policy ISO 27701 PIMS Policy Pack

Πολιτική Ειδοποιήσεων Ιδιωτικότητας και Διαφάνειας

Πολιτική ειδοποιήσεων ιδιωτικότητας ISO 27701 για σαφή, επίκαιρη, εγκεκριμένη και τεκμηριωμένη διαφάνεια σε όλη την επεξεργασία δεδομένων προσωπικού χαρακτήρα από υπεύθυνο επεξεργασίας και εκτελούντα την επεξεργασία.

Επισκόπηση

Η παρούσα πολιτική ορίζει πώς οι ειδοποιήσεις ιδιωτικότητας δημιουργούνται, εγκρίνονται, δημοσιεύονται, ανασκοπούνται, επικαιροποιούνται και τεκμηριώνονται εντός του PIMS. Εστιάζει τη διακυβέρνηση ειδοποιήσεων στο REG07, συνδέει το περιεχόμενο των ειδοποιήσεων με τα αρχεία επεξεργασίας REG02 και τους διαύλους αιτημάτων άσκησης δικαιωμάτων REG06, και απαιτεί τεκμηριωμένη ανασκόπηση, τεκμήρια δημοσίευσης, εξαιρέσεις, μετρικές και διορθωτικές ενέργειες στο REG12.

Έλεγχος ειδοποιήσεων REG07

Καθιερώνει το REG07 ως έγκυρο αρχείο για το αποθετήριο ειδοποιήσεων, την έγκριση, τη δημοσίευση, την ανασκόπηση, τη γλώσσα και τα τεκμήρια εκδόσεων.

Σύνδεση σκοπού REG02

Απαιτεί κάθε ενεργή ειδοποίηση ιδιωτικότητας να συνδέεται με τους τρέχοντες σκοπούς επεξεργασίας, τις αναφορές νομικής βάσης, τις κατηγορίες, τη διατήρηση και τις διαβιβάσεις.

Έγκριση πριν από τη συλλογή

Αποτρέπει την έναρξη ή χρήση διαύλου συλλογής από τον υπεύθυνο επεξεργασίας όταν λείπουν τα απαιτούμενα τεκμήρια εγκεκριμένης ειδοποίησης ιδιωτικότητας πριν από τη θέση σε λειτουργία.

Υποστήριξη υπευθύνου επεξεργασίας και εκτελούντος την επεξεργασία

Ορίζει υποχρεώσεις διαφάνειας για πλαίσια υποστήριξης ειδοποιήσεων του υπευθύνου επεξεργασίας, του από κοινού υπευθύνου επεξεργασίας, του εκτελούντος την επεξεργασία και του υπεργολάβου επεξεργασίας εντός του πεδίου εφαρμογής του PIMS.

