policy ISO 27701 PIMS Policy Pack

Tarptautinio asmens duomenų perdavimo politika

Valdykite tarptautinius asmens duomenų perdavimus naudodami REG09 įrodymus, perdavimo priemones, rizikos peržiūras, tolesnio perdavimo kontrolės priemones, sustabdymą ir tinkamus auditui įrašus.

Apžvalga

Ši politika reglamentuoja tarptautinius asmens duomenų perdavimus naudojant REG09 įrodymus, patvirtintas perdavimo priemones, rizikos peržiūrą, duomenų tvarkytojų ir subtvarkytojų autorizavimą, tolesnio perdavimo kontrolės priemones, sustabdymo taisykles, išimtis ir tinkamus auditui korekcinių veiksmų įrašus.

Perdavimo įrodymai prieš naudojimą

Reikalaujama, kad REG09 perdavimo įrašai, priemonės ir pagrindžiantys įrodymai būtų parengti prieš pradedant naujus arba iš esmės pakeistus tarptautinius asmens duomenų perdavimus.

Rizika grindžiama perdavimo kontrolė

Apibrėžiami peržiūros, duomenų perdavimo apsaugos priemonių, liekamosios rizikos ir patvirtinimo veiksmai didesnės rizikos arba iš esmės pakeistiems tarptautiniams asmens duomenų perdavimams.

Duomenų tvarkytojų ir tolesnio perdavimo valdysena

Kontroliuojami duomenų tvarkytojai, subtvarkytojai, kliento leidimas, toliau perduodamos prievolės ir tolesnio perdavimo įrodymai per REG08 ir REG09.

Skaityti visą apžvalgą (click to expand)
Tarptautinio asmens duomenų perdavimo politika nustato reikalavimus asmens duomenų tarptautiniams perdavimams identifikuoti, patvirtinti, registruoti, peržiūrėti, riboti ir sustabdyti. Ji taikoma duomenų valdytojo, bendro duomenų valdytojo, duomenų tvarkytojo ir subtvarkytojo veikloms, kai asmens duomenys padaromi prieinami, pasiekiami iš kitos vietos, saugomi, talpinami, atskleidžiami arba kitaip perduodami už patvirtintos tvarkymo ribos, užregistruotos REG02 arba REG09. Taikymo sritis apima vidaus susijusias įmones, išorinius gavėjus, duomenų tvarkytojus, subtvarkytojus, paslaugų teikėjus, techninės pagalbos prieigą, prieglobos vietas, nuotolinį administravimą, tolesnius perdavimus, užsienio valdžios institucijų prašymus atskleisti duomenis ir su perdavimu susijusius paslaugų pakeitimus. Pagrindinis politikos elementas yra įrodymais grindžiamas požiūris. Politikoje nustatyta, kad tarptautiniai perdavimai turi būti identifikuojami prieš pradedant arba keičiant tvarkymą ir kad patvirtinti perdavimo įrašai turi būti tvarkomi REG09. REG09 yra pagrindinis perdavimo įrodymų objektas, o REG02, REG08 ir REG12 pateikia pagrindžiančius įrodymus apie tvarkymo veiklas, tiekėjų ir duomenų tvarkytojų santykius, išimtis, neatitiktis, korekcinius veiksmus ir vadovybės peržiūrą. Privalomi REG09 laukai apima perdavimo paskirties vietą, gavėją, PIMS vaidmenį, perdavimo priemonę, pagrindžiančius įrodymus, peržiūros datą ir savininką. Šia struktūra siekiama padėti organizacijai įrodyti atskaitingą perdavimo valdyseną nekuriant pasikartojančių duomenų perdavimo poveikio vertinimo arba standartinių sutarčių sąlygų (SCC) registrų. Politika apibrėžia perdavimo priemonės parinkimo, patvirtinimo ir rizikos peržiūros kontrolės priemones. Duomenų valdytojo perdavimų atveju privatumo vadovas / PIMS vadovas prieš prasidedant perdavimui REG09 užregistruoja patvirtintą perdavimo priemonę ir pagrindžiančius įrodymus. Duomenų apsaugos pareigūnas (DAP) / privatumo konsultantas peržiūri perdavimo priemonės įrodymus prieš patvirtinant naujus, iš esmės pakeistus arba didesnės rizikos tarptautinius asmens duomenų perdavimus ir, kai yra inicijavimo pagrindas, atlieka perdavimo rizikos peržiūrą. Kai remiamasi techninėmis apsaugos priemonėmis, informacijos saugumo vadovas REG09 arba REG12 užregistruoja techninių apsaugos priemonių priklausomybės būseną. Jei liekamoji perdavimo rizika yra didelė, aukščiausioji vadovybė turi REG12 patvirtinti tolesnę perdavimo operaciją prieš priimant šią riziką. Taip pat reglamentuojama duomenų tvarkytojų, subtvarkytojų ir tolesnio perdavimo valdysena. Tiekėjų / pirkimų savininkas turi gauti dokumentuotą kliento leidimą arba nurodymą REG08 ir REG09 prieš inicijuodamas duomenų tvarkytojo tarptautinius asmens duomenų perdavimus, užregistruoti subtvarkytojo autorizavimą ir toliau perduodamas perdavimo sąlygas bei neleisti duomenų tvarkytojo ar subtvarkytojo tolesnio perdavimo, kol nėra užregistruotas kliento leidimas. Politika taip pat reikalauja prieš patvirtinimą užregistruoti tolesnio perdavimo maršrutus, gavėjų kategorijas, apribojimus ir prievoles. Užsienio valdžios institucijų prašymai atskleisti duomenis, kai įmanoma, turi būti užregistruoti REG09 arba REG12 prieš atskleidimą, o kai išankstinis registravimas neįmanomas – per vieną darbo dieną; privatumo požiūriu reikšmingi prašymai, kai įmanoma, turi būti peržiūrėti privatumo konsultanto. Nuolatinė valdysena vykdoma pagal apibrėžtus peržiūros, matavimo, išimčių ir politikos laikymosi reikalavimus. Aktyvūs perdavimo įrašai peržiūrimi bent kartą per metus ir per 30 dienų nuo esminio perdavimo pakeitimo, o privatumo vadovas / PIMS vadovas bent kartą per ketvirtį peržiūri vėluojančias perdavimo peržiūras, neišsamius įrašus, sustabdytus perdavimus ir atviras perdavimo išimtis. Rodikliai apima aktyvių REG09 įrašų, turinčių išsamius perdavimo priemonės įrodymus, procentinę dalį, vėluojančias perdavimo peržiūras, sustabdytus arba atidėtus perdavimus, vėluojančius duomenų tvarkytojo arba trečiosios šalies įrodymus ir REG02 tvarkymo veiklas, nesuderintas su galimais tarptautinio perdavimo indikatoriais. Išimtys turi būti užregistruotos REG12 prieš tapdamos aktyvios, joms turi būti priskirti savininkas, galiojimo pabaigos data, kompensuojanti kontrolės priemonė ir peržiūros dažnis, o iki uždarymo jos turi būti peržiūrimos bent kartą per mėnesį. Neatitiktys turi būti registruojamos, kai nustatomi neužregistruoti perdavimai, nepagrįstos priemonės, trūkstamas autorizavimas, vėluojančios peržiūros, trūkstami tolesnio perdavimo įrodymai arba neautorizuotas tęstinumas.

