policy ISO 27701 PIMS Policy Pack

Πολιτική Ιδιωτικότητας Εργαζομένων

Πολιτική Ιδιωτικότητας Εργαζομένων για PIMS: διακυβέρνηση δεδομένων προσωπικού χαρακτήρα εργαζομένων, ειδοποιήσεων, δικαιωμάτων, παρακολούθησης, προμηθευτών Ανθρώπινου Δυναμικού, περιστατικών και μητρώων τεκμηρίων.

Επισκόπηση

Η Πολιτική Ιδιωτικότητας Εργαζομένων διέπει τα δεδομένα προσωπικού χαρακτήρα του προσωπικού σε όλο το φάσμα της συλλογής, χρήσης, ειδοποιήσεων, δικαιωμάτων, παρακολούθησης, προμηθευτών, σύνδεσης διατήρησης, περιστατικών και τεκμηρίων. Διατηρεί τα τεκμήρια ιδιωτικότητας εργαζομένων στα REG02, REG04, REG06, REG07, REG08, REG10 και REG12 αντί να δημιουργεί ξεχωριστά μητρώα ιδιωτικότητας Ανθρώπινου Δυναμικού.

Ιδιωτικότητα Ανθρώπινου Δυναμικού βάσει τεκμηρίων

Συνδέει την επεξεργασία δεδομένων προσωπικού χαρακτήρα εργαζομένων με τα REG02, REG04, REG06, REG07, REG08, REG10 και REG12 χωρίς να δημιουργεί διπλά μητρώα Ανθρώπινου Δυναμικού.

Κάλυψη δεδομένων προσωπικού χαρακτήρα του προσωπικού

Καλύπτει εργαζομένους, υποψηφίους, πρώην εργαζομένους, αναδόχους, ασκούμενους, αποσπασμένους και άλλους συμμετέχοντες στο εργατικό δυναμικό.

Έλεγχοι παρακολούθησης και προμηθευτών

Απαιτεί τεκμηριωμένες εγκρίσεις για παρακολούθηση εργαζομένων, εκτελούντες την επεξεργασία δεδομένων Ανθρώπινου Δυναμικού, μισθοδοσία, HRIS, παροχές και προμηθευτές ελέγχου ιστορικού.