Διαβάστε πλήρη επισκόπηση (click to expand)
Η Πολιτική Ειδοποιήσεων Ιδιωτικότητας και Διαφάνειας ορίζει τις απαιτήσεις του οργανισμού για τη δημιουργία, έγκριση, δημοσίευση, διατήρηση, ανασκόπηση και τεκμηρίωση ειδοποιήσεων ιδιωτικότητας και πληροφοριών διαφάνειας για την επεξεργασία δεδομένων προσωπικού χαρακτήρα εντός του πεδίου εφαρμογής του PIMS. Ο δηλωμένος σκοπός της είναι να διασφαλίζει ότι τα υποκείμενα των δεδομένων προσωπικού χαρακτήρα λαμβάνουν «σαφείς, επίκαιρες, προσβάσιμες και ελέγξιμες ειδοποιήσεις ιδιωτικότητας πριν από ή στο απαιτούμενο σημείο του κύκλου ζωής της επεξεργασίας δεδομένων προσωπικού χαρακτήρα». Η πολιτική εφαρμόζεται στην επεξεργασία από υπεύθυνο επεξεργασίας, στις πληροφορίες διαφάνειας από κοινού υπευθύνων επεξεργασίας και στην υποστήριξη από εκτελούντα την επεξεργασία ή υπεργολάβο επεξεργασίας για τις υποχρεώσεις ειδοποιήσεων του υπευθύνου επεξεργασίας, όταν ο οργανισμός ενεργεί βάσει τεκμηριωμένων εντολών πελάτη ή εκτελούντος την επεξεργασία. Ιδιοκτήτης της είναι ο Επικεφαλής Ιδιωτικότητας / Υπεύθυνος PIMS, εγκρίνεται από την Ανώτατη Διοίκηση και χρησιμοποιεί τα REG02, REG06, REG07, REG11 και REG12 ως αντικείμενα τεκμηρίων. Κεντρικό στοιχείο της πολιτικής είναι ο έλεγχος του περιεχομένου των ειδοποιήσεων ιδιωτικότητας μέσω του REG07. Η πολιτική καθιερώνει το REG07 ως το έγκυρο αντικείμενο τεκμηρίων για το αποθετήριο ειδοποιήσεων, την έγκριση, τη δημοσίευση, την ανασκόπηση, τη γλώσσα και τα αρχεία ελέγχου εκδόσεων. Για επεξεργασία από υπεύθυνο επεξεργασίας, οι Ιδιοκτήτες Διεργασιών / Ιδιοκτήτες της επιχείρησης πρέπει να δημιουργούν αρχείο ειδοποίησης ιδιωτικότητας REG07 συνδεδεμένο με τη σχετική δραστηριότητα επεξεργασίας REG02 πριν από την έναρξη οποιουδήποτε νέου διαύλου συλλογής δεδομένων προσωπικού χαρακτήρα, υπηρεσίας, εντύπου, εκστρατείας, προϊόντος ή λειτουργίας. Όταν τα δεδομένα προσωπικού χαρακτήρα λαμβάνονται από πηγή άλλη από το υποκείμενο των δεδομένων προσωπικού χαρακτήρα, το αρχείο πρέπει να δημιουργείται πριν από την πρώτη επικοινωνία, πριν από την πρώτη κοινολόγηση σε τρίτο μέρος ή εντός 20 εργάσιμων ημερών από τη λήψη των δεδομένων προσωπικού χαρακτήρα, όποιο από αυτά συμβεί πρώτο. Η πολιτική απαιτεί επίσης οι ειδοποιήσεις να συνδέονται με τους τρέχοντες σκοπούς επεξεργασίας REG02, τις αναφορές νομικής βάσης, τις κατηγορίες δεδομένων προσωπικού χαρακτήρα, τις κατηγορίες υποκειμένων των δεδομένων προσωπικού χαρακτήρα, τις κατηγορίες πηγών, τις κατηγορίες αποδεκτών, τις αναφορές διατήρησης και τις αναφορές διαβίβασης. Η πολιτική ορίζει δομημένο κύκλο ζωής έγκρισης και δημοσίευσης. Οι Ιδιοκτήτες Διεργασιών / Ιδιοκτήτες της επιχείρησης πιστοποιούν την ακρίβεια και πληρότητα του περιεχομένου της ειδοποίησης και υποβάλλουν το αρχείο REG07 για έγκριση από τον Επικεφαλής Ιδιωτικότητας / Υπεύθυνο PIMS πριν από τη δημοσίευση ή την ενεργοποίηση διαύλου συλλογής. Ο Επικεφαλής Ιδιωτικότητας / Υπεύθυνος PIMS επαληθεύει τη συνέπεια με το REG02 και εγκρίνει ή απορρίπτει την ειδοποίηση. Οι Ιδιοκτήτες Συστημάτων / Ιδιοκτήτες Εφαρμογών μπορούν να δημοσιεύουν μόνο την εγκεκριμένη έκδοση ειδοποίησης REG07 πριν από την ενεργοποίηση ψηφιακών διαύλων συλλογής, ενώ οι Ιδιοκτήτες Διεργασιών / Ιδιοκτήτες της επιχείρησης