Politikos diagrama

Proceso eigos schema, rodanti tarptautinio asmens duomenų perdavimo valdyseną: identifikuoti perdavimą REG02 arba REG08, sukurti arba atnaujinti REG09, užregistruoti perdavimo priemonę ir įrodymus, atlikti rizikos ir duomenų perdavimo apsaugos priemonių peržiūrą, patvirtinti arba blokuoti perdavimą, valdyti tolesnius perdavimus ir valdžios institucijų prašymus atskleisti duomenis, peržiūrėti įrašus, sustabdyti arba pašalinti spragas ir REG12 užregistruoti išimtis arba korekcinius veiksmus.

Spustelėkite diagramą, kad peržiūrėtumėte visu dydžiu

Turinys

Tarptautinio perdavimo taikymo sritis ir esminio pakeitimo kriterijai

REG09 perdavimo įrašai ir pagrindžiantys įrodymai

Perdavimo priemonės parinkimo ir patvirtinimo reikalavimai

Perdavimo rizikos peržiūra, duomenų perdavimo apsaugos priemonės ir liekamosios rizikos tvarkymas

Tolesni perdavimai ir užsienio valdžios institucijų prašymai atskleisti duomenis

Perdavimo peržiūra, sustabdymas, išimtys ir politikos laikymasis

Sistemos atitiktis

🛡️ Palaikomi standartai ir sistemos

Šis produktas yra suderintas su šiomis atitikties sistemomis su išsamiu sąlygų ir kontrolės susiejimu.

Sistema Aptariamos sąlygos / Kontrolės
ISO/IEC 27701:2025
Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.1.2.8Annex A.1.2.9Annex A.1.5.2Annex A.1.5.3Annex A.1.5.4Annex A.1.5.5Annex A.2.2.2Annex A.2.2.3Annex A.2.2.7Annex A.2.5.2Annex A.2.5.3Annex A.2.5.4Annex A.2.5.5Annex A.2.5.6
EU GDPR
Article 5(2)Article 24Article 26Article 28Article 30Article 44Article 45Article 46Article 47Article 48Article 49
ISO/IEC 29100:2020
Clause 5.6Clause 5.10Clause 5.12
ISO/IEC 29151:2022
Annex A.7

Susijusios politikos

Tvarkymo veiklų apskaitos ir teisinio pagrindo politika

Perdavimo valdysena priklauso nuo tikslių tvarkymo įrašų, patvirtintų ribų ir teisinio pagrindo informacijos tvarkymo veiklų apskaitoje.