Διαβάστε πλήρη επισκόπηση (click to expand)
Η Πολιτική Ιδιωτικότητας Εργαζομένων καθορίζει απαιτήσεις ιδιωτικότητας για δεδομένα προσωπικού χαρακτήρα εργαζομένων εντός του Συστήματος Διαχείρισης Πληροφοριών Ιδιωτικότητας. Το πεδίο εφαρμογής της περιλαμβάνει τη συλλογή, χρήση, κοινολόγηση, σύνδεση διατήρησης, ειδοποίηση, χειρισμό δικαιωμάτων, παρακολούθηση, υποστήριξη από εκτελούντες την επεξεργασία και διαχείριση τεκμηρίων για δεδομένα προσωπικού χαρακτήρα εργαζομένων. Η πολιτική εφαρμόζεται σε πλαίσια υπεύθυνου επεξεργασίας και από κοινού υπεύθυνου επεξεργασίας, όπου ο οργανισμός καθορίζει τους σκοπούς και τα μέσα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα εργαζομένων, καθώς και σε πλαίσια εκτελούντος την επεξεργασία και υπεργολάβου επεξεργασίας, όπου ο οργανισμός επεξεργάζεται δεδομένα προσωπικού χαρακτήρα εργαζομένων βάσει τεκμηριωμένων εντολών. Τα δεδομένα προσωπικού χαρακτήρα εργαζομένων ορίζονται ευρέως ώστε να περιλαμβάνουν πληροφορίες που αφορούν εργαζομένους, υποψηφίους για εργασία, πρώην εργαζομένους, αναδόχους, προσωρινό προσωπικό, ασκούμενους, αποσπασμένους και άλλους συμμετέχοντες στο εργατικό δυναμικό, όταν ο οργανισμός επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα τους για σκοπούς προσωπικού, πρόσληψης, απασχόλησης, ανάθεσης, αποζημίωσης, παροχών, ασφάλειας, συμμόρφωσης, διοίκησης του χώρου εργασίας ή συναφείς επιχειρησιακούς σκοπούς. Κεντρικό στοιχείο της πολιτικής είναι το μοντέλο τεκμηρίων της. Η πολιτική δεν δημιουργεί ξεχωριστό μητρώο ιδιωτικότητας Ανθρώπινου Δυναμικού, μητρώο ιδιωτικότητας εργαζομένων, μητρώο παρακολούθησης εργαζομένων, μητρώο προμηθευτών Ανθρώπινου Δυναμικού, μητρώο δικαιωμάτων εργαζομένων ή μητρώο περιστατικών εργαζομένων. Αντίθετα, απαιτεί τη διατήρηση των τεκμηρίων επεξεργασίας εργαζομένων στα κανονικά μητρώα PIMS: REG02 για την απογραφή επεξεργασίας και τη σύνδεση διατήρησης, REG04 για τον κίνδυνο ιδιωτικότητας και τα εναύσματα DPIA, REG06 για τα αιτήματα άσκησης δικαιωμάτων εργαζομένων, REG07 για τις ειδοποιήσεις ιδιωτικότητας εργαζομένων, REG08 για εκτελούντες την επεξεργασία δεδομένων Ανθρώπινου Δυναμικού και προμηθευτές, REG10 για περιστατικά που αφορούν δεδομένα προσωπικού χαρακτήρα εργαζομένων και REG12 για εξαιρέσεις, μη συμμορφώσεις, διορθωτικές ενέργειες, παρακολούθηση και τεκμήρια βελτίωσης. Η δομή αυτή υποστηρίζει τον σκοπό της πολιτικής: τα δεδομένα προσωπικού χαρακτήρα εργαζομένων πρέπει να υποβάλλονται σε επεξεργασία μόνο για τεκμηριωμένους, εγκεκριμένους, διαφανείς, αναλογικούς και λογοδοτήσιμους σκοπούς προσωπικού, αποφεύγοντας παράλληλα ένα διπλό επίπεδο τεκμηρίων ειδικό για το Ανθρώπινο Δυναμικό. Οι δηλώσεις πολιτικής καθορίζουν λεπτομερείς επιχειρησιακούς ελέγχους για τον κύκλο ζωής των δεδομένων εργαζομένων. Πριν από τη συλλογή, παραγωγή, εισαγωγή, χρήση ή κοινολόγηση δεδομένων προσωπικού χαρακτήρα εργαζομένων, ο Ιδιοκτήτης Διεργασίας / Ιδιοκτήτης της επιχείρησης πρέπει να καταγράφει τη δραστηριότητα επεξεργασίας εργαζομένων στο REG02, συμπεριλαμβανομένων των κατηγοριών δεδομένων προσωπικού χαρακτήρα, του πληθυσμού εργαζομένων, της πηγής συλλογής, του σκοπού επεξεργασίας, των συστημάτων, των κατηγοριών εσωτερικών και εξωτερικών αποδεκτών και της σύνδεσης διατήρησης. Οι ειδοποιήσεις ιδιωτικότητας εργαζομένων πρέπει να τηρούνται στο REG07 πριν από την άμεση ή έμμεση συλλογή για νέο ή ουσιωδώς μεταβαλλόμενο σκοπό. Η πολιτική απαιτεί τα δεδομένα προσωπικού χαρακτήρα εργαζομένων να χρησιμοποιούνται