πρέπει να καθιστούν τις εγκεκριμένες ειδοποιήσεις διαθέσιμες μέσω μη ψηφιακών διαύλων πριν από τη συλλογή δεδομένων προσωπικού χαρακτήρα. Τα τεκμήρια δημοσίευσης, συμπεριλαμβανομένης της τοποθεσίας και της χρονοσήμανσης ή ισοδύναμης απόδειξης, πρέπει να καταχωρίζονται στο REG07 εντός δύο εργάσιμων ημερών μετά τη δημοσίευση. Εάν λείπουν τα απαιτούμενα τεκμήρια εγκεκριμένης ειδοποίησης, ο νέος δίαυλος συλλογής του υπευθύνου επεξεργασίας δεν πρέπει να τίθεται σε λειτουργία. Η ποιότητα της διαφάνειας αντιμετωπίζεται μέσω ελέγχων γλώσσας, προσβασιμότητας, έκδοσης και αλλαγών. Η πολιτική απαιτεί αναγνώριση των στοχευόμενων υποκειμένων των δεδομένων προσωπικού χαρακτήρα και των απαιτούμενων γλωσσικών εκδόσεων πριν από την έγκριση. Απαιτεί τεκμήρια σαφούς γλώσσας και καταλληλότητας για τους αποδέκτες στο REG07, μεταφρασμένες ή τοπικοποιημένες εκδόσεις πριν από τη δημοσίευση και ισοτιμία εκδόσεων μεταξύ κύριας και τοπικοποιημένων ειδοποιήσεων εντός 10 εργάσιμων ημερών μετά από ουσιώδη επικαιροποίηση. Οι παρωχημένες εκδόσεις ειδοποιήσεων πρέπει να αφαιρούνται, να ανακατευθύνονται ή να επισημαίνονται εντός πέντε εργάσιμων ημερών μετά τη δημοσίευση της αντικατάστασης, ενώ οι αντικατασταθείσες εκδόσεις, οι ημερομηνίες έναρξης ισχύος, τα τεκμήρια έγκρισης και τα τεκμήρια δημοσίευσης πρέπει να διατηρούνται στο REG07. Ουσιώδεις αλλαγές στην ταυτότητα του υπευθύνου επεξεργασίας, στο σημείο επαφής, στον σκοπό επεξεργασίας, στη νομική βάση, στις κατηγορίες δεδομένων προσωπικού χαρακτήρα, στις κατηγορίες αποδεκτών, στις αναφορές διατήρησης, στις αναφορές διαβίβασης, στους διαύλους αιτημάτων άσκησης δικαιωμάτων, στους διαύλους παραπόνων ή επικοινωνίας για την ιδιωτικότητα, στην κάλυψη γλωσσών, στους διαύλους δημοσίευσης ή στο πλαίσιο επεξεργασίας ενεργοποιούν ελέγχους επικαιροποίησης ειδοποιήσεων. Η πολιτική περιλαμβάνει επίσης απαιτήσεις διακυβέρνησης, μέτρησης, εξαίρεσης, εφαρμογής και συντήρησης. Οι ενεργές ειδοποιήσεις REG07 ανασκοπούνται τουλάχιστον ετησίως και εντός 30 ημερών μετά από ουσιώδεις νομικές, ρυθμιστικές, συμβατικές ή επεξεργαστικές αλλαγές. Τα αρχεία ειδοποιήσεων REG07 συμφωνούνται ανά τρίμηνο με τους σκοπούς επεξεργασίας REG02, με τις μη επιλυμένες ασυμφωνίες να καταχωρίζονται στο REG12. Οι μετρικές περιλαμβάνουν το ποσοστό ενεργών ειδοποιήσεων που συνδέονται με τρέχοντες σκοπούς REG02, ειδοποιήσεις που ανασκοπήθηκαν έως την καταληκτική ημερομηνία, καθυστερημένες επικαιροποιήσεις, μη επιλυμένες ασυμφωνίες, αποκλεισμένους ή καθυστερημένους διαύλους συλλογής, αιτήματα υποστήριξης ειδοποιήσεων πελατών που ολοκληρώθηκαν εγκαίρως και ειδοποιήσεις με τρέχοντα τεκμήρια γλώσσας, έκδοσης, έγκρισης και δημοσίευσης. Οι εξαιρέσεις πρέπει να καταχωρίζονται στο REG12 πριν από την εμφάνιση αποκλίσεων, με απαιτούμενη συμβουλή σε θέματα ιδιωτικότητας και έγκριση από την Ανώτατη Διοίκηση για καθορισμένες εξαιρέσεις που σχετίζονται με ειδοποιήσεις. Ελλιπή, ανακριβή, μη δημοσιευμένα, μη εγκεκριμένα ή παρωχημένα τεκμήρια ειδοποιήσεων καταχωρίζονται ως μη συμμόρφωση, ενώ ουσιωδώς ανακριβείς ή παραπλανητικές ειδοποιήσεις κλιμακώνονται στον Υπεύθυνο Προστασίας Δεδομένων / Σύμβουλο Ιδιωτικότητας και στην Ανώτατη Διοίκηση εντός δύο εργάσιμων ημερών από την επιβεβαίωση.

