallenteiden avulla.

Yleiskatsaus

Tämä politiikka hallinnoi henkilötietojen kansainvälisiä siirtoja REG09-todentavan aineiston, hyväksyttyjen siirtoperusteiden, siirtoriskin arvioinnin, henkilötietojen käsittelijöiden ja alikäsittelijöiden valtuutuksen, tietojen edelleen siirtämistä koskevien hallintatoimien, keskeytyssääntöjen, poikkeusten ja auditointivalmiutta tukevien korjaavien toimenpiteiden tallenteiden avulla.

Siirtoa koskeva todentava aineisto ennen käyttöä

Edellyttää REG09-siirtotallenteita, siirtoperusteita ja niitä tukevaa todentavaa aineistoa ennen uusien tai olennaisesti muuttuneiden henkilötietojen kansainvälisten siirtojen aloittamista.

Riskiperusteinen siirron hallinta

Määrittää katselmointi-, suojatoimi-, jäännösriski- ja hyväksyntävaiheet suuremman riskin tai olennaisesti muuttuneille henkilötietojen kansainvälisille siirroille.

Henkilötietojen käsittelijöiden ja edelleen siirtämisen hallinnointi

Hallitsee henkilötietojen käsittelijöitä, alikäsittelijöitä, asiakkaan valtuutusta, ketjutettavia ehtoja ja tietojen edelleen siirtämistä koskevaa todentavaa aineistoa REG08:n ja REG09:n kautta.

Lue koko yleiskatsaus (click to expand)
Henkilötietojen kansainvälisten siirtojen politiikka määrittää vaatimukset henkilötietojen kansainvälisten siirtojen tunnistamiselle, hyväksymiselle, kirjaamiselle, katselmoinnille, rajoittamiselle ja keskeyttämiselle. Sitä sovelletaan rekisterinpitäjän, yhteisrekisterinpitäjän, henkilötietojen käsittelijän ja alikäsittelijän toimintoihin, joissa henkilötietoja asetetaan saataville, käytetään, säilytetään, ylläpidetään, luovutetaan tai muutoin siirretään REG02:ssa tai REG09:ssä kirjatun hyväksytyn käsittelyrajan ulkopuolelle. Soveltamisala kattaa sisäiset konserniyhtiöt, ulkoiset vastaanottajat, henkilötietojen käsittelijät, alikäsittelijät, palveluntarjoajat, tukipääsyn, hosting-sijainnit, etähallinnan, tietojen edelleen siirtämisen, viranomaisen luovutuspyynnöt ja siirtoihin liittyvät palvelumuutokset. Politiikan keskeinen piirre on todentavaan aineistoon perustuva lähestymistapa. Politiikassa todetaan, että kansainväliset siirrot on tunnistettava ennen käsittelyn alkamista tai muuttumista ja että hyväksytyt siirtotallenteet on ylläpidettävä REG09:ssä. REG09 on ensisijainen siirron näyttöobjekti, ja REG02, REG08 ja REG12 tuottavat sitä tukevaa todentavaa aineistoa käsittelytoimista, toimittaja- ja käsittelijäsuhteista, poikkeuksista, poikkeamista, korjaavista toimenpiteistä ja johdon katselmoinnista. Vaadittuihin REG09-kenttiin kuuluvat siirron kohde, vastaanottaja, PIMS-rooli, siirtoperuste, sitä tukeva todentava aineisto, katselmointipäivä ja omistaja. Rakenteen tarkoituksena on auttaa organisaatiota osoittamaan vastuullinen siirtojen hallinnointi ilman päällekkäisten siirtovaikutusten arviointien tai SCC-rekisterien luomista. Politiikka määrittää hallintatoimet siirtoperusteen valinnalle, hyväksynnälle ja siirtoriskin arvioinnille. Rekisterinpitäjän siirroissa tietosuojavastaava/PIMS-päällikkö kirjaa hyväksytyn siirtoperusteen ja sitä tukevan todentavan aineiston REG09:ään ennen siirron alkamista. Tietosuojavastaava/tietosuojaneuvonantaja katselmoi siirtoperustetta koskevan todentavan aineiston ennen uusien, olennaisesti muuttuneiden tai suuremman riskin henkilötietojen kansainvälisten siirtojen hyväksyntää ja tekee siirtoriskin arvioinnin, kun se käynnistyy. Kun teknisiin suojatoimiin tukeudutaan, tietoturvavastaava kirjaa teknisen suojatoimiriippuvuuden tilan REG09:ään tai REG12:een. Jos siirron jäännösriski on korkea, ylimmän johdon on hyväksyttävä siirtotoiminnan jatkaminen REG12:ssa ennen riskin hyväksymistä. Myös henkilötietojen käsittelijöiden, alikäsittelijöiden ja tietojen edelleen siirtämisen hallinnointi käsitellään. Toimittaja-/hankintavastaavan on hankittava dokumentoitu asiakkaan valtuutus tai asiakkaan ohje REG08:ssa ja REG09:ssä ennen henkilötietojen käsittelijän toteuttamien henkilötietojen kansainvälisten siirtojen aloittamista, kirjattava alikäsittelijän valtuutus ja ketjutettavat siirtoehdot sekä estettävä henkilötietojen käsittelijän tai alikäsittelijän tietojen edelleen siirtäminen, kunnes asiakkaan valtuutus on kirjattu. Politiikka edellyttää myös, että tietojen edelleen siirtämisen reitit, vastaanottajaluokat, rajoitukset ja velvoitteet kirjataan ennen hyväksyntää. Ulkomaisten viranomaisten luovutuspyynnöt on kirjattava REG09:ään tai REG12:een ennen luovutusta, kun se on käytännössä mahdollista, tai yhden liiketoimintapäivän kuluessa, jos ennakkokirjaus ei ole käytännössä mahdollista. Tietosuojan kannalta merkittävät pyynnöt on toimitettava tietosuojaneuvonantajan katselmoitavaksi, kun se on käytännössä mahdollista. Jatkuva hallinnointi toteutetaan määritettyjen katselmointi-, mittaus-, poikkeus- ja soveltamisvaatimusten kautta. Aktiiviset siirtotallenteet katselmoidaan vähintään vuosittain ja 30 päivän kuluessa olennaisesta siirtoa koskevasta muutoksesta, ja tietosuojavastaava/PIMS-päällikkö katselmoi viivästyneet siirtojen katselmoinnit, puutteelliset tallenteet, keskeytetyt siirrot ja avoimet siirtopoikkeukset vähintään neljännesvuosittain. Mittareihin kuuluvat niiden aktiivisten REG09-tallenteiden prosenttiosuus, joissa siirtoperustetta koskeva todentava aineisto on täydellinen, viivästyneet siirtojen katselmoinnit, keskeytetyt tai lykätyt siirrot, viivästynyt henkilötietojen käsittelijää tai kolmatta osapuolta koskeva todentava aineisto sekä vastaamattomat REG02-käsittelytoimet, joissa on mahdollisia kansainvälisen siirron indikaattoreita. Poikkeukset on kirjattava REG12:een ennen niiden aktivoitumista, niille on nimettävä omistaja, päättymispäivä, korvaava kontrolli ja katselmointitiheys, ja ne on katselmoitava vähintään kuukausittain sulkemiseen saakka. Poikkeamat on kirjattava, kun havaitaan kirjaamattomia siirtoja, tukemattomia siirtoperusteita, puuttuvaa valtuutusta, viivästyneitä katselmointeja, puuttuvaa tietojen edelleen siirtämistä koskevaa todentavaa aineistoa tai luvatonta jatkamista.