μόνο για εγκεκριμένους σκοπούς που καταγράφονται στο REG02 και απαιτεί την τεκμηρίωση των κατηγοριών εσωτερικών αποδεκτών, των προϋποθέσεων επιχειρησιακής ανάγκης και των επαναλαμβανόμενων εξωτερικών κοινολογήσεων πριν από την έναρξη της κοινολόγησης. Πιθανολογούμενη μη εξουσιοδοτημένη κοινολόγηση, πρόσβαση, απώλεια ή κακή χρήση δεδομένων παρακολούθησης πρέπει να δρομολογείται στο REG10 εντός μίας εργάσιμης ημέρας από την αναγνώριση. Η διακυβέρνηση των δικαιωμάτων εργαζομένων, της παρακολούθησης και των προμηθευτών Ανθρώπινου Δυναμικού λαμβάνει ειδική προσοχή. Τα αιτήματα άσκησης δικαιωμάτων εργαζομένων πρέπει να καταγράφονται ή να δρομολογούνται στο REG06 εντός δύο εργάσιμων ημερών, με τις εισροές του ιδιοκτήτη διεργασίας να παρέχονται εντός πέντε εργάσιμων ημερών από την ανάθεση. Πολύπλοκα αιτήματα που αφορούν αρχεία παρακολούθησης, αρχεία ελέγχου ιστορικού, ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα, δεδομένα προσωπικού χαρακτήρα εργαζομένων τρίτων μερών, νομικούς περιορισμούς ή αυτοματοποιημένη λήψη αποφάσεων απαιτούν συμβουλή από τον Υπεύθυνο Προστασίας Δεδομένων / Σύμβουλο Ιδιωτικότητας πριν από άρνηση, παράταση, περιορισμό ή σύνθετο χειρισμό. Η παρακολούθηση εργαζομένων πρέπει να τεκμηριώνεται στο REG02 πριν από την ενεργοποίηση ή ουσιώδη αλλαγή, να δρομολογείται μέσω του REG04 για αξιολόγηση κινδύνου ιδιωτικότητας ή έλεγχο αναγκαιότητας DPIA όπου ενεργοποιείται σχετική απαίτηση, να υποστηρίζεται από τρέχοντα τεκμήρια ειδοποίησης ή επικοινωνίας REG07 και να δειγματοληπτείται στο REG12 τουλάχιστον ετησίως όταν περιλαμβάνεται στο REG02. Οι εκτελούντες την επεξεργασία δεδομένων Ανθρώπινου Δυναμικού, η μισθοδοσία, το HRIS, οι παροχές, ο έλεγχος ιστορικού και οι πάροχοι υπηρεσιών εξωτερικής ανάθεσης Ανθρώπινου Δυναμικού πρέπει να καταγράφονται στο REG08 πριν από την κοινολόγηση δεδομένων προσωπικού χαρακτήρα εργαζομένων στον πάροχο, την πρόσβαση του παρόχου σε αυτά ή την επεξεργασία τους μέσω του παρόχου. Οι διατάξεις διακυβέρνησης αναθέτουν επαναλαμβανόμενες αρμοδιότητες εποπτείας και εφαρμογής. Ο Επικεφαλής Ιδιωτικότητας / Υπεύθυνος PIMS πρέπει να διενεργεί τριμηνιαίες ανασκοπήσεις τεκμηρίων ιδιωτικότητας εργαζομένων στα REG02, REG04, REG06, REG07, REG08, REG10 και REG12, ενώ η Ανώτατη Διοίκηση εγκρίνει ουσιώδεις αλλαγές πολιτικής και εξαιρέσεις ιδιωτικότητας εργαζομένων υψηλού κινδύνου. Οι μετρικές περιλαμβάνουν το ποσοστό δραστηριοτήτων επεξεργασίας εργαζομένων με τρέχοντα αρχεία REG02, την επικαιρότητα ειδοποιήσεων ιδιωτικότητας εργαζομένων, τα ανοικτά στοιχεία δρομολόγησης κινδύνου ιδιωτικότητας εργαζομένων και DPIA, την εμπρόθεσμη διαχείριση αιτημάτων άσκησης δικαιωμάτων εργαζομένων, την ολοκλήρωση ανασκόπησης προμηθευτών Ανθρώπινου Δυναμικού και τις τάσεις περιστατικών που αφορούν δεδομένα προσωπικού χαρακτήρα εργαζομένων όταν προκύπτουν περιστατικά. Οι εξαιρέσεις πρέπει να καταγράφονται στο REG12 πριν από την απόκλιση, να ανατίθεται σε αυτές ημερομηνία λήξης που δεν υπερβαίνει τις 90 ημέρες και να ανασκοπούνται πριν από τη λήξη. Η εφαρμογή απαιτεί την καταγραφή μη συμμορφώσεων στο REG12 όταν λείπουν απαιτούμενα τεκμήρια ιδιωτικότητας εργαζομένων, αποτρέπει την έγκριση παρακολούθησης εργαζομένων χωρίς τα απαιτούμενα τεκμήρια και επιτρέπει την αναστολή νέων κοινολογήσεων δεδομένων προσωπικού χαρακτήρα εργαζομένων σε προμηθευτές Ανθρώπινου Δυναμικού όταν λείπουν τεκμήρια εκτελούντος την επεξεργασία, υπεργολάβου επεξεργασίας, εντολής ή συνδρομής.