Διάγραμμα Πολιτικής

Διάγραμμα ροής διαδικασίας που παρουσιάζει τη διακυβέρνηση ειδοποιήσεων ιδιωτικότητας: δημιουργία αρχείου ειδοποίησης REG07, σύνδεση με σκοπούς επεξεργασίας REG02 και επαφές REG06, ανασκόπηση περιεχομένου και συμβουλή σχετική με την ιδιωτικότητα, έγκριση από τον Επικεφαλής Ιδιωτικότητας, δημοσίευση εγκεκριμένης ειδοποίησης, καταχώριση τεκμηρίων δημοσίευσης και έκδοσης, παρακολούθηση αλλαγών, τριμηνιαία συμφωνία και καταχώριση εξαιρέσεων ή διορθωτικών ενεργειών στο REG12.

Κάντε κλικ στο διάγραμμα για προβολή σε πλήρες μέγεθος

Περιεχόμενα

Απαιτήσεις αποθετηρίου ειδοποιήσεων ιδιωτικότητας REG07 και ελέγχου εκδόσεων

Σύνδεση σκοπού επεξεργασίας και νομικής βάσης REG02

Τεκμήρια έγκρισης, δημοσίευσης, γλώσσας, προσβασιμότητας και αντικατασταθείσας ειδοποίησης

Εναύσματα ουσιώδους αλλαγής ειδοποίησης, ετήσια ανασκόπηση και τριμηνιαία συμφωνία

Υποστήριξη εκτελούντος την επεξεργασία και υπεργολάβου επεξεργασίας για υποχρεώσεις ειδοποιήσεων του υπευθύνου επεξεργασίας

Εξαιρέσεις, μη συμμορφώσεις, διορθωτικές ενέργειες, μετρικές και δειγματοληψία ελέγχου

Συμμόρφωση με πλαίσιο

🛡️ Υποστηριζόμενα πρότυπα & πλαίσια

Αυτό το προϊόν είναι ευθυγραμμισμένο με τα ακόλουθα πλαίσια συμμόρφωσης, με λεπτομερείς αντιστοιχίσεις ρητρών και ελέγχων.

Πλαίσιο Καλυπτόμενες ρήτρες / Έλεγχοι
ISO/IEC 27701:2025
Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.1.2.2Annex A.1.2.3Annex A.1.2.9Annex A.1.3.2Annex A.1.3.3Annex A.1.3.4Annex A.1.2.8Annex A.2.2.2Annex A.2.2.6Annex A.2.3.2
EU GDPR
Article 5(1)(a)Article 5(2)Article 12Article 13Article 14Article 24Article 26Article 28Article 30
ISO/IEC 29100:2020
Clause 5.3Clause 5.8Clause 5.10
ISO/IEC 29151:2022
Annex A.9.1Annex A.9.2
ISO/IEC 29184:2020
Clause 5.1Clause 5.2Clause 5.3

Σχετικές πολιτικές

Πολιτική Απογραφής Επεξεργασίας και Νομικής Βάσης

Οι ειδοποιήσεις ιδιωτικότητας πρέπει να συνδέονται με τους σκοπούς επεξεργασίας REG02, τις αναφορές νομικής βάσης, τις κατηγορίες, τη διατήρηση και τις αναφορές διαβίβασης.

