policy ISO 27701 PIMS Policy Pack

Πολιτική Διατήρησης, Διαγραφής και Διάθεσης Δεδομένων Προσωπικού Χαρακτήρα

Καθορίζει ελέγχους διατήρησης, διαγραφής και διάθεσης δεδομένων προσωπικού χαρακτήρα με διακυβέρνηση έτοιμη για τεκμηρίωση σε συστήματα, αντίγραφα ασφαλείας, εκτελούντες την επεξεργασία και εξαιρέσεις.

Επισκόπηση

Η παρούσα πολιτική καθορίζει τον τρόπο με τον οποίο διέπονται και τεκμηριώνονται η διατήρηση, η διαγραφή, η ανωνυμοποίηση, η αποταυτοποίηση, η επιστροφή, η μεταφορά και η διάθεση δεδομένων προσωπικού χαρακτήρα. Εφαρμόζεται σε πλαίσια υπευθύνου επεξεργασίας, από κοινού υπευθύνου επεξεργασίας, εκτελούντος την επεξεργασία και υπεργολάβου επεξεργασίας και καλύπτει ενεργά συστήματα, αντίγραφα ασφαλείας, αρχεία, αρχεία καταγραφής, προσωρινά αρχεία, έντυπα αρχεία και μέσα αποθήκευσης.

Κανόνες διατήρησης πριν από τη χρήση

Απαιτεί τεκμηριωμένες περιόδους, γεγονότα έναρξης, ιδιοκτήτες, αιτιολογήσεις, τελική διάθεση και ημερομηνίες ανασκόπησης στο REG02 πριν από την έγκριση.

Ελεγχόμενη τελική διάθεση

Καλύπτει τη διαγραφή, την επιστροφή, τη μεταφορά, την ανωνυμοποίηση, την αποταυτοποίηση και την ασφαλή διάθεση σε ενεργά δεδομένα, αρχεία και αντίγραφα ασφαλείας.

Ευθυγράμμιση εκτελούντων την επεξεργασία

Απαιτεί εντολές πελάτη, μετακυλιόμενες απαιτήσεις για υπεργολάβους επεξεργασίας και τεκμήρια τελικής διάθεσης στο REG08.