Διάγραμμα Πολιτικής

Διάγραμμα ροής διεργασίας που παρουσιάζει τη διακυβέρνηση δεδομένων προσωπικού χαρακτήρα εργαζομένων από την απογραφή REG02 και τους ελέγχους ειδοποίησης REG07 έως τη δρομολόγηση κινδύνου/DPIA στο REG04, τους ελέγχους προμηθευτών Ανθρώπινου Δυναμικού στο REG08, τον χειρισμό δικαιωμάτων στο REG06, τη δρομολόγηση περιστατικών στο REG10 και την παρακολούθηση, τις εξαιρέσεις και τη βελτίωση στο REG12.

Κάντε κλικ στο διάγραμμα για προβολή σε πλήρες μέγεθος

Περιεχόμενα

Απογραφή επεξεργασίας εργαζομένων και έλεγχοι σκοπών Ανθρώπινου Δυναμικού

Απαιτήσεις ειδοποίησης ιδιωτικότητας εργαζομένων και χειρισμού δικαιωμάτων

Κανόνες παρακολούθησης εργαζομένων και επεξεργασίας υψηλού αντικτύπου δεδομένων προσωπικού χαρακτήρα εργαζομένων

Τεκμήρια για εκτελούντες την επεξεργασία δεδομένων Ανθρώπινου Δυναμικού, μισθοδοσία, HRIS, παροχές και προμηθευτές ελέγχου ιστορικού

Σύνδεση διατήρησης, κοινολόγηση και δρομολόγηση περιστατικών

Απαιτήσεις διακυβέρνησης, μετρικών, εξαιρέσεων, εφαρμογής και ανασκόπησης

Συμμόρφωση με πλαίσιο

🛡️ Υποστηριζόμενα πρότυπα & πλαίσια

Αυτό το προϊόν είναι ευθυγραμμισμένο με τα ακόλουθα πλαίσια συμμόρφωσης, με λεπτομερείς αντιστοιχίσεις ρητρών και ελέγχων.

Πλαίσιο Καλυπτόμενες ρήτρες / Έλεγχοι
ISO/IEC 27701:2025
Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.1.2.2Annex A.1.2.3Annex A.1.2.6Annex A.1.2.8Annex A.1.2.9Annex A.1.2.7Annex A.2.2.2Annex A.2.2.3Annex A.2.2.6Annex A.2.2.7Annex A.1.3.2Annex A.1.3.6Annex A.1.3.7Annex A.1.3.10Annex A.1.3.11Annex A.1.4.2Annex A.1.4.3Annex A.1.4.5Annex A.1.4.8Annex A.1.4.9Annex A.1.5.4Annex A.1.5.5Annex A.2.5.4Annex A.2.5.5Annex A.2.5.6Annex A.3.14Annex A.3.25
EU GDPR
Article 5(1)(a)Article 5(1)(b)Article 5(1)(c)Article 5(1)(e)Article 5(2)Article 6Article 9Article 10Article 12Article 13Article 14Article 15Article 16Article 17Article 18Article 21Article 22Article 24Article 26Article 28Article 30Article 32Article 35Article 39
ISO/IEC 29100:2020
Clause 5.3Clause 5.4Clause 5.5Clause 5.6Clause 5.8Clause 5.9Clause 5.10Clause 5.11Clause 5.12
ISO/IEC 29151:2022
Annex A.3Annex A.4Annex A.5Annex A.7Annex A.10Clause 7.1.2Clause 7.1.3Clause 7.2.4Clause 7.3.2Clause 15.1.2Clause 15.2.2Clause 15.2.3
ISO/IEC 29134:2020
Clause 5.1Clause 6.2
ISO/IEC 27002:2022
Controls 5.34Controls 6.1Controls 6.2Controls 6.5Controls 6.6Controls 8.15Controls 8.16

Σχετικές πολιτικές

Πολιτική Απογραφής Επεξεργασίας και Νομικής Βάσης

Οι δραστηριότητες επεξεργασίας εργαζομένων, οι σκοποί, οι κατηγορίες δεδομένων προσωπικού χαρακτήρα, οι πηγές, τα συστήματα, οι αποδέκτες και η σύνδεση διατήρησης καταγράφονται στο REG02 βάσει αυτής της συναφούς πολιτικής.

