policy ISO 27701 PIMS Policy Pack

Policy för internationell överföring av personuppgifter

Styr internationella överföringar av personuppgifter med REG09-underlag, överföringsmekanismer, granskningar av överföringsrisker, kontroller för vidareöverföring, avstängning och poster med beredskap för revision.

Översikt

Denna policy styr internationella överföringar av personuppgifter genom REG09-underlag, godkända överföringsmekanismer, granskning av överföringsrisker, godkännande av personuppgiftsbiträden och underbiträden, kontroller för vidareöverföring, regler för avstängning, undantag och poster över korrigerande åtgärder med beredskap för revision.

Överföringsunderlag före användning

Kräver REG09-överföringsposter, överföringsmekanismer och stödjande underlag innan nya eller väsentligt ändrade internationella överföringar av personuppgifter påbörjas.

Riskbaserad överföringskontroll

Definierar steg för granskning, skyddsåtgärder, kvarstående risk och godkännande för internationella överföringar av personuppgifter med högre risk eller väsentliga ändringar.

Styrning av personuppgiftsbiträden och vidareöverföringar

Styr personuppgiftsbiträden, underbiträden, kundgodkännande, vidareförda villkor och underlag för vidareöverföring genom REG08 och REG09.

Läs fullständig översikt (click to expand)
Policyn för internationell överföring av personuppgifter fastställer krav för att identifiera, godkänna, registrera, granska, begränsa och avbryta internationella överföringar av personuppgifter. Den gäller för aktiviteter där organisationen agerar som personuppgiftsansvarig, gemensamt personuppgiftsansvarig, personuppgiftsbiträde eller underbiträde, och där personuppgifter görs tillgängliga för, nås från, lagras i, driftas i, lämnas ut till eller på annat sätt överförs utanför den godkända behandlingsgräns som registrerats i REG02 eller REG09. Omfattningen inkluderar interna koncernbolag, externa mottagare, personuppgiftsbiträden, underbiträden, tjänsteleverantörer, supportåtkomst, driftplatser, fjärradministration, vidareöverföringar, begäranden från offentlig myndighet om utlämnande och överföringsrelaterade tjänsteförändringar. En central del av policyn är dess underlagsstyrda ansats. Policyn anger att internationella överföringar ska identifieras innan behandling påbörjas eller ändras och att godkända överföringsposter ska upprätthållas i REG09. REG09 är det primära underlagsobjektet för överföringar, medan REG02, REG08 och REG12 tillhandahåller stödjande underlag för behandlingsaktiviteter, leverantörs- och personuppgiftsbiträdesrelationer, undantag, avvikelser, korrigerande åtgärder och ledningens genomgång. Obligatoriska REG09-fält omfattar överföringsdestination, mottagare, PIMS-roll, överföringsmekanism, stödjande underlag, granskningsdatum och ägare. Denna struktur är avsedd att hjälpa organisationen att visa ansvarsskyldig överföringsstyrning utan att skapa dubbla register för konsekvensbedömningar av överföringar eller standardavtalsklausuler (SCC). Policyn definierar kontroller för val, godkännande och riskgranskning av överföringsmekanism. För överföringar där organisationen är personuppgiftsansvarig registrerar dataskyddsansvarig/PIMS-ansvarig den godkända överföringsmekanismen och stödjande underlag i REG09 innan överföringen påbörjas. Dataskyddsombudet/integritetsrådgivaren granskar underlaget för överföringsmekanismen före godkännande av nya, väsentligt ändrade eller högre riskklassade internationella överföringar av personuppgifter och genomför granskning av överföringsrisker när detta utlöses. När tekniska skyddsåtgärder åberopas registrerar ansvarig för informationssäkerhet beroendestatus för tekniska skyddsåtgärder i REG09 eller REG12. Om kvarstående överföringsrisk är hög ska högsta ledningen godkänna fortsatt överföringsverksamhet i REG12 innan risken accepteras. Styrning av personuppgiftsbiträden, underbiträden och vidareöverföringar behandlas också. Ägaren för leverantör/upphandling ska inhämta dokumenterat kundgodkännande eller kundinstruktion i REG08 och REG09 innan internationella överföringar av personuppgifter som personuppgiftsbiträde initieras, registrera godkännande av underbiträde och vidareförda överföringsvillkor samt förhindra vidareöverföring från personuppgiftsbiträde eller underbiträde tills kundgodkännande har registrerats. Policyn kräver även att vidareöverföringsvägar, mottagarkategorier, begränsningar och skyldigheter registreras före godkännande. Begäranden från utländska offentliga myndigheter om utlämnande ska registreras i REG09 eller REG12 före utlämnande där det är praktiskt möjligt, eller inom en arbetsdag där förhandsregistrering inte är praktiskt möjlig, och integritetsmässigt betydande begäranden ska granskas av en integritetsrådgivare där det är praktiskt möjligt. Löpande styrning hanteras genom definierade krav på granskning, mätning, undantag och tillämpning. Aktiva överföringsposter granskas minst årligen och inom 30 dagar efter en väsentlig överföringsändring, medan dataskyddsansvarig/PIMS-ansvarig granskar försenade överföringsgranskningar, ofullständiga poster, avbrutna överföringar och öppna överföringsundantag minst kvartalsvis. Mätetalen omfattar andelen aktiva REG09-poster med fullständigt underlag för överföringsmekanism, försenade överföringsgranskningar, avbrutna eller uppskjutna överföringar, försenat underlag från personuppgiftsbiträden eller tredje part samt omatchade REG02-behandlingsaktiviteter med potentiella indikatorer på internationell överföring. Undantag ska registreras i REG12 innan de blir aktiva, tilldelas en ägare, ett utgångsdatum, en kompenserande kontroll och en granskningsfrekvens samt granskas minst månadsvis tills de stängs. Avvikelser ska registreras när oregistrerade överföringar, överföringsmekanismer utan stöd, saknat godkännande, försenade granskningar, saknat underlag för vidareöverföring eller obehörig fortsättning identifieras.

