policy ISO 27701 PIMS Policy Pack

Politik for børns databeskyttelse

Politik for børns databeskyttelse for PIMS: styring af privatlivsmeddelelser vedrørende PII om børn, samtykke, DPIA'er, rettigheder, databehandlere, hændelser og revisionsklar dokumentation.

Oversigt

Denne politik definerer obligatoriske PIMS-kontroller for PII om børn, børnerettede tjenester og børnetilgængelig behandling. Den omfatter identifikation, privatlivsmeddelelser, samtykke, godkendelse fra forældremyndighedsindehaver, DPIA-routing, håndtering af rettigheder, databehandlere, hændelser, undtagelser og revisionsklar dokumentation gennem REG02, REG04, REG05, REG06, REG07, REG08, REG10 og REG12.

Udvidede kontroller for PII om børn

Definerer obligatoriske sikkerhedsforanstaltninger for børnerettet og børnetilgængelig behandling samt behandling af PII om børn inden for PIMS-omfang.

Dokumentationsdrevet styring

Dirigerer privatlivsmeddelelser, samtykke, DPIA'er, rettigheder, databehandlere, hændelser og korrigerende handlinger gennem definerede bevisobjekter.

Klar rolleansvarlighed

Tildeler ansvar til roller inden for databeskyttelse, forretning, systemer, leverandører, sikkerhed, hændelseshåndtering, revision og øverste ledelse.

Læs fuld oversigt (click to expand)
Politikken for børns databeskyttelse definerer obligatoriske databeskyttelseskrav for behandling af PII, der involverer børn, børnerettede tjenester, tjenester, der sandsynligvis tilgås af børn, og andre behandlingsaktiviteter, hvor PII om børn kræver udvidede sikkerhedsforanstaltninger. Den gælder på tværs af kontekster med dataansvarlige, fælles dataansvarlige, databehandlere og underdatabehandlere, herunder websites, applikationer, spil, uddannelsestjenester, onlineplatforme, forbundne tjenester, kundeportaler, læringsmiljøer, fællesskaber og supportkanaler. Politikken er udformet med henblik på at sikre, at PII om børn identificeres, styres, minimeres, forklares, beskyttes og dokumenteres gennem sikkerhedsforanstaltninger, der er passende for børnerettet og børnetilgængelig behandling. Et centralt element i politikken er dens anvendelse af eksisterende PIMS-bevisobjekter frem for særskilte børnespecifikke registre. Politikken kræver, at børnerettet status, sandsynlighed for adgang fra børn, formål, PII-kategorier, kategorier af registrerede, modtagere og opbevaringsreferencer registreres i REG02. Screening af databeskyttelsesrisici og DPIA-beslutninger dirigeres gennem REG04. Samtykke, godkendelse fra forældremyndighedsindehaver, rute for tilbagetrækning af samtykke og referencer til samtykkekvittering registreres i REG05, hvor det er relevant. Rettighedsanmodninger, der involverer børn, håndteres gennem REG06, børnevenlige versioner af privatlivsmeddelelser gennem REG07, begrænsninger for databehandlere og datadeling gennem REG08, hændelsesdokumentation gennem REG10 og registreringer af revision, korrigerende handlinger og forbedringer gennem REG12. Politikken fastsætter detaljerede operationelle krav til børnevenlig gennemsigtighed, samtykke, forældreansvar, dataminimering, opbevaring, udøvelse af rettigheder, databeskyttelse gennem design og styring af videregivelse. Før PII om børn indsamles, skal processejere eller virksomhedsejere bekræfte, at hver PII-kategori er nødvendig for det dokumenterede formål, og definere de minimumsdata til aldersvurdering, der er nødvendige. Børnerettede tjenester skal anvende databeskyttende standardindstillinger for frivillig indsamling, synlighed, deling, personalisering og kommunikation. Når PII om børn omfatter særlige kategorier af personoplysninger, meget følsomme oplysninger, lokaliseringsdata, biometriske oplysninger, adfærdsdata, kommunikationsdata, uddannelsesoplysninger, helbredsoplysninger eller sikkerhedsrelaterede oplysninger, kræves gennemgang af en databeskyttelsesrådgiver (DPO) eller rådgiver inden for databeskyttelse, og gennemgangen registreres i REG04. Politikken behandler også scenarier med højere risiko såsom profilering, adfærdsanalyse, personalisering med væsentlige virkninger, automatiserede afgørelser, anbefalingsfunktioner, mistanke om misbrug, skadelig videregivelse, uautoriseret adgang, udnyttelse, risiko relateret til grooming og andre sikkerhedsrelaterede PII-risici, der involverer børn. Disse forhold dirigeres gennem databeskyttelsesgennemgang, håndtering af hændelser eller processer for korrigerende handlinger ved hjælp af REG04, REG10 og REG12, hvor det er relevant. For leverandører, databehandlere, underdatabehandlere og modtagere af datadeling skal den leverandør-/indkøbsansvarlige bekræfte dokumenterede børnerelaterede begrænsninger, instrukser, fortrolighed, forventninger til returnering eller sletning og bistandsforpligtelser i REG08, før behandling af PII om børn godkendes. Styring og tilsyn defineres gennem kvartalsvise dokumentationsgennemgange, kontroller af lanceringsberedskab, årlige revisioner, undtagelseshåndtering, håndhævelse og årlig gennemgang af politikken. Den ansvarlige for databeskyttelse/PIMS-ansvarlige koordinerer dokumentationens fuldstændighed og eskalering på tværs af de relevante registreringer, mens øverste ledelse godkender kontroltilgangen for børns databeskyttelse og gennemgår systemiske afvigelser. Politikken understøtter revisionsklar ansvarlighed ved at kræve overvågningsmetrikker for børnerettede behandlingsaktiviteter, DPIA-screeninger, åbne forhold vedrørende privatlivsmeddelelser eller samtykke, forhold vedrørende databehandlere og deling, tilbagevendende afvigelser og effektiviteten af korrigerende handlinger, alt registreret i REG12 med kildedokumentation fra de relevante registre.