Privatumo rizikos vertinimo ir DPIA politika

Perdavimo rizikos peržiūra ir didesnės rizikos perdavimo sprendimai suderinami su privatumo rizikos vertinimu ir DPIA valdysena.

Rinkimo, naudojimo, atskleidimo ir dalijimosi politika

Tarptautiniai perdavimai glaudžiai susiję su asmens duomenų gavėjų ir maršrutų atskleidimo ir dalijimosi kontrolės priemonėmis.

Duomenų tvarkytojų, subtvarkytojų ir trečiųjų šalių privatumo valdymo politika

Duomenų tvarkytojo, subtvarkytojo ir trečiosios šalies autorizavimas bei toliau perduodamų prievolių įrodymai yra pagrindiniai perdavimo patvirtinimo reikalavimai.

Saugumo ir prieigos kontrolės politika

Perdavimo patvirtinimai gali remtis techninėmis apsaugos priemonėmis ir prieigos kontrolės priemonėmis, kurios turi būti patvirtintos prieš patvirtinimą.

PIMS dokumentuotos informacijos ir įrodymų valdymo politika

Politika remiasi dokumentuotais įrodymų objektais, tokiais kaip REG02, REG08, REG09 ir REG12, perdavimo atskaitomybei užtikrinti.

Apie Clarysec politikas - Tarptautinio asmens duomenų perdavimo politika

Tarptautinio asmens duomenų perdavimo politika apibrėžia įrodymais pagrįstą privatumo valdysenos požiūrį į tarpvalstybinius asmens duomenų perdavimus. Ji priskiria atskaitomybę aukščiausiajai vadovybei, privatumo vadovui / PIMS vadovui, duomenų apsaugos pareigūnui (DAP) / privatumo konsultantui, procesų savininkams, tiekėjų / pirkimų savininkams, informacijos saugumui ir vidaus audito / atitikties peržiūros atlikėjams. Politikoje REG09 naudojamas kaip pagrindinis perdavimo įrodymų objektas, kurį papildo REG02, REG08 ir REG12, siekiant dokumentuoti perdavimo paskirties vietas, gavėjus, PIMS vaidmenis, priemones, duomenų perdavimo apsaugos priemones, peržiūros datas, išimtis, neatitiktis ir korekcinius veiksmus. Ji taikoma duomenų valdytojo, bendro duomenų valdytojo, duomenų tvarkytojo ir subtvarkytojo kontekstams ir palaiko atskaitingą perdavimo patvirtinimų, tolesnių perdavimų, valdžios institucijų prašymų atskleisti duomenis, sustabdymų ir periodinių peržiūrų valdymą.

Aiški perdavimo riba

Taikoma, kai asmens duomenys pasiekiami, talpinami, atskleidžiami arba perduodami už patvirtintos REG02 arba REG09 tvarkymo ribos.

REG09 įrodymų modelis

Prieš patvirtinimą reikalaujama perdavimo paskirties vietos, gavėjo, vaidmens, priemonės, įrodymų, peržiūros datos ir savininko.

Apibrėžta vaidmenų atskaitomybė

Priskiria pareigas privatumo, verslo, pirkimų, saugumo, audito ir aukščiausiosios vadovybės vaidmenims.

Sustabdymas ir trūkumų šalinimas

Reikalaujama sustabdyti arba atidėti, kai priemonės, autorizavimai, duomenų perdavimo apsaugos priemonės arba paskirties vietos įrodymai nėra pateikti arba negalioja.

Dažniausiai užduodami klausimai

Sukurta lyderiams, lyderių

Šią politiką parengė saugumo lyderis, turintis daugiau nei 25 metų patirtį diegiant ir audituojant ISMS sistemas tarptautinėse organizacijose. Ji sukurta ne tik kaip dokumentas, bet kaip pagrįsta sistema, atlaikanti auditoriaus vertinimą.

Parengė ekspertas, turintis šias kvalifikacijas:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Aprėptis ir temos

🏢 Tiksliniai skyriai

Privatumas Teisė Atitiktis IT saugumas Pirkimai

🏷️ Teminė aprėptis

Privačios informacijos apsaugos valdymas tarptautiniai duomenų perdavimai duomenų valdytojo ir duomenų tvarkytojo atsakomybės trečiųjų šalių valdymas rizikos valdymas atitikties valdymas stebėsena ir matavimas
€89

Vienkartinis pirkimas

Momentinis atsisiuntimas
Visą gyvenimą trunkantys atnaujinimai

Ši politika yra 1 iš 25 visame ISO/IEC 27701 PIMS rinkinyje

Sutaupykite 52%

Gaukite visas 25 PIMS politikas, pilną registrų rinkinį ir išsamų įgyvendinimo planą už €799 vietoj €1 675 perkant atskirai.

Žiūrėti visą 27701 rinkinį →
International PII Transfer Policy

Produkto informacija

Tipas: policy
Kategorija: ISO 27701 PIMS Policy Pack
Standartai: 4