Πολιτική Διαχείρισης Δικαιωμάτων Υποκειμένων των Δεδομένων Προσωπικού Χαρακτήρα

Το περιεχόμενο της ειδοποίησης πρέπει να παραπέμπει στον τρέχοντα δίαυλο υποδοχής αιτημάτων άσκησης δικαιωμάτων REG06 και στις διαδρομές επικοινωνίας για την ιδιωτικότητα.

Πολιτική Συλλογής, Χρήσης, Κοινολόγησης και Κοινοχρησίας

Η πολιτική ειδοποιήσεων διέπει τη διαφάνεια πριν από τη συλλογή, τη χρήση, την κοινολόγηση και την ενεργοποίηση νέου διαύλου συλλογής του υπευθύνου επεξεργασίας.

Πολιτική Διαχείρισης Εκτελούντων την Επεξεργασία, Υπεργολάβων Επεξεργασίας και Τρίτων Μερών σε Θέματα Ιδιωτικότητας

Οι υποχρεώσεις υποστήριξης ειδοποιήσεων από εκτελούντες την επεξεργασία και υπεργολάβους επεξεργασίας αντιμετωπίζονται χωρίς να αναπαράγονται οι έλεγχοι διακυβέρνησης εκτελούντων την επεξεργασία που ανήκουν σε αυτήν τη συναφή πολιτική.

Πολιτική Διαχείρισης Τεκμηριωμένων Πληροφοριών και Τεκμηρίων PIMS

Οι απαιτήσεις τεκμηρίων REG07, REG11 και REG12 εξαρτώνται από ελέγχους διαχείρισης τεκμηριωμένων πληροφοριών και τεκμηρίων.

Πολιτική Παρακολούθησης, Ελέγχου και Βελτίωσης PIMS

Οι μετρικές ειδοποιήσεων, η τριμηνιαία συμφωνία, η δειγματοληψία ελέγχου, οι μη συμμορφώσεις, οι διορθωτικές ενέργειες και τα τεκμήρια βελτίωσης καταχωρίζονται στο REG12.

Σχετικά με τις Πολιτικές της Clarysec - Πολιτική Ειδοποιήσεων Ιδιωτικότητας και Διαφάνειας

Η Πολιτική Ειδοποιήσεων Ιδιωτικότητας και Διαφάνειας μετατρέπει τις απαιτήσεις διαφάνειας σε λειτουργικές πρακτικές εντός του PIMS, ορίζοντας πώς ελέγχονται οι εγκεκριμένες εξωτερικές ειδοποιήσεις ιδιωτικότητας και οι συναφείς πληροφορίες διαφάνειας σε όλο τον κύκλο ζωής τους. Εφαρμόζεται σε ειδοποιήσεις ιδιωτικότητας υπευθύνου επεξεργασίας, συνόψεις διαφάνειας από κοινού υπευθύνων επεξεργασίας και υποστήριξη από εκτελούντα την επεξεργασία ή υπεργολάβο επεξεργασίας για υποχρεώσεις ειδοποιήσεων του υπευθύνου επεξεργασίας. Η πολιτική απαιτεί τα αρχεία ειδοποιήσεων REG07 να συνδέονται με τους σκοπούς επεξεργασίας REG02, τις αναφορές νομικής βάσης, τις κατηγορίες δεδομένων προσωπικού χαρακτήρα, τις κατηγορίες υποκειμένων των δεδομένων προσωπικού χαρακτήρα, τις κατηγορίες πηγών, τις κατηγορίες αποδεκτών, τις αναφορές διατήρησης και τις αναφορές διαβίβασης. Συνδέει επίσης τις αναφορές αιτημάτων άσκησης δικαιωμάτων και επικοινωνίας για την ιδιωτικότητα με το REG06 και χρησιμοποιεί το REG12 για παρακολούθηση, εξαιρέσεις, μη συμμορφώσεις, διορθωτικές ενέργειες και τεκμήρια βελτίωσης. Η πολιτική αναθέτει αρμοδιότητες στην Ανώτατη Διοίκηση, στον Επικεφαλής Ιδιωτικότητας / Υπεύθυνο PIMS, στους Ιδιοκτήτες Διεργασιών / Ιδιοκτήτες της επιχείρησης, στους Ιδιοκτήτες Συστημάτων / Ιδιοκτήτες Εφαρμογών, στον Υπεύθυνο Προστασίας Δεδομένων / Σύμβουλο Ιδιωτικότητας, στους Ιδιοκτήτες Προμηθευτών / Προμηθειών και στους ανασκοπητές Εσωτερικού Ελέγχου / Συμμόρφωσης.