Διαβάστε πλήρη επισκόπηση (click to expand)
Η Πολιτική Διατήρησης, Διαγραφής και Διάθεσης Δεδομένων Προσωπικού Χαρακτήρα καθορίζει τις απαιτήσεις του οργανισμού για τον ορισμό, την ανασκόπηση, την εκτέλεση και την τεκμηρίωση της διατήρησης, διαγραφής, ανωνυμοποίησης, αποταυτοποίησης, επιστροφής, μεταφοράς και διάθεσης δεδομένων προσωπικού χαρακτήρα. Κεντρικός σκοπός της είναι να διασφαλίζει ότι τα δεδομένα προσωπικού χαρακτήρα διατηρούνται μόνο για εγκεκριμένους σκοπούς και περιόδους, διαγράφονται ή διατίθενται με άλλο τρόπο όταν δεν απαιτούνται πλέον και υποστηρίζονται από τεκμήρια κατάλληλα για έλεγχο. Η πολιτική εφαρμόζεται σε πλαίσια υπευθύνου επεξεργασίας, από κοινού υπευθύνου επεξεργασίας, εκτελούντος την επεξεργασία και υπεργολάβου επεξεργασίας, αναγνωρίζοντας ότι οι υποχρεώσεις διατήρησης και τελικής διάθεσης μπορεί να προκύπτουν από εγκεκριμένους σκοπούς επεξεργασίας, αρχεία νομικής βάσης, εντολές υπευθύνου επεξεργασίας, συμβατικές απαιτήσεις, αποτελέσματα διαγραφής υποκειμένου των δεδομένων προσωπικού χαρακτήρα, έξοδο από υπηρεσία, διάθεση μέσων αποθήκευσης και ευρήματα παρακολούθησης του PIMS. Η πολιτική έχει επιχειρησιακή εστίαση και απαιτεί η διακυβέρνηση διατήρησης να ενσωματώνεται στα κανονικά αρχεία τεκμηρίων του PIMS αντί να τηρείται σε ξεχωριστό μητρώο διαγραφών. Οι δραστηριότητες επεξεργασίας του υπευθύνου επεξεργασίας πρέπει να έχουν τεκμηριωμένο κανόνα διατήρησης καταχωρισμένο στο REG02 πριν από την έναρξη της επεξεργασίας. Οι αρμοδιότητες από κοινού υπευθύνων επεξεργασίας καταγράφονται στο REG02 και στο REG08, ενώ οι οδηγίες διατήρησης, επιστροφής, μεταφοράς και διαγραφής για εκτελούντες την επεξεργασία και υπεργολάβους επεξεργασίας τηρούνται στο REG08. Οι εγκεκριμένοι κανόνες διατήρησης πρέπει να περιλαμβάνουν την περίοδο διατήρησης, το γεγονός έναρξης, τον ιδιοκτήτη, την αιτιολόγηση, την τελική διάθεση και την ημερομηνία επόμενης ανασκόπησης. Η πολιτική απαιτεί επίσης συμβουλή από τον Υπεύθυνο Προστασίας Δεδομένων ή τον Σύμβουλο Ιδιωτικότητας πριν από την έγκριση κανόνων διατήρησης που περιλαμβάνουν νομική σύγκρουση, επεξεργασία υψηλού κινδύνου, δεδομένα προσωπικού χαρακτήρα ειδικής κατηγορίας ή διατήρηση πέραν του αρχικού σκοπού επεξεργασίας. Οι απαιτήσεις εκτέλεσης καλύπτουν πλήρως τον κύκλο ζωής των δεδομένων προσωπικού χαρακτήρα. Ο Ιδιοκτήτης συστήματος / Ιδιοκτήτης Εφαρμογής πρέπει να εκτελεί ή να προγραμματίζει την εγκεκριμένη διαγραφή, επιστροφή, μεταφορά, ανωνυμοποίηση, αποταυτοποίηση ή διάθεση εντός του παραθύρου διαγραφής που έχει καταγραφεί για τον εφαρμοστέο κανόνα διατήρησης. Η πολιτική διακρίνει τα ενεργά συστήματα, τα αρχεία, τα αντίγραφα ασφαλείας, τα αντίγραφα, τα αρχεία καταγραφής, τις περιοχές σταδιοποίησης και τα προσωρινά αρχεία, απαιτώντας τα αποθετήρια αυτά να προσδιορίζονται στο REG02 πριν από τη θέση σε λειτουργία παραγωγής και κατά την ετήσια ανασκόπηση διατήρησης. Απαιτεί επίσης την τεκμηρίωση των παραθύρων διατήρησης αντιγράφων ασφαλείας και του χειρισμού διαγραφής κατά την επαναφορά, καθώς και την εκ νέου εφαρμογή ληγμένων ενεργειών διαγραφής ή περιορισμού σε δεδομένα αντιγράφων ασφαλείας που έχουν επαναφερθεί, πριν αποδεσμευθεί το αποκατεστημένο περιβάλλον για επιχειρησιακή χρήση. Τα προσωρινά αρχεία και τα αντίγραφα σταδιοποίησης που περιέχουν δεδομένα προσωπικού χαρακτήρα πρέπει να διαγράφονται ή να διατίθενται εντός της τεκμηριωμένης περιόδου του REG02 μετά τη λήξη της σχετικής εργασίας επεξεργασίας. Η πολιτική καλύπτει επίσης την ασφαλή διάθεση, την ανωνυμοποίηση, την αποταυτοποίηση, τον έλεγχο εξαιρέσεων και την παρακολούθηση. Οι κατηγορίες μεθόδων διάθεσης για μέσα αποθήκευσης που περιέχουν ή μπορεί να περιέχουν δεδομένα προσωπικού χαρακτήρα πρέπει να εγκρίνονται από τον Επικεφαλής Ασφάλειας Πληροφοριών στο REG12 πριν από επαναχρησιμοποίηση, αποδέσμευση, καταστροφή ή εξωτερική διάθεση. Η ανωνυμοποίηση ή η αποταυτοποίηση μπορεί να χρησιμοποιείται ως μέτρο μείωσης του κινδύνου διατήρησης ή ως αποτέλεσμα τελικής διάθεσης, αλλά πρέπει να τεκμηριώνεται στο REG02 και να εγκρίνεται από τον Επικεφαλής Ιδιωτικότητας / Υπεύθυνο PIMS πριν διατηρηθούν ταυτοποιήσιμα δεδομένα προσωπικού χαρακτήρα πέραν του σκοπού ή της περιόδου διατήρησής τους. Οι εξαιρέσεις από εγκεκριμένους κανόνες διατήρησης πρέπει να υποβάλλονται και να εγκρίνονται στο REG12 πριν ενεργοποιηθούν, με μηνιαία ανασκόπηση έως το κλείσιμο. Μετρικές όπως η πληρότητα μεταδεδομένων διατήρησης, οι εκπρόθεσμες ανασκοπήσεις, οι εκπρόθεσμες ενέργειες κύκλου ζωής και τα εκπρόθεσμα τεκμήρια τελικής διάθεσης μετρώνται σε καθορισμένα διαστήματα, ενώ οι μη συμμορφώσεις, τα ευρήματα ελέγχου και οι διορθωτικές ενέργειες συνδέονται με το REG12 για την υποστήριξη της συνεχούς βελτίωσης.