Πολιτική Ειδοποιήσεων Ιδιωτικότητας και Διαφάνειας

Οι ειδοποιήσεις ιδιωτικότητας εργαζομένων και τα αρχεία διαφάνειας τηρούνται στο REG07 πριν από νέα ή ουσιωδώς μεταβαλλόμενη συλλογή δεδομένων προσωπικού χαρακτήρα εργαζομένων.

Πολιτική Διαχείρισης Δικαιωμάτων Υποκειμένων Δεδομένων Προσωπικού Χαρακτήρα

Τα αιτήματα άσκησης δικαιωμάτων εργαζομένων δρομολογούνται μέσω του REG06 και απαιτούν υποστηρικτικές εισροές από αρχεία επεξεργασίας, συστήματα, προμηθευτές και συμβούλους ιδιωτικότητας.

Πολιτική Αξιολόγησης Κινδύνου Ιδιωτικότητας και DPIA

Η επεξεργασία υψηλού αντικτύπου δεδομένων προσωπικού χαρακτήρα εργαζομένων, η παρακολούθηση εργαζομένων και τα ευαίσθητα δεδομένα προσωπικού χαρακτήρα δρομολογούνται μέσω του REG04 για χειρισμό κινδύνου ιδιωτικότητας ή DPIA.

Πολιτική Διαχείρισης Εκτελούντων την Επεξεργασία, Υπεργολάβων Επεξεργασίας και Τρίτων Μερών σε Θέματα Ιδιωτικότητας

Οι εκτελούντες την επεξεργασία δεδομένων Ανθρώπινου Δυναμικού, η μισθοδοσία, το HRIS, οι παροχές, ο έλεγχος ιστορικού και οι υπηρεσίες εξωτερικής ανάθεσης Ανθρώπινου Δυναμικού διέπονται μέσω των απαιτήσεων τεκμηρίων προμηθευτών στο REG08.

Πολιτική Διαχείρισης Περιστατικών και Παραβιάσεων

Πιθανολογούμενη μη εξουσιοδοτημένη πρόσβαση, κοινολόγηση, απώλεια, συμβιβασμός ή κακή χρήση δεδομένων παρακολούθησης που αφορούν δεδομένα προσωπικού χαρακτήρα εργαζομένων δρομολογείται στο REG10 για χειρισμό περιστατικών.

Σχετικά με τις Πολιτικές της Clarysec - Πολιτική Ιδιωτικότητας Εργαζομένων

Η διακυβέρνηση ιδιωτικότητας αποτυγχάνει όταν αντιμετωπίζεται ως σύνολο αποσυνδεδεμένων ειδοποιήσεων, εντύπων και νομικών δηλώσεων. Η αποτελεσματική υλοποίηση του ISO/IEC 27701 απαιτεί Σύστημα Διαχείρισης Πληροφοριών Ιδιωτικότητας που συνδέει την επεξεργασία δεδομένων προσωπικού χαρακτήρα, τη νομική βάση, τους ρόλους υπεύθυνου επεξεργασίας και εκτελούντος την επεξεργασία, τον κίνδυνο ιδιωτικότητας, τις DPIA, τα τεκμήρια, την παρακολούθηση και τη συνεχή βελτίωση. Αυτό το σύνολο πολιτικών έχει σχεδιαστεί ως επιχειρησιακό πλαίσιο ιδιωτικότητας και όχι ως γενικό πακέτο τεκμηρίωσης. Καθορίζει σαφή λογοδοσία PIMS σε πρακτικούς επιχειρησιακούς ρόλους, όπως η Ανώτατη Διοίκηση, ο Επικεφαλής Ιδιωτικότητας / Υπεύθυνος PIMS, οι Ιδιοκτήτες Διεργασιών, οι Ιδιοκτήτες Συστημάτων, οι Ιδιοκτήτες Προμηθευτών / Προμηθειών, η Ασφάλεια Πληροφοριών και οι ανεξάρτητοι ανασκοπητές. Κάθε απαίτηση είναι διατυπωμένη ως μοναδικά αριθμημένη, ελέγξιμη ρήτρα και συνδέεται με καθορισμένα αντικείμενα τεκμηρίων, όπως REG01, REG02, REG03, REG04, REG08, REG11 και REG12. Η δομή υποστηρίζει πλαίσια υπεύθυνου επεξεργασίας, από κοινού υπεύθυνου επεξεργασίας, εκτελούντος την επεξεργασία και υπεργολάβου επεξεργασίας, βοηθώντας τους οργανισμούς να αποδεικνύουν λογοδοτήσιμη, βάσει κινδύνου και τεκμηριωμένη διαχείριση της επεξεργασίας δεδομένων προσωπικού χαρακτήρα σε όλο τον κύκλο ζωής του PIMS.

