policy ISO 27701 PIMS Policy Pack

Πολιτική Διαχείρισης Δικαιωμάτων Υποκειμένων των Δεδομένων Προσωπικού Χαρακτήρα

Διαχειριστείτε αιτήματα άσκησης δικαιωμάτων υποκειμένων των δεδομένων προσωπικού χαρακτήρα με εισαγωγή, επαλήθευση, ικανοποίηση, υποστήριξη από εκτελούντες την επεξεργασία και τεκμήρια REG06 έτοιμα για έλεγχο, ευθυγραμμισμένα με το ISO 27701.

Επισκόπηση

Η πολιτική αυτή ορίζει πώς τα αιτήματα άσκησης δικαιωμάτων υποκειμένων των δεδομένων προσωπικού χαρακτήρα λαμβάνονται, επαληθεύονται, αξιολογούνται, ικανοποιούνται, απορρίπτονται, παρατείνονται, κλείνουν και τεκμηριώνονται. Καλύπτει πλαίσια υπευθύνου επεξεργασίας, από κοινού υπευθύνου επεξεργασίας, εκτελούντος την επεξεργασία και υπεργολάβου επεξεργασίας, χρησιμοποιώντας το REG06 ως το βασικό αρχείο αιτημάτων άσκησης δικαιωμάτων.

Χειρισμός δικαιωμάτων έτοιμος για έλεγχο

Ορίζει πώς τα αιτήματα άσκησης δικαιωμάτων καταγράφονται, αξιολογούνται, ικανοποιούνται, απορρίπτονται, παρατείνονται, κλείνουν και τεκμηριώνονται στο REG06.

Κάλυψη υπευθύνου και εκτελούντος την επεξεργασία

Εφαρμόζεται σε πλαίσια υπευθύνου επεξεργασίας, από κοινού υπευθύνου επεξεργασίας, εκτελούντος την επεξεργασία και υπεργολάβου επεξεργασίας, με τεκμηριωμένες εντολές και αρμοδιότητες.

Ασφαλής ροή εργασίας ικανοποίησης

Απαιτεί επαλήθευση ταυτότητας, ασφαλή παράδοση απάντησης, ελέγχους πακέτου απάντησης και προστασία των αρχείων αιτημάτων άσκησης δικαιωμάτων.