Διάγραμμα Πολιτικής

Διάγραμμα ροής διαδικασίας που παρουσιάζει τη διακυβέρνηση διατήρησης δεδομένων προσωπικού χαρακτήρα από την ανάθεση κανόνα διατήρησης στο REG02, την ετήσια ανασκόπηση και την τεχνική εφαρμογή έως τη διαγραφή, επιστροφή, μεταφορά, ανωνυμοποίηση ή διάθεση, με τεκμήρια εκτελούντος την επεξεργασία στο REG08, εξαιρέσεις και διορθωτικές ενέργειες στο REG12 και κλιμάκωση περιστατικών στο REG10 όταν οι αστοχίες πληρούν τα κριτήρια περιστατικού που αφορά δεδομένα προσωπικού χαρακτήρα.

Κάντε κλικ στο διάγραμμα για προβολή σε πλήρες μέγεθος

Περιεχόμενα

Ιδιοκτησία κανόνων διατήρησης και απαιτούμενα μεταδεδομένα

Εκτέλεση διαγραφής, επιστροφής, μεταφοράς και διάθεσης

Αντίγραφα ασφαλείας, αρχεία, αντίγραφα, αρχεία καταγραφής και προσωρινά αρχεία

Ανωνυμοποίηση, αποταυτοποίηση και ελαχιστοποίηση διατήρησης

Εξαιρέσεις, μη συμμορφώσεις και διορθωτική ενέργεια

Μετρικές, δειγματοληψία ελέγχου και συντήρηση πολιτικής

Συμμόρφωση με πλαίσιο

🛡️ Υποστηριζόμενα πρότυπα & πλαίσια

Αυτό το προϊόν είναι ευθυγραμμισμένο με τα ακόλουθα πλαίσια συμμόρφωσης, με λεπτομερείς αντιστοιχίσεις ρητρών και ελέγχων.