Κανονικό μοντέλο τεκμηρίων

Τα τεκμήρια ιδιωτικότητας εργαζομένων τηρούνται σε υφιστάμενα μητρώα PIMS αντί για ξεχωριστά μητρώα ειδικά για το Ανθρώπινο Δυναμικό.

Δικλίδες παρακολούθησης

Η παρακολούθηση εργαζομένων απαιτεί τεκμηριωμένο σκοπό, δρομολόγηση κινδύνου, τεκμήρια ειδοποίησης και ετήσια δειγματοληψία όταν εμπίπτει στο πεδίο εφαρμογής.

Ευρύ πεδίο εφαρμογής για το προσωπικό

Εφαρμόζεται σε εργαζομένους, υποψηφίους, αναδόχους, ασκούμενους, αποσπασμένους και άλλους συμμετέχοντες στο εργατικό δυναμικό.

Έλεγχοι τεκμηρίων προμηθευτών

Οι εκτελούντες την επεξεργασία δεδομένων Ανθρώπινου Δυναμικού, η μισθοδοσία, το HRIS, οι παροχές και οι πάροχοι ελέγχου ιστορικού πρέπει να τεκμηριώνονται στο REG08.

Συχνές ερωτήσεις

Σχεδιασμένο για Ηγέτες, από Ηγέτες

Η παρούσα πολιτική έχει συνταχθεί από ηγετικό στέλεχος ασφάλειας με περισσότερα από 25 έτη εμπειρίας στην υλοποίηση και τον έλεγχο πλαισίων ISMS σε παγκόσμιους οργανισμούς. Δεν έχει σχεδιαστεί απλώς ως έγγραφο, αλλά ως ένα τεκμηριωμένο πλαίσιο που αντέχει στον έλεγχο των ελεγκτών.

Συντάχθηκε από ειδικό που κατέχει:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Κάλυψη & Θέματα

🏢 Τμήματα-στόχοι

Ιδιωτικότητα Νομικό Τμήμα Συμμόρφωση Ανθρώπινο Δυναμικό Γραφείο Υπευθύνου Προστασίας Δεδομένων

🏷️ Θεματική κάλυψη

Διαχείριση Πληροφοριών Ιδιωτικότητας Επεξεργασία δεδομένων προσωπικού χαρακτήρα Διαχείριση δικαιωμάτων υποκειμένων δεδομένων Εκτίμηση αντικτύπου ιδιωτικότητας Αρχεία δραστηριοτήτων επεξεργασίας Διαχείριση τρίτων μερών Διατήρηση και διάθεση δεδομένων
€49

Εφάπαξ αγορά

Άμεση λήψη
Ενημερώσεις εφ' όρου ζωής

Αυτή η πολιτική είναι 1 από 25 στο πλήρες πακέτο ISO/IEC 27701 PIMS

Εξοικονομήστε 52%

Αποκτήστε και τις 25 πολιτικές PIMS, το πλήρες σύνολο μητρώων και ένα λεπτομερές σχέδιο υλοποίησης για €799, αντί για €1.675 ξεχωριστά.

Δείτε το πλήρες πακέτο 27701 →
Employee Privacy Policy

Λεπτομέρειες προϊόντος

Τύπος: policy
Κατηγορία: ISO 27701 PIMS Policy Pack
Πρότυπα: 6