policy ISO 27701 PIMS Policy Pack

Politika međunarodnog prijenosa osobnih podataka

Upravljajte međunarodnim prijenosima osobnih podataka uz REG09 dokaze, mehanizme prijenosa, preglede rizika, kontrole daljnjeg prijenosa, obustavu i zapise spremne za reviziju.

Pregled

Ova politika uređuje međunarodne prijenose osobnih podataka kroz REG09 dokaze, odobrene mehanizme prijenosa, pregled rizika, odobrenje izvršitelja obrade i podizvršitelja obrade, kontrole daljnjeg prijenosa, pravila obustave, iznimke i zapise korektivnih radnji spremne za reviziju.

Dokazi o prijenosu prije uporabe

Zahtijeva REG09 zapise o prijenosu, mehanizme i pripadajuće dokaze prije početka novih ili značajno izmijenjenih međunarodnih prijenosa osobnih podataka.

Kontrola prijenosa temeljena na riziku

Definira korake pregleda, zaštitnih mjera, preostalog rizika i odobrenja za međunarodne prijenose osobnih podataka višeg rizika ili značajno izmijenjene prijenose.

Upravljanje izvršiteljima obrade i daljnjim prijenosima

Uređuje izvršitelja obrade, podizvršitelja obrade, odobrenje klijenta, prenesene obveze i dokaze o daljnjem prijenosu kroz REG08 i REG09.

Pročitaj cijeli pregled (click to expand)
Politika međunarodnog prijenosa osobnih podataka uspostavlja zahtjeve za identifikaciju, odobravanje, evidentiranje, pregled, ograničavanje i obustavu međunarodnih prijenosa osobnih podataka. Primjenjuje se na aktivnosti voditelja obrade, zajedničkog voditelja obrade, izvršitelja obrade i podizvršitelja obrade kada se osobni podaci stavljaju na raspolaganje, pristupa im se izvan odobrene granice obrade, pohranjuju se, hostiraju, otkrivaju ili na drugi način prenose izvan odobrene granice obrade evidentirane u REG02 ili REG09. Opseg uključuje interna povezana društva, vanjske primatelje, izvršitelje obrade, podizvršitelje obrade, pružatelje usluga, pristup podrške, lokacije hostinga, udaljenu administraciju, daljnje prijenose, zahtjeve tijela javne vlasti za otkrivanje podataka i promjene usluga povezane s prijenosom. Središnje obilježje politike jest pristup temeljen na dokazima. Politika propisuje da se međunarodni prijenosi moraju identificirati prije početka ili promjene obrade te da se odobreni zapisi o prijenosu moraju održavati u REG09. REG09 je primarni objekt dokaza za prijenos, dok REG02, REG08 i REG12 pružaju pripadajuće dokaze za aktivnosti obrade, odnose s dobavljačima i izvršiteljima obrade, iznimke, nesukladnosti, korektivne radnje i preispitivanje od strane uprave. Obvezna REG09 polja uključuju odredište prijenosa, primatelja, ulogu PIMS-a, mehanizam prijenosa, pripadajuće dokaze, datum pregleda i vlasnika. Ova struktura namijenjena je pomoći organizaciji da dokaže odgovorno upravljanje prijenosima bez stvaranja dupliciranih registara procjena učinka prijenosa ili standardnih ugovornih klauzula. Politika definira kontrole za odabir mehanizma prijenosa, odobrenje i pregled rizika. Za prijenose voditelja obrade, voditelj privatnosti / voditelj PIMS-a evidentira odobreni mehanizam prijenosa i pripadajuće dokaze u REG09 prije početka prijenosa. Službenik za zaštitu podataka / savjetnik za privatnost pregledava dokaze o mehanizmu prijenosa prije odobrenja novih, značajno izmijenjenih ili međunarodnih prijenosa osobnih podataka višeg rizika te dovršava pregled rizika prijenosa kada se aktivira. Kada se organizacija oslanja na tehničke zaštitne mjere, voditelj informacijske sigurnosti evidentira status ovisnosti o tehničkim zaštitnim mjerama u REG09 ili REG12. Ako je preostali rizik prijenosa visok, najviše rukovodstvo mora odobriti nastavak provedbe prijenosa u REG12 prije prihvaćanja tog rizika. Uređeno je i upravljanje izvršiteljima obrade, podizvršiteljima obrade i daljnjim prijenosima. Vlasnik dobavljača / nabave mora pribaviti dokumentirano odobrenje ili uputu klijenta u REG08 i REG09 prije pokretanja međunarodnih prijenosa osobnih podataka od strane izvršitelja obrade, evidentirati odobrenje podizvršitelja obrade i prenesene obveze za prijenos te spriječiti daljnji prijenos izvršitelja obrade ili podizvršitelja obrade dok se ne evidentira odobrenje klijenta. Politika također zahtijeva da se rute daljnjeg prijenosa, kategorije primatelja, ograničenja i obveze evidentiraju prije odobrenja. Zahtjevi stranih tijela javne vlasti za otkrivanje podataka moraju se evidentirati u REG09 ili REG12 prije otkrivanja kada je to izvedivo, odnosno u roku od jednog radnog dana kada prethodno evidentiranje nije izvedivo, a zahtjevi od značaja za privatnost moraju, kada je izvedivo, proći pregled savjetnika za privatnost. Kontinuirano upravljanje provodi se kroz definirane zahtjeve za pregled, mjerenje, iznimke i provedbu. Aktivni zapisi o prijenosu pregledavaju se najmanje jednom godišnje i u roku od 30 dana od značajne promjene prijenosa, dok voditelj privatnosti / voditelj PIMS-a najmanje tromjesečno pregledava zakašnjele preglede prijenosa, nepotpune zapise, obustavljene prijenose i otvorene iznimke prijenosa. Metrike uključuju postotak aktivnih REG09 zapisa s potpunim dokazima o mehanizmu prijenosa, zakašnjele preglede prijenosa, obustavljene ili odgođene prijenose, zakašnjele dokaze izvršitelja obrade ili treće strane te neusklađene aktivnosti obrade REG02 s mogućim pokazateljima međunarodnog prijenosa. Iznimke se moraju evidentirati u REG12 prije nego što postanu aktivne, mora im se dodijeliti vlasnik, datum isteka, kompenzacijska kontrola i učestalost pregleda te se moraju pregledavati najmanje mjesečno do zatvaranja. Nesukladnosti se moraju evidentirati kada se utvrde neevidentirani prijenosi, nepotkrijepljeni mehanizmi, nedostajuća odobrenja, zakašnjeli pregledi, nedostajući dokazi o daljnjem prijenosu ili neovlašteni nastavak.