Politikdiagram

Procesflowdiagram, der viser behandling af PII om børn fra modtagelse og fastlæggelse af børnerettet status, gennem REG02-fortegnelse, REG07-privatlivsmeddelelse, REG05-samtykke eller godkendelse fra forældremyndighedsindehaver, REG04-DPIA-screening, REG06-håndtering af rettigheder, REG08-kontroller for databehandlere og deling, REG10-hændelseseskalering og REG12-overvågning, revision og korrigerende handling.

Klik på diagrammet for at se det i fuld størrelse

Indhold

Identifikation og godkendelse af børnerettet behandling

Børnevenlig gennemsigtighed og privatlivsmeddelelser

Samtykke, forældreansvar og tilbagetrækning af samtykke

Dataminimering, standardindstillinger og opbevaring

Rettigheder, DPIA, profilering og sikkerhedseskalering

Kontroller for videregivelse, databehandlere, underdatabehandlere og dokumentation

Framework-overholdelse

🛡️ Understøttede standarder & frameworks

Dette produkt er tilpasset følgende overholdelsesrammer med detaljerede klausul- og kontrolkortlægninger.

Framework Dækkede klausuler / Kontroller
ISO/IEC 27701:2025
Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.1.2.2Annex A.1.2.3Annex A.1.2.4Annex A.1.2.5Annex A.1.2.6Annex A.1.2.9Annex A.1.2.7Annex A.1.2.8Annex A.1.3.2Annex A.1.3.3Annex A.1.3.4Annex A.1.3.5Annex A.1.3.6Annex A.1.3.7Annex A.1.3.10Annex A.1.3.11Annex A.1.4.2Annex A.1.4.3Annex A.1.4.5Annex A.1.4.8Annex A.1.4.9Annex A.1.5.4Annex A.1.5.5Annex A.2.2.2Annex A.2.2.3Annex A.2.2.6Annex A.2.2.7Annex A.2.3.2Annex A.2.5.4Annex A.2.5.5Annex A.2.5.6Annex A.3.14Annex A.3.25
EU GDPR
Article 5(1)(a)Article 5(1)(b)Article 5(1)(c)Article 5(1)(e)Article 5(2)Article 6Article 7Article 8Article 9Article 12Article 13Article 14Article 15Article 16Article 17Article 18Article 21Article 22Article 24Article 25Article 26Article 28Article 30Article 32Article 35Article 39
ISO/IEC 29100:2020
Clause 5.1Clause 5.8Clause 5.9Clause 5.3Clause 5.4Clause 5.5Clause 5.6Clause 5.10Clause 5.11Clause 5.12
ISO/IEC 29134:2020
Clause 5.1Clause 6.2Clause 6.3
ISO/IEC 29151:2022
Annex A.3Annex A.4Annex A.5Annex A.7Annex A.10
ISO/IEC TS 27560:2023
Clause 5.2Clause 5.3Clause 6.2Clause 6.4

Relaterede politikker

Politik for fortegnelse over behandlingsaktiviteter og behandlingsgrundlag

Børnerettet status, formål, behandlingsgrundlag, datakategorier og opbevaringsreferencer registreres i fortegnelsen over behandlingsaktiviteter.