Διαβάστε πλήρη επισκόπηση (click to expand)
Η Πολιτική Διαχείρισης Δικαιωμάτων Υποκειμένων των Δεδομένων Προσωπικού Χαρακτήρα καθορίζει την υποχρεωτική προσέγγιση του οργανισμού για τη διαχείριση αιτημάτων από υποκείμενα των δεδομένων προσωπικού χαρακτήρα ή τους εξουσιοδοτημένους εκπροσώπους τους. Το πεδίο εφαρμογής της καλύπτει τον πλήρη κύκλο ζωής του χειρισμού αιτημάτων άσκησης δικαιωμάτων: λήψη, επικύρωση, αξιολόγηση, ικανοποίηση, απόρριψη, παράταση, κλείσιμο, παρακολούθηση και τεκμηρίωση αιτημάτων. Εφαρμόζεται σε πρόσβαση, διόρθωση, διαγραφή, περιορισμό, φορητότητα δεδομένων, αντίρρηση, αυτοματοποιημένη λήψη αποφάσεων, δρομολόγηση ανάκλησης συγκατάθεσης, καταγγελίες και συναφή ερωτήματα. Η πολιτική έχει σχεδιαστεί για πλαίσια υπευθύνου επεξεργασίας, από κοινού υπευθύνου επεξεργασίας, εκτελούντος την επεξεργασία και υπεργολάβου επεξεργασίας, ενώ οι υποχρεώσεις εκτελούντος την επεξεργασία και υπεργολάβου επεξεργασίας εφαρμόζονται όταν παρέχεται υποστήριξη σε υπεύθυνο επεξεργασίας, πελάτη ή ανάντη εκτελούντα την επεξεργασία βάσει τεκμηριωμένων εντολών. Σκοπός της πολιτικής είναι να διασφαλίζει ότι τα αιτήματα άσκησης δικαιωμάτων υποκειμένων των δεδομένων προσωπικού χαρακτήρα αντιμετωπίζονται με συνέπεια, νόμιμα, με ασφάλεια, εντός καθορισμένων προθεσμιών και με τεκμήρια έτοιμα για έλεγχο. Απαιτεί κάθε αίτημα να καταγράφεται στο REG06 εντός δύο εργάσιμων ημερών από τη λήψη του και να ταξινομείται πριν αρχίσει η αξιολόγηση. Τα απαιτούμενα πεδία ταξινόμησης περιλαμβάνουν τύπο αιτήματος, δίαυλο αιτήματος, ημερομηνία αιτήματος, αναφορά ταυτότητας αιτούντος, ανατεθειμένο υπεύθυνο, εσωτερική προθεσμία, νόμιμη ή συμβατική προθεσμία και τρέχουσα κατάσταση. Για τους υπευθύνους επεξεργασίας, ο Επικεφαλής Ιδιωτικότητας / Υπεύθυνος PIMS πρέπει να επιβεβαιώνει τη λήψη ή να παρέχει την επόμενη απαιτούμενη επικοινωνία εντός πέντε εργάσιμων ημερών από την εισαγωγή. Τα αιτήματα πρέπει επίσης να συνδέονται με σχετικές δραστηριότητες επεξεργασίας REG02 πριν ανατεθούν ενέργειες ικανοποίησης, ώστε οι αποφάσεις απάντησης να βασίζονται σε αρχεία επεξεργασίας, σκοπούς επεξεργασίας, κατηγορίες δεδομένων προσωπικού χαρακτήρα, συστήματα, αποδέκτες και περιορισμούς διατήρησης. Σημαντική επιχειρησιακή έμφαση δίνεται στην επαλήθευση ταυτότητας και την ασφαλή αξιολόγηση. Πριν από την κοινολόγηση δεδομένων προσωπικού χαρακτήρα ή την πραγματοποίηση των ζητούμενων αλλαγών, ο Επικεφαλής Ιδιωτικότητας / Υπεύθυνος PIMS πρέπει να επαληθεύει στο REG06 την ταυτότητα του αιτούντος ή την εξουσιοδότηση εκπροσώπησης. Όταν η ταυτότητα ή η εξουσιοδότηση δεν είναι επαρκής, μπορεί να ζητείται μόνο η ελάχιστη πρόσθετη πληροφορία που απαιτείται για την επαλήθευση. Η πολιτική αναθέτει αιτήματα υψηλού κινδύνου, αμφισβητούμενα, ασαφή, υπερβολικά, επαναλαμβανόμενα, απορριφθέντα ή μερικώς ικανοποιημένα στον Υπεύθυνο Προστασίας Δεδομένων / Σύμβουλο Ιδιωτικότητας για ανασκόπηση πριν κοινοποιηθεί η απόφαση. Απαιτεί επίσης ανασκόπηση από τον Ιδιοκτήτη