Policydiagram

Processflödesdiagram som visar styrning av internationella överföringar av personuppgifter: identifiera överföring i REG02 eller REG08, skapa eller uppdatera REG09, registrera överföringsmekanism och underlag, genomföra risk- och skyddsåtgärdsgranskning, godkänna eller blockera överföring, hantera vidareöverföringar och begäranden från offentlig myndighet om utlämnande, granska poster, avbryta eller åtgärda luckor samt registrera undantag eller korrigerande åtgärder i REG12.

Klicka på diagrammet för att visa i full storlek

Innehåll

Omfattning för internationell överföring och kriterier för väsentlig ändring

REG09-överföringsposter och stödjande underlag

Krav på val och godkännande av överföringsmekanism

Granskning av överföringsrisker, skyddsåtgärder och hantering av kvarstående risk

Vidareöverföringar och begäranden från utländska offentliga myndigheter om utlämnande

Överföringsgranskning, avstängning, undantag och tillämpning

Ramverksefterlevnad

🛡️ Stödda standarder & ramverk

Den här produkten är anpassad till följande efterlevnadsramverk, med detaljerade klausul- och kontrollmappningar.

Ramverk Täckta klausuler / Kontroller
ISO/IEC 27701:2025
Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.1.2.8Annex A.1.2.9Annex A.1.5.2Annex A.1.5.3Annex A.1.5.4Annex A.1.5.5Annex A.2.2.2Annex A.2.2.3Annex A.2.2.7Annex A.2.5.2Annex A.2.5.3Annex A.2.5.4Annex A.2.5.5Annex A.2.5.6
EU GDPR
Article 5(2)Article 24Article 26Article 28Article 30Article 44Article 45Article 46Article 47Article 48Article 49
ISO/IEC 29100:2020
Clause 5.6Clause 5.10Clause 5.12
ISO/IEC 29151:2022
Annex A.7

Relaterade policyer

Policy för behandlingsförteckning och rättslig grund

Överföringsstyrning är beroende av korrekta behandlingsposter, godkända gränser och information om rättslig grund i behandlingsförteckningen.

