policy ISO 27701 PIMS Policy Pack

Πολιτική αξιολόγησης κινδύνου ιδιωτικότητας και DPIA

Πολιτική αξιολόγησης κινδύνου ιδιωτικότητας και DPIA ευθυγραμμισμένη με το ISO 27701 για έλεγχο αναγκαιότητας, αντιμετώπιση, έγκριση υπολειπόμενου κινδύνου και τεκμήρια REG04.

Επισκόπηση

Η παρούσα πολιτική ορίζει πώς οι αξιολογήσεις κινδύνου ιδιωτικότητας και οι DPIA ελέγχονται ως προς την αναγκαιότητα, εκτελούνται, αντιμετωπίζονται, εγκρίνονται, ανασκοπούνται και τεκμηριώνονται. Θέτει στο επίκεντρο τα τεκμήρια στο REG04, συνδέεται με υποστηρικτικά μητρώα και καθορίζει απαιτήσεις για επεξεργασία υψηλού κινδύνου από υπεύθυνο επεξεργασίας, συνδρομή του εκτελούντος την επεξεργασία σε DPIA, έγκριση υπολειπόμενου κινδύνου, προηγούμενη διαβούλευση, παρακολούθηση, εξαιρέσεις και εφαρμογή.

Έλεγχος DPIA βάσει κινδύνου

Ορίζει τον έλεγχο αναγκαιότητας, τα εναύσματα πλήρους DPIA, την αντιμετώπιση, την έγκριση υπολειπόμενου κινδύνου και τις αποφάσεις διαβούλευσης πριν προχωρήσει η επεξεργασία υψηλού κινδύνου.

Διακυβέρνηση βάσει τεκμηρίων

Απαιτεί αρχεία κινδύνου ιδιωτικότητας και DPIA στο REG04, συνδεδεμένα με τεκμήρια REG02, REG03, REG08, REG10, REG11 και REG12.

Σαφής λογοδοσία ρόλων

Αναθέτει ενέργειες σε επιχειρησιακούς ρόλους, ρόλους ιδιωτικότητας, ασφάλειας, συστήματος, προμηθευτών, ελέγχου, DPO ή συμβούλου ιδιωτικότητας, καθώς και στην Ανώτατη Διοίκηση.

Διαβάστε πλήρη επισκόπηση (click to expand)
Η Πολιτική αξιολόγησης κινδύνου ιδιωτικότητας και DPIA ορίζει πώς ένας οργανισμός αναγνωρίζει, αξιολογεί, αντιμετωπίζει, εγκρίνει, ανασκοπεί και τεκμηριώνει κινδύνους ιδιωτικότητας εντός του πεδίου εφαρμογής του PIMS. Σκοπός της είναι να διασφαλίζει ότι οι κίνδυνοι ιδιωτικότητας και οι υποχρεώσεις DPIA αντιμετωπίζονται πριν η επεξεργασία δεδομένων προσωπικού χαρακτήρα δημιουργήσει μη αποδεκτό κίνδυνο για τα υποκείμενα των δεδομένων προσωπικού χαρακτήρα ή για το PIMS. Η πολιτική εφαρμόζεται σε νέες και ουσιωδώς μεταβληθείσες δραστηριότητες επεξεργασίας δεδομένων προσωπικού χαρακτήρα σε πλαίσια υπεύθυνου επεξεργασίας, από κοινού υπεύθυνου επεξεργασίας, εκτελούντος την επεξεργασία και υπεργολάβου επεξεργασίας. Καλύπτει επίσης συστήματα, εφαρμογές, υπηρεσίες, επιχειρησιακές διαδικασίες, προμηθευτές, εκτελούντες την επεξεργασία, υπεργολάβους επεξεργασίας, διεθνείς διαβιβάσεις και ρυθμίσεις κοινοχρησίας δεδομένων που επηρεάζουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Κεντρικό χαρακτηριστικό της πολιτικής είναι το λειτουργικό μοντέλο που βασίζεται στο REG04. Ο έλεγχος κινδύνου ιδιωτικότητας, ο έλεγχος αναγκαιότητας DPIA, η