Käytäntökaavio

Prosessikaavio, joka kuvaa henkilötietojen kansainvälisten siirtojen hallinnointia: tunnista siirto REG02:ssa tai REG08:ssa, luo tai päivitä REG09, kirjaa siirtoperuste ja todentava aineisto, tee riskien ja suojatoimien arviointi, hyväksy tai estä siirto, hallitse tietojen edelleen siirtämistä ja viranomaisten luovutuspyyntöjä, katselmoi tallenteet, keskeytä tai korjaa puutteet ja kirjaa poikkeukset tai korjaavat toimenpiteet REG12:een.

Napsauta kaaviota nähdäksesi sen täydessä koossa

Sisältö

Kansainvälisen siirron soveltamisala ja olennaisen muutoksen kriteerit

REG09-siirtotallenteet ja niitä tukeva todentava aineisto

Siirtoperusteen valintaa ja hyväksyntää koskevat vaatimukset

Siirtoriskin arviointi, suojatoimet ja jäännösriskin käsittely

Tietojen edelleen siirtäminen ja ulkomaisten viranomaisten luovutuspyynnöt

Siirtojen katselmointi, keskeyttäminen, poikkeukset ja soveltaminen

Kehysmääräysten noudattaminen

🛡️ Tuetut standardit ja kehykset

Tämä tuote on linjassa seuraavien vaatimustenmukaisuuskehysten kanssa, yksityiskohtaisilla lauseke- ja valvontamappingeillä.

Kehys Katetut lausekkeet / Kontrollit
ISO/IEC 27701:2025
Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.1.2.8Annex A.1.2.9Annex A.1.5.2Annex A.1.5.3Annex A.1.5.4Annex A.1.5.5Annex A.2.2.2Annex A.2.2.3Annex A.2.2.7Annex A.2.5.2Annex A.2.5.3Annex A.2.5.4Annex A.2.5.5Annex A.2.5.6
EU GDPR
Article 5(2)Article 24Article 26Article 28Article 30Article 44Article 45Article 46Article 47Article 48Article 49
ISO/IEC 29100:2020
Clause 5.6Clause 5.10Clause 5.12
ISO/IEC 29151:2022
Annex A.7

Liittyvät käytännöt

Käsittelytoimien luettelon ja oikeusperusteen politiikka

Siirtojen hallinnointi riippuu käsittelytoimien luettelossa olevista tarkoista käsittelytallenteista, hyväksytyistä rajoista ja oikeusperustetta koskevista tiedoista.