Διακυβέρνηση κύκλου ζωής ειδοποιήσεων

Καλύπτει τη δημιουργία, την έγκριση, τη δημοσίευση, την ανασκόπηση, τον έλεγχο εκδόσεων, τα γλωσσικά αρχεία και τα τεκμήρια αντικατασταθεισών ειδοποιήσεων.

Διαφάνεια βάσει τεκμηρίων

Απαιτεί το περιεχόμενο των ειδοποιήσεων και τα τεκμήρια δημοσίευσης να διατηρούνται στο REG07 και να παρακολουθούνται μέσω του REG12.

Σύνδεση σκοπού και δικαιωμάτων

Συνδέει τις ειδοποιήσεις με τα αρχεία επεξεργασίας REG02 και με τους διαύλους αιτημάτων άσκησης δικαιωμάτων και επικοινωνίας για την ιδιωτικότητα REG06.

Λογοδοσία ανά ρόλο

Αναθέτει καθορισμένα καθήκοντα ειδοποιήσεων σε ρόλους ιδιωτικότητας, επιχειρησιακούς, συστημάτων, προμηθειών, ελέγχου, συμβουλευτικής και διοίκησης.

Συχνές ερωτήσεις

Σχεδιασμένο για Ηγέτες, από Ηγέτες

Η παρούσα πολιτική έχει συνταχθεί από ηγετικό στέλεχος ασφάλειας με περισσότερα από 25 έτη εμπειρίας στην υλοποίηση και τον έλεγχο πλαισίων ISMS σε παγκόσμιους οργανισμούς. Δεν έχει σχεδιαστεί απλώς ως έγγραφο, αλλά ως ένα τεκμηριωμένο πλαίσιο που αντέχει στον έλεγχο των ελεγκτών.

Συντάχθηκε από ειδικό που κατέχει:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Κάλυψη & Θέματα

🏢 Τμήματα-στόχοι

Ιδιωτικότητα Νομικό Τμήμα Συμμόρφωση Ασφάλεια Πληροφορικής Γραφείο DPO

🏷️ Θεματική κάλυψη

Διαχείριση Πληροφοριών Ιδιωτικότητας επεξεργασία δεδομένων προσωπικού χαρακτήρα διαχείριση δικαιωμάτων υποκειμένων δεδομένων αρχεία επεξεργασίας συγκατάθεση και νομική βάση αρμοδιότητες υπευθύνου επεξεργασίας και εκτελούντος την επεξεργασία διαχείριση συμμόρφωσης
€69

Εφάπαξ αγορά

Άμεση λήψη
Ενημερώσεις εφ' όρου ζωής

Αυτή η πολιτική είναι 1 από 25 στο πλήρες πακέτο ISO/IEC 27701 PIMS

Εξοικονομήστε 52%

Αποκτήστε και τις 25 πολιτικές PIMS, το πλήρες σύνολο μητρώων και ένα λεπτομερές σχέδιο υλοποίησης για €799, αντί για €1.675 ξεχωριστά.

Δείτε το πλήρες πακέτο 27701 →
Privacy Notice and Transparency Policy

Λεπτομέρειες προϊόντος

Τύπος: policy
Κατηγορία: ISO 27701 PIMS Policy Pack
Πρότυπα: 5