Πλαίσιο Καλυπτόμενες ρήτρες / Έλεγχοι
ISO/IEC 29100:2020
Clause 5.5Clause 5.6Clause 5.10
ISO/IEC 29151:2022
Annex A.7Annex A.7.2
EU GDPR
Article 5(1)(e)Article 5(2)Article 17Article 24Article 26Article 28Article 30Article 32
ISO/IEC 27701:2025
Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.1.2.8Annex A.1.2.9Annex A.1.3.7Annex A.1.3.8Annex A.1.4.6Annex A.1.4.7Annex A.1.4.8Annex A.1.4.9Annex A.2.2.2Annex A.2.2.3Annex A.2.2.7Annex A.2.3.2Annex A.2.4.2Annex A.2.4.3Annex A.3.20Annex A.3.21Annex A.3.24
ISO/IEC 27555:2025
Clause 5.1Clause 5.2Clause 5.3Clause 5.4Clause 5.5Clause 5.6Clause 5.8Clause 7.2Clause 7.3Clause 8.3Clause 9.1Clause 9.2Clause 9.3Clause 9.4Clause 9.5Clause 9.6Clause 9.7Clause 10.1Clause 10.2Clause 10.3
ISO/IEC 27557:2022
Clause 4Clause 5.2Clause 5.3Clause 5.4.1
ISO/IEC 27002:2022
Control 7.14Control 8.10

Σχετικές πολιτικές

Πολιτική Διαχείρισης Δικαιωμάτων Υποκειμένων Δεδομένων Προσωπικού Χαρακτήρα

Τα εγκεκριμένα αιτήματα διαγραφής ενεργοποιούν αξιολόγηση διαγραφής στο REG06 και στο REG02 βάσει της παρούσας πολιτικής διατήρησης.

Πολιτική Διαχείρισης Εκτελούντων την Επεξεργασία, Υπεργολάβων Επεξεργασίας και Τρίτων Μερών σε Θέματα Ιδιωτικότητας

Τα τεκμήρια επιστροφής, μεταφοράς, διαγραφής και διάθεσης από εκτελούντες την επεξεργασία, υπεργολάβους επεξεργασίας και τρίτα μέρη διαχειρίζονται μέσω του REG08.

Πολιτική Ασφάλειας και Ελέγχου Πρόσβασης

Οι κατηγορίες μεθόδων ασφαλούς διάθεσης, ο χειρισμός μέσων αποθήκευσης και η τεχνική εφαρμογή εξαρτώνται από τους ελέγχους ασφάλειας.

Πολιτική Διαχείρισης Περιστατικών και Παραβιάσεων

Αστοχίες διατήρησης, διαγραφής ή διάθεσης που πληρούν τα κριτήρια περιστατικού που αφορά δεδομένα προσωπικού χαρακτήρα απαιτούν χειρισμό στο REG10.

Πολιτική Παρακολούθησης, Ελέγχου και Βελτίωσης PIMS

Οι μετρικές διατήρησης, η δειγματοληψία τεκμηρίων, οι μη συμμορφώσεις και οι διορθωτικές ενέργειες ενσωματώνονται με την παρακολούθηση και τη βελτίωση.

Πολιτική Αποθετηρίου Επεξεργασίας και Νομικής Βάσης

Οι κανόνες διατήρησης και τα μεταδεδομένα τελικής διάθεσης καταγράφονται στο Αποθετήριο Επεξεργασίας Δεδομένων Προσωπικού Χαρακτήρα / ROPA.

Σχετικά με τις Πολιτικές της Clarysec - Πολιτική Διατήρησης, Διαγραφής και Διάθεσης Δεδομένων Προσωπικού Χαρακτήρα

Η Πολιτική Διατήρησης, Διαγραφής και Διάθεσης Δεδομένων Προσωπικού Χαρακτήρα μετατρέπει τον περιορισμό αποθήκευσης σε ελέγξιμο λειτουργικό μοντέλο. Απαιτεί οι κανόνες διατήρησης να καθορίζονται πριν από την έναρξη της επεξεργασίας, να καταγράφονται στο REG02, να ευθυγραμμίζονται με εντολές υπευθύνου επεξεργασίας ή εντολές πελάτη και να ανασκοπούνται τουλάχιστον ετησίως ή μετά από ουσιώδη αλλαγή. Η πολιτική καλύπτει τη διαγραφή, την επιστροφή, τη μεταφορά, την ανωνυμοποίηση, την αποταυτοποίηση και την ασφαλή διάθεση σε ενεργά συστήματα, αρχεία, αντίγραφα ασφαλείας, αντίγραφα, αρχεία καταγραφής, περιοχές σταδιοποίησης, προσωρινά αρχεία, έντυπα αρχεία και μέσα αποθήκευσης. Καθορίζει επίσης ρόλους διακυβέρνησης, απαιτήσεις τεκμηρίων για εκτελούντες την επεξεργασία και υπεργολάβους επεξεργασίας, διαχείριση εξαιρέσεων στο REG12, κλιμάκωση περιστατικών μέσω του REG10 όπου εφαρμόζεται και παρακολούθηση βάσει μετρικών για συνεχή βελτίωση.