Tietosuojariskien arvioinnin ja DPIA:n politiikka

Siirtoriskin arviointi ja suuremman riskin siirtoja koskevat päätökset ovat yhdenmukaisia tietosuojariskien arvioinnin ja DPIA-hallinnoinnin kanssa.

Keräämisen, käytön, luovutuksen ja jakamisen politiikka

Kansainväliset siirrot liittyvät läheisesti henkilötietojen vastaanottajia ja reittejä koskeviin luovutus- ja jakamishallintatoimiin.

Henkilötietojen käsittelijöiden, alikäsittelijöiden ja kolmansien osapuolten tietosuojahallinnan politiikka

Henkilötietojen käsittelijöiden, alikäsittelijöiden ja kolmansien osapuolten valtuutus sekä ketjutettava todentava aineisto ovat siirron hyväksynnän keskeisiä vaatimuksia.

Tietoturva- ja pääsynhallintapolitiikka

Siirtojen hyväksynnät voivat perustua teknisiin suojatoimiin ja pääsynhallintaan, jotka on vahvistettava ennen hyväksyntää.

PIMS:n dokumentoidun tiedon ja todentavan aineiston hallintapolitiikka

Politiikka perustuu dokumentoituihin näyttöobjekteihin, kuten REG02, REG08, REG09 ja REG12, siirtojen osoitusvelvollisuuden tukemiseksi.

Tietoa Clarysecin käytännöistä - Henkilötietojen kansainvälisten siirtojen politiikka

Henkilötietojen kansainvälisten siirtojen politiikka määrittää todentavaan aineistoon perustuvan tietosuojan hallinnointitavan rajat ylittäville henkilötietojen siirroille. Se osoittaa vastuun ylimmälle johdolle, tietosuojavastaavalle/PIMS-päällikölle, tietosuojavastaavalle/tietosuojaneuvonantajalle, prosessien omistajille, toimittaja-/hankintavastaaville, tietoturvalle sekä sisäisen tarkastuksen / vaatimustenmukaisuuden katselmoijille. Politiikka käyttää REG09:ää ensisijaisena siirron näyttöobjektina, jota REG02, REG08 ja REG12 tukevat, siirtojen kohteiden, vastaanottajien, PIMS-roolien, siirtoperusteiden, suojatoimien, katselmointipäivien, poikkeusten, poikkeamien ja korjaavien toimenpiteiden dokumentointiin. Sitä sovelletaan rekisterinpitäjän, yhteisrekisterinpitäjän, henkilötietojen käsittelijän ja alikäsittelijän tilanteissa, ja se tukee siirtojen hyväksyntöjen, tietojen edelleen siirtämisen, viranomaisen luovutuspyyntöjen, keskeytysten ja säännöllisten katselmointien vastuullista hallintaa.

Selkeä siirron raja

Sovelletaan, kun henkilötietoihin päästään, niitä ylläpidetään, luovutetaan tai siirretään hyväksytyn REG02- tai REG09-käsittelyrajan ulkopuolelle.

REG09-näyttömalli

Edellyttää siirron kohteen, vastaanottajan, roolin, siirtoperusteen, todentavan aineiston, katselmointipäivän ja omistajan kirjaamista ennen hyväksyntää.

Määritetty roolien vastuunjako

Osoittaa tehtävät tietosuojan, liiketoiminnan, hankinnan, tietoturvan, auditoinnin ja ylimmän johdon rooleille.

Keskeyttäminen ja korjaavat toimenpiteet

Edellyttää keskeyttämistä tai lykkäämistä, kun siirtoperusteet, valtuutukset, suojatoimet tai kohdetta koskeva todentava aineisto puuttuvat tai eivät ole voimassa.

Usein kysytyt kysymykset

Suunniteltu johtajille, johtajien toimesta

Tämän käytännön on laatinut tietoturvajohtaja, jolla on yli 25 vuoden kokemus ISMS-viitekehysten käyttöönotosta ja auditoinnista globaaleissa organisaatioissa. Se ei ole pelkkä asiakirja, vaan puolustettava viitekehys, joka kestää auditorin tarkastelun.

Laatinut asiantuntija, jolla on seuraavat pätevyydet:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Kattavuus & Aiheet

🏢 Kohdeosastot

Tietosuoja lakiasiat vaatimustenmukaisuus IT-tietoturva hankinta

🏷️ Aiheen kattavuus

Henkilötietojen hallinta henkilötietojen kansainväliset siirrot rekisterinpitäjän ja henkilötietojen käsittelijän vastuut kolmansien osapuolten hallinta riskienhallinta vaatimustenmukaisuuden hallinta seuranta ja mittaaminen
€89

Kertaosto

Välitön lataus
Elinikäiset päivitykset

Tämä käytäntö on 1/25 täydellisessä ISO/IEC 27701 PIMS -paketissa

Säästä 52%

Hanki kaikki 25 PIMS-käytäntöä, täydellinen rekisterisarja ja yksityiskohtainen toteutussuunnitelma hintaan €799 erikseen ostettujen €1 675 sijaan.

Katso täydellinen 27701-paketti →
International PII Transfer Policy

Tuotetiedot

Tyyppi: policy
Luokka: ISO 27701 PIMS Policy Pack
Standardit: 4