Συστήματος / Ιδιοκτήτη Εφαρμογής των αποσπασμάτων απάντησης, ώστε να αποκλείονται άσχετα δεδομένα προσωπικού χαρακτήρα και μη εξουσιοδοτημένα δεδομένα τρίτων μερών, καθώς και ανασκόπηση από τον Επικεφαλής Ασφάλειας Πληροφοριών των μεθόδων παράδοσης πριν κοινολογηθούν μεγάλου όγκου, ευαίσθητα, ειδικής κατηγορίας ή υψηλού κινδύνου δεδομένα προσωπικού χαρακτήρα. Οι απαιτήσεις ικανοποίησης είναι ειδικές για τη φύση του δικαιώματος. Οι ιδιοκτήτες επιχειρησιακών δραστηριοτήτων πρέπει να παρέχουν αποτελέσματα αναζήτησης πρόσβασης το αργότερο δέκα εργάσιμες ημέρες πριν από την προθεσμία απάντησης. Οι Ιδιοκτήτες Συστημάτων πρέπει να ολοκληρώνουν εγκεκριμένες ενέργειες διόρθωσης, διαγραφής, περιορισμού ή καταστολής και να καταγράφουν τεκμήρια ολοκλήρωσης στο REG06. Τα πακέτα απάντησης πρόσβασης και φορητότητας δεδομένων πρέπει να παραδίδονται μέσω εξουσιοδοτημένης μεθόδου, με τεκμήρια παράδοσης καταγεγραμμένα πριν από το κλείσιμο. Τα αιτήματα αντίρρησης πρέπει να αξιολογούνται και να καταγράφονται πριν συνεχιστεί ή διακοπεί η αμφισβητούμενη επεξεργασία. Τα αιτήματα που αφορούν αποκλειστικά αυτοματοποιημένες αποφάσεις απαιτούν ανασκόπηση πριν ο οργανισμός παράσχει αποτέλεσμα, διαδρομή ανθρώπινης ανασκόπησης ή αιτιολόγηση απόρριψης. Όταν τα εγκεκριμένα αποτελέσματα απαιτούν γνωστοποίηση σε εκτελούντες την επεξεργασία, υπεργολάβους επεξεργασίας, από κοινού υπευθύνους επεξεργασίας, αποδέκτες ή μέρη κοινοχρησίας δεδομένων που καταγράφονται στο REG08, ο Υπεύθυνος Προμηθευτών / Προμηθειών πρέπει να συντονίζει τη γνωστοποίηση αυτή. Η πολιτική ορίζει επίσης απαιτήσεις διακυβέρνησης, μέτρησης, εξαιρέσεων και εφαρμογής. Ο Επικεφαλής Ιδιωτικότητας / Υπεύθυνος PIMS έχει την ευθύνη για τη ροή εργασίας αιτημάτων άσκησης δικαιωμάτων, τη δομή του REG06, τις προθεσμίες, τους κανόνες ανάθεσης και τα κριτήρια κλεισίματος, με τουλάχιστον ετήσια ανασκόπηση και επικαιροποιήσεις μετά από ουσιώδη αλλαγή. Οι μετρικές περιλαμβάνουν μηνιαία μέτρηση αιτημάτων ανά τύπο, κατάσταση, ιδιοκτήτη επιχειρησιακής δραστηριότητας και δραστηριότητα επεξεργασίας, μηνιαία αναφορά εκπρόθεσμων στοιχείων, τριμηνιαία μέτρηση ποσοστών απόρριψης, μερικής ικανοποίησης και παράτασης, καθώς και τριμηνιαία ανασκόπηση επαναλαμβανόμενων θεμάτων, καταγγελιών, διαφορών και διορθωτικών ενεργειών. Οι προγραμματισμένοι έλεγχοι πρέπει να εξετάζουν δειγματοληπτικά κλειστά αρχεία REG06 και να καταγράφουν ευρήματα ποιότητας τεκμηρίων, τήρησης προθεσμιών και κλεισίματος στο REG12. Οι εξαιρέσεις πρέπει να εγκρίνονται στο REG12 πριν από την υλοποίηση, με ημερομηνίες λήξης, υπευθύνους και αντισταθμιστικούς ελέγχους. Οι διατάξεις εφαρμογής απαιτούν μη συμμορφώσεις, κλιμάκωση μη συνεργασίας τρίτων μερών, ανάθεση ιδιοκτησίας διορθωτικών ενεργειών από τη διοίκηση για συστημικές αστοχίες και ανασκόπηση REG10 όταν μια μη συμμόρφωση υποδηλώνει μη εξουσιοδοτημένη κοινολόγηση, απώλεια, αλλοίωση, μη διαθεσιμότητα ή άλλο ύποπτο περιστατικό που αφορά δεδομένα προσωπικού χαρακτήρα.