Καθορισμένα μεταδεδομένα διατήρησης

Απαιτεί περίοδο, γεγονός έναρξης, ιδιοκτήτη, αιτιολόγηση, τελική διάθεση και ημερομηνία επόμενης ανασκόπησης πριν από την έγκριση.

Έλεγχοι ασφαλούς διάθεσης

Απαιτεί εγκεκριμένες κατηγορίες μεθόδων διάθεσης πριν από την επαναχρησιμοποίηση, αποδέσμευση, καταστροφή ή εξωτερική διάθεση μέσων που περιέχουν δεδομένα προσωπικού χαρακτήρα.

Χειρισμός αντιγράφων ασφαλείας και αρχείων

Εφαρμόζει κανόνες διατήρησης στα αρχεία και τεκμηριώνει παράθυρα αντιγράφων ασφαλείας, χειρισμό επαναφοράς και τεχνικούς περιορισμούς.

Τεκμήρια προμηθευτών

Απαιτεί τεκμήρια από εκτελούντες την επεξεργασία, υπεργολάβους επεξεργασίας και εξωτερικές υπηρεσίες για ενέργειες επιστροφής, μεταφοράς, διαγραφής και διάθεσης.

Διακυβέρνηση εξαιρέσεων

Απαιτεί χρονικά περιορισμένες εγκεκριμένες εξαιρέσεις με ιδιοκτήτες, ημερομηνίες λήξης, αντισταθμιστικούς ελέγχους και μηνιαία ανασκόπηση.

Συχνές ερωτήσεις

Σχεδιασμένο για Ηγέτες, από Ηγέτες

Η παρούσα πολιτική έχει συνταχθεί από ηγετικό στέλεχος ασφάλειας με περισσότερα από 25 έτη εμπειρίας στην υλοποίηση και τον έλεγχο πλαισίων ISMS σε παγκόσμιους οργανισμούς. Δεν έχει σχεδιαστεί απλώς ως έγγραφο, αλλά ως ένα τεκμηριωμένο πλαίσιο που αντέχει στον έλεγχο των ελεγκτών.

Συντάχθηκε από ειδικό που κατέχει:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Κάλυψη & Θέματα

🏢 Τμήματα-στόχοι

Ιδιωτικότητα Νομικό Τμήμα Συμμόρφωση Ασφάλεια Πληροφορικής Γραφείο DPO

🏷️ Θεματική κάλυψη

Διατήρηση και διάθεση δεδομένων Αρχεία δραστηριοτήτων επεξεργασίας Διαχείριση δικαιωμάτων υποκειμένων δεδομένων Αρμοδιότητες υπευθύνου επεξεργασίας και εκτελούντος την επεξεργασία Διαχείριση τρίτων μερών Διαχείριση συμμόρφωσης Διαχείριση κινδύνων
€79

Εφάπαξ αγορά

Άμεση λήψη
Ενημερώσεις εφ' όρου ζωής

Αυτή η πολιτική είναι 1 από 25 στο πλήρες πακέτο ISO/IEC 27701 PIMS

Εξοικονομήστε 52%

Αποκτήστε και τις 25 πολιτικές PIMS, το πλήρες σύνολο μητρώων και ένα λεπτομερές σχέδιο υλοποίησης για €799, αντί για €1.675 ξεχωριστά.

Δείτε το πλήρες πακέτο 27701 →
PII Retention, Deletion and Disposal Policy

Λεπτομέρειες προϊόντος

Τύπος: policy
Κατηγορία: ISO 27701 PIMS Policy Pack
Πρότυπα: 7