Policy för bedömning av integritetsrisker och DPIA

Granskning av överföringsrisker och beslut om överföringar med högre risk anpassas till styrning av bedömning av integritetsrisker och DPIA.

Policy för insamling, användning, utlämnande och delning

Internationella överföringar är nära kopplade till kontroller för utlämnande till och delning med mottagare samt överföringsvägar för personuppgifter.

Policy för integritetshantering av personuppgiftsbiträden, underbiträden och tredje part

Godkännande av personuppgiftsbiträden, underbiträden och tredje part samt vidarefört underlag är centrala krav för överföringsgodkännande.

Policy för säkerhet och åtkomstkontroll

Överföringsgodkännanden kan förlita sig på tekniska skyddsåtgärder och åtkomstkontroller som måste bekräftas före godkännande.

Policy för dokumenterad information och underlagshantering i PIMS

Policyn förlitar sig på dokumenterade underlagsobjekt såsom REG02, REG08, REG09 och REG12 för ansvarsskyldighet vid överföringar.

Om Clarysecs policyer - Policy för internationell överföring av personuppgifter

Policyn för internationell överföring av personuppgifter definierar en underlagsbaserad metod för integritetsstyrning vid gränsöverskridande överföringar av personuppgifter. Den tilldelar ansvarsskyldighet till högsta ledningen, dataskyddsansvarig/PIMS-ansvarig, dataskyddsombudet/integritetsrådgivaren, processägare, ägare för leverantör/upphandling, informationssäkerhet och granskare inom internrevision/regelefterlevnad. Policyn använder REG09 som primärt underlagsobjekt för överföringar, med stöd av REG02, REG08 och REG12, för att dokumentera överföringsdestinationer, mottagare, PIMS-roller, mekanismer, skyddsåtgärder, granskningsdatum, undantag, avvikelser och korrigerande åtgärder. Den gäller i sammanhang där organisationen agerar som personuppgiftsansvarig, gemensamt personuppgiftsansvarig, personuppgiftsbiträde och underbiträde och stödjer ansvarsskyldig hantering av överföringsgodkännanden, vidareöverföringar, begäranden från offentlig myndighet om utlämnande, avstängningar och periodiska granskningar.

Tydlig överföringsgräns

Gäller när personuppgifter nås, driftas, lämnas ut eller överförs utanför den godkända behandlingsgränsen i REG02 eller REG09.

REG09-underlagsmodell

Kräver överföringsdestination, mottagare, roll, mekanism, underlag, granskningsdatum och ägare före godkännande.

Definierad ansvarsskyldighet per roll

Tilldelar uppgifter mellan roller inom dataskydd, verksamhet, upphandling, säkerhet, revision och högsta ledningen.

Avstängning och åtgärdande

Kräver avstängning eller uppskjutning när mekanismer, godkännanden, skyddsåtgärder eller destinationsunderlag saknas eller är ogiltiga.

Vanliga frågor

Byggd för ledare, av ledare

Denna policy har utarbetats av en säkerhetsledare med över 25 års erfarenhet av att implementera och revidera ISMS-ramverk för globala företag. Den är utformad inte bara som ett dokument, utan som ett robust ramverk som håller för granskning av revisorer.

Författad av en expert med följande meriter:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Täckning & Ämnen

🏢 Målavdelningar

Dataskydd Juridik Regelefterlevnad IT-säkerhet Upphandling

🏷️ Ämnestäckning

Ledningssystem för hantering av integritetsinformation Internationella dataöverföringar Ansvar för personuppgiftsansvarig och personuppgiftsbiträde Hantering av tredje part Riskhantering Hantering av regelefterlevnad Övervakning och mätning
€89

Engångsköp

Omedelbar nedladdning
Livstidsuppdateringar

Denna policy är 1 av 25 i det fullständiga ISO/IEC 27701 PIMS-paketet

Spara 52%

Få alla 25 PIMS-policyer, en komplett uppsättning register och en detaljerad implementeringsplan för €799, istället för €1 675 om du köper separat.

Visa fullständigt 27701-paket →
International PII Transfer Policy

Produktdetaljer

Typ: policy
Kategori: ISO 27701 PIMS Policy Pack
Standarder: 4