Διάγραμμα Πολιτικής

Διάγραμμα ροής διαδικασίας που παρουσιάζει την εισαγωγή αιτημάτων άσκησης δικαιωμάτων υποκειμένων των δεδομένων προσωπικού χαρακτήρα, την καταγραφή REG06, την επαλήθευση ταυτότητας, την αξιολόγηση έναντι αρχείων REG02, την ικανοποίηση ή απόρριψη, τον συντονισμό με τρίτα μέρη, την ασφαλή παράδοση απάντησης, τα τεκμήρια κλεισίματος, τις μετρικές και τις διορθωτικές ενέργειες.

Κάντε κλικ στο διάγραμμα για προβολή σε πλήρες μέγεθος

Περιεχόμενα

Εισαγωγή αιτημάτων άσκησης δικαιωμάτων και καταγραφή REG06

Επαλήθευση ταυτότητας και αξιολόγηση αιτήματος

Πρόσβαση, διόρθωση, διαγραφή, περιορισμός, φορητότητα δεδομένων και αντίρρηση

Τεκμήρια απόρριψης, παράτασης και κλεισίματος

Συνεργασία εκτελούντος την επεξεργασία, υπεργολάβου επεξεργασίας και τρίτων μερών

Μετρικές, εξαιρέσεις και διορθωτικές ενέργειες

Συμμόρφωση με πλαίσιο

🛡️ Υποστηριζόμενα πρότυπα & πλαίσια

Αυτό το προϊόν είναι ευθυγραμμισμένο με τα ακόλουθα πλαίσια συμμόρφωσης, με λεπτομερείς αντιστοιχίσεις ρητρών και ελέγχων.

Πλαίσιο Καλυπτόμενες ρήτρες / Έλεγχοι
ISO/IEC 27701:2025
Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.1.3.2Annex A.1.3.6Annex A.1.3.7Annex A.1.3.8Annex A.1.3.9Annex A.1.3.10Annex A.1.3.11Annex A.1.2.9Annex A.2.2.2Annex A.2.2.6Annex A.2.2.7Annex A.2.3.2Annex A.3.14
EU GDPR
Article 5(1)(a)Article 5(2)Article 11Article 12Article 15Article 16Article 17Article 18Article 19Article 20Article 21Article 22Article 24Article 26Article 28Article 30Article 32Article 39
ISO/IEC 29100:2020
Clause 5.8Clause 5.9Clause 5.10Clause 5.12
ISO/IEC 29151:2022
Annex A.10

Σχετικές πολιτικές

Πολιτική Συστήματος Διαχείρισης Πληροφοριών Ιδιωτικότητας

Παρέχει τη συνολική δομή διακυβέρνησης PIMS που υποστηρίζει τη διαχείριση αιτημάτων άσκησης δικαιωμάτων.

Πολιτική Απογραφής Επεξεργασίας και Νομικής Βάσης

Τα αιτήματα άσκησης δικαιωμάτων πρέπει να συνδέονται με δραστηριότητες επεξεργασίας, σκοπούς επεξεργασίας, κατηγορίες, αποδέκτες και περιορισμούς διατήρησης.

Πολιτική Διαχείρισης Συγκατάθεσης και Προτιμήσεων

Τα αιτήματα ανάκλησης συγκατάθεσης και αλλαγής προτιμήσεων που λαμβάνονται μέσω της διαδικασίας δικαιωμάτων δρομολογούνται στο REG05.

Πολιτική Διατήρησης, Διαγραφής και Διάθεσης

Οι εγκεκριμένες ενέργειες διαγραφής ολοκληρώνονται μέσω της εφαρμοστέας διαδικασίας διατήρησης και διαγραφής.

Πολιτική Διαχείρισης Εκτελούντων την Επεξεργασία, Υπεργολάβων Επεξεργασίας και Τρίτων Μερών σε Θέματα Ιδιωτικότητας

Η πολιτική βασίζεται στον συντονισμό με τρίτα μέρη, εκτελούντες την επεξεργασία και υπεργολάβους επεξεργασίας για ενέργειες υποστήριξης δικαιωμάτων και τεκμήρια.

Πολιτική Διαχείρισης Περιστατικών και Παραβιάσεων

Τα αιτήματα άσκησης δικαιωμάτων που υποδηλώνουν πιθανό περιστατικό που αφορά δεδομένα προσωπικού χαρακτήρα ή παραβίαση πρέπει να κλιμακώνονται στο REG10.

Σχετικά με τις Πολιτικές της Clarysec - Πολιτική Διαχείρισης Δικαιωμάτων Υποκειμένων των Δεδομένων Προσωπικού Χαρακτήρα