Politik for privatlivsmeddelelse og gennemsigtighed

Børnetilpasset indhold og indhold til forældre eller værger i privatlivsmeddelelser skal registreres, versionsstyres og opdateres før relevante ændringer.

Politik for samtykke- og præferencestyring

Politikken for børns databeskyttelse afhænger af samtykke, godkendelse fra forældremyndighedsindehaver, rute for tilbagetrækning af samtykke og dokumentation for kvittering, hvor det er relevant.

Politik for styring af registreredes rettigheder

Anmodninger fra børn, forældre, værger eller bemyndigede repræsentanter dirigeres gennem processen for rettighedsstyring.

Politik for risikovurdering vedrørende databeskyttelse og DPIA

Børnespecifik screening af databeskyttelsesrisici, DPIA-beslutninger og gennemgange af højrisikobehandling er centrale krav i politikken.

Politik for styring af databehandlere, underdatabehandlere og tredjeparters databeskyttelse

Behandling af PII om børn udført af databehandlere, underdatabehandlere, leverandører og modtagere ved deling kræver dokumenterede begrænsninger og dokumentation for sikkerhedsassurance.

Om Clarysec-politikker - Politik for børns databeskyttelse

Denne politik for børns databeskyttelse er en operationel PIMS-politik for behandling, der involverer børn, børnerettede tjenester, tjenester, der sandsynligvis tilgås af børn, og anden PII om børn, der kræver udvidede sikkerhedsforanstaltninger. Den definerer ansvarlighed på tværs af roller, herunder øverste ledelse, den ansvarlige for databeskyttelse/PIMS-ansvarlige, processejere, systemejere, leverandør-/indkøbsansvarlige, informationssikkerhed, hændelseshåndtering og ansvarlige for interne revisions-/efterlevelsesgennemgange. Politikken kræver, at dokumentation vedligeholdes i kanoniske bevisobjekter såsom REG02, REG04, REG05, REG06, REG07, REG08, REG10 og REG12, frem for i et særskilt register for børns databeskyttelse.

Børnerettet omfang

Omfatter børnerettede tjenester, børnetilgængelig behandling og aktiviteter, hvor PII om børn kræver udvidede sikkerhedsforanstaltninger.

Kanonisk dokumentation

Bruger REG02, REG04, REG05, REG06, REG07, REG08, REG10 og REG12 i stedet for et særskilt register for børns databeskyttelse.

Rollebaseret ejerskab

Tildeler specifikke opgaver til roller inden for databeskyttelse, forretning, systemer, leverandører, sikkerhed, hændelseshåndtering, revision og øverste ledelse.

Kvartalsvist tilsyn

Kræver kvartalsvise gennemgange og målinger for dokumentation vedrørende børns databeskyttelse, DPIA'er, forhold og mangler vedrørende databehandlere eller deling.

Ofte stillede spørgsmål

Udviklet for ledere, af ledere

Denne politik er udarbejdet af en sikkerhedsleder med over 25 års erfaring i implementering og audit af ISMS-rammeværker for globale organisationer. Den er ikke blot designet som et dokument, men som et forsvarligt rammeværk, der kan modstå revisors gennemgang.

Udarbejdet af en ekspert med følgende kvalifikationer:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Dækning & Emner

🏢 Måldepartement

Databeskyttelse Juridisk Efterlevelse IT-sikkerhed DPO-kontor

🏷️ Emhedækning

Styring af databeskyttelsesoplysninger Behandling af personoplysninger Styring af registreredes rettigheder Konsekvensanalyse vedrørende databeskyttelse Databeskyttelse gennem design Samtykke og behandlingsgrundlag Tredjepartsstyring
€99

Engangskøb

Øjeblikkelig download
Livstidsopdateringer

Denne politik er 1 af 25 i den fulde ISO/IEC 27701 PIMS-pakke

Spar 52%

Få alle 25 PIMS-politikker, det fulde registersæt og en detaljeret implementeringsplan for €799, i stedet for €1.675 ved individuelle køb.

Se fuld 27701-pakke →
Children's Privacy Policy

Produktdetaljer

Type: policy
Kategori: ISO 27701 PIMS Policy Pack
Standarder: 6