Dijagram politike

Dijagram toka procesa koji prikazuje upravljanje međunarodnim prijenosom osobnih podataka: identificirati prijenos u REG02 ili REG08, izraditi ili ažurirati REG09, evidentirati mehanizam prijenosa i dokaze, provesti pregled rizika i zaštitnih mjera, odobriti ili blokirati prijenos, upravljati daljnjim prijenosima i otkrivanjima podataka tijelima javne vlasti, pregledati zapise, obustaviti ili otkloniti praznine te evidentirati iznimke ili korektivne radnje u REG12.

Kliknite na dijagram za prikaz u punoj veličini

Sadržaj

Opseg međunarodnog prijenosa i kriteriji značajne promjene

REG09 zapisi o prijenosu i pripadajući dokazi

Zahtjevi za odabir i odobrenje mehanizma prijenosa

Pregled rizika prijenosa, zaštitne mjere i postupanje s preostalim rizikom

Daljnji prijenosi i otkrivanja podataka stranim tijelima javne vlasti

Pregled prijenosa, obustava, iznimke i provedba

Usklađenost s okvirom

🛡️ Podržani standardi i okviri

Ovaj je proizvod usklađen sa sljedećim okvirima usklađenosti s detaljnim mapiranjem klauzula i kontrola.

Okvir Pokrivene klauzule / Kontrole
ISO/IEC 27701:2025
Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.1.2.8Annex A.1.2.9Annex A.1.5.2Annex A.1.5.3Annex A.1.5.4Annex A.1.5.5Annex A.2.2.2Annex A.2.2.3Annex A.2.2.7Annex A.2.5.2Annex A.2.5.3Annex A.2.5.4Annex A.2.5.5Annex A.2.5.6
EU GDPR
Article 5(2)Article 24Article 26Article 28Article 30Article 44Article 45Article 46Article 47Article 48Article 49
ISO/IEC 29100:2020
Clause 5.6Clause 5.10Clause 5.12
ISO/IEC 29151:2022
Annex A.7

Povezane politike

Politika popisa aktivnosti obrade i pravne osnove

Upravljanje prijenosima ovisi o točnim zapisima o obradi, odobrenim granicama i informacijama o pravnoj osnovi u popisu aktivnosti obrade.

Politika procjene rizika za privatnost i DPIA-e

Pregled rizika prijenosa i odluke o prijenosima višeg rizika usklađuju se s procjenom rizika za privatnost i upravljanjem DPIA-om.

Politika prikupljanja, uporabe, otkrivanja i dijeljenja

Međunarodni prijenosi usko su povezani s kontrolama otkrivanja i dijeljenja za primatelje osobnih podataka i rute prijenosa.

Politika upravljanja privatnošću izvršitelja obrade, podizvršitelja obrade i trećih strana

Odobrenje izvršitelja obrade, podizvršitelja obrade i treće strane te dokazi o prenesenim obvezama temeljni su zahtjevi za odobrenje prijenosa.

Politika sigurnosti i kontrole pristupa

Odobrenja prijenosa mogu se oslanjati na tehničke zaštitne mjere i kontrole pristupa koje moraju biti potvrđene prije odobrenja.

Politika dokumentiranih informacija i upravljanja dokazima PIMS-a

Politika se oslanja na dokumentirane objekte dokaza kao što su REG02, REG08, REG09 i REG12 radi odgovornosti za prijenose.

O Clarysec politikama - Politika međunarodnog prijenosa osobnih podataka

Politika međunarodnog prijenosa osobnih podataka definira pristup upravljanju privatnošću temeljen na dokazima za prekogranične prijenose osobnih podataka. Dodjeljuje odgovornost najvišem rukovodstvu, voditelju privatnosti / voditelju PIMS-a, službeniku za zaštitu podataka / savjetniku za privatnost, vlasnicima procesa, vlasnicima dobavljača / nabave, informacijskoj sigurnosti i pregledavateljima unutarnje revizije / usklađenosti. Politika koristi REG09 kao primarni objekt dokaza za prijenos, uz podršku REG02, REG08 i REG12, za dokumentiranje odredišta prijenosa, primatelja, uloga PIMS-a, mehanizama, zaštitnih mjera, datuma pregleda, iznimaka, nesukladnosti i korektivnih radnji. Primjenjuje se u kontekstima voditelja obrade, zajedničkog voditelja obrade, izvršitelja obrade i podizvršitelja obrade te podupire odgovorno upravljanje odobrenjima prijenosa, daljnjim prijenosima, zahtjevima tijela javne vlasti za otkrivanje podataka, obustavama i periodičnim pregledima.

Jasna granica prijenosa

Primjenjuje se kada se osobnim podacima pristupa, kada se hostiraju, otkrivaju ili prenose izvan odobrene granice obrade u REG02 ili REG09.

Model dokaza REG09

Zahtijeva odredište prijenosa, primatelja, ulogu, mehanizam, dokaze, datum pregleda i vlasnika prije odobrenja.

Definirana odgovornost uloga

Dodjeljuje dužnosti u područjima privatnosti, poslovanja, nabave, sigurnosti, revizije i ulogama najvišeg rukovodstva.

Obustava i korektivne radnje

Zahtijeva obustavu ili odgodu kada mehanizmi, odobrenja, zaštitne mjere ili dokazi o odredištu nedostaju ili nisu valjani.

Često postavljana pitanja

Izrađeno za lidere, od lidera

Ovu politiku izradio je sigurnosni lider s više od 25 godina iskustva u implementaciji i auditiranju ISMS okvira u globalnim organizacijama. Osmišljena je ne samo kao dokument, već kao obrambeni okvir koji izdržava revizorski nadzor.

Izradio stručnjak s sljedećim kvalifikacijama:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Pokrivenost i teme

🏢 Ciljni odjeli

Privatnost pravni poslovi usklađenost IT sigurnost nabava

🏷️ Tematska pokrivenost

Upravljanje informacijama o privatnosti međunarodni prijenosi podataka odgovornosti voditelja obrade i izvršitelja obrade upravljanje trećim stranama upravljanje rizicima upravljanje usklađenošću praćenje i mjerenje
€89

Jednokratna kupnja

Trenutno preuzimanje
Doživotna ažuriranja

Ova politika je 1 od 25 u kompletnom ISO/IEC 27701 PIMS paketu

Uštedite 52%

Nabavite svih 25 PIMS politika, kompletan set registara i detaljan plan implementacije za €799, umjesto €1.675 pojedinačno.

Pogledaj kompletni 27701 paket →
International PII Transfer Policy

Pojedinosti o proizvodu

Vrsta: policy
Kategorija: ISO 27701 PIMS Policy Pack
Standardi: 4