Η Πολιτική Διαχείρισης Δικαιωμάτων Υποκειμένων των Δεδομένων Προσωπικού Χαρακτήρα ορίζει μια επιχειρησιακή ροή εργασίας για τον χειρισμό αιτημάτων άσκησης δικαιωμάτων υποκειμένων των δεδομένων προσωπικού χαρακτήρα σε πλαίσια υπευθύνου επεξεργασίας, από κοινού υπευθύνου επεξεργασίας, εκτελούντος την επεξεργασία και υπεργολάβου επεξεργασίας. Αναθέτει λογοδοσία σε ρόλους όπως ο Επικεφαλής Ιδιωτικότητας / Υπεύθυνος PIMS, ο Ιδιοκτήτης Διεργασιών / Ιδιοκτήτης της Επιχείρησης, ο Ιδιοκτήτης Συστήματος / Ιδιοκτήτης Εφαρμογής, ο Υπεύθυνος Προστασίας Δεδομένων / Σύμβουλος Ιδιωτικότητας, ο Επικεφαλής Ασφάλειας Πληροφοριών, ο Υπεύθυνος Προμηθευτών / Προμηθειών, ο Συντονιστής Αντιμετώπισης Περιστατικών, ο Ανασκοπητής Εσωτερικού Ελέγχου / Συμμόρφωσης και η Ανώτατη Διοίκηση. Η πολιτική απαιτεί τεκμηριωμένη εισαγωγή, επαλήθευση ταυτότητας, αξιολόγηση, ικανοποίηση, απόρριψη, παράταση, κλείσιμο, παρακολούθηση, διαχείριση εξαιρέσεων και διορθωτικές ενέργειες, με τεκμήρια που αποτυπώνονται μέσω αρχείων όπως REG02, REG03, REG04, REG05, REG06, REG07, REG08, REG10, REG11 και REG12.

Καθορισμένος κύκλος ζωής αιτημάτων

Καλύπτει εισαγωγή, επικύρωση, αξιολόγηση, ικανοποίηση, απόρριψη, παράταση, κλείσιμο και παρακολούθηση.

Επαλήθευση πριν από την κοινολόγηση

Απαιτεί ελέγχους ταυτότητας ή εξουσιοδότησης εκπροσώπησης πριν από την κοινολόγηση δεδομένων προσωπικού χαρακτήρα ή τις ζητούμενες αλλαγές.

Συντονισμός με τρίτα μέρη

Θέτει απαιτήσεις για υποστήριξη από εκτελούντες την επεξεργασία, υπεργολάβους επεξεργασίας, από κοινού υπευθύνους επεξεργασίας και αποδέκτες μέσω του REG08.

Μετρημένη απόδοση ελέγχων

Απαιτεί μηνιαία και τριμηνιαία παρακολούθηση της κατάστασης αιτημάτων άσκησης δικαιωμάτων, της τήρησης προθεσμιών και των επαναλαμβανόμενων θεμάτων.

Συχνές ερωτήσεις

Σχεδιασμένο για Ηγέτες, από Ηγέτες

Η παρούσα πολιτική έχει συνταχθεί από ηγετικό στέλεχος ασφάλειας με περισσότερα από 25 έτη εμπειρίας στην υλοποίηση και τον έλεγχο πλαισίων ISMS σε παγκόσμιους οργανισμούς. Δεν έχει σχεδιαστεί απλώς ως έγγραφο, αλλά ως ένα τεκμηριωμένο πλαίσιο που αντέχει στον έλεγχο των ελεγκτών.

Συντάχθηκε από ειδικό που κατέχει:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Κάλυψη & Θέματα

🏢 Τμήματα-στόχοι

Ιδιωτικότητα Νομικό Τμήμα Συμμόρφωση Ασφάλεια Πληροφορικής Γραφείο DPO

🏷️ Θεματική κάλυψη

Διαχείριση Πληροφοριών Ιδιωτικότητας Διαχείριση Δικαιωμάτων Υποκειμένων Δεδομένων Επεξεργασία Δεδομένων Προσωπικού Χαρακτήρα Αρμοδιότητες Υπευθύνου και Εκτελούντος την Επεξεργασία Διαχείριση Τρίτων Μερών Παρακολούθηση και Μέτρηση Συνεχής Βελτίωση
€59

Εφάπαξ αγορά

Άμεση λήψη
Ενημερώσεις εφ' όρου ζωής

Αυτή η πολιτική είναι 1 από 25 στο πλήρες πακέτο ISO/IEC 27701 PIMS

Εξοικονομήστε 52%

Αποκτήστε και τις 25 πολιτικές PIMS, το πλήρες σύνολο μητρώων και ένα λεπτομερές σχέδιο υλοποίησης για €799, αντί για €1.675 ξεχωριστά.

Δείτε το πλήρες πακέτο 27701 →
PII Principal Rights Management Policy

Λεπτομέρειες προϊόντος

Τύπος: policy
Κατηγορία: ISO 27701 PIMS Policy Pack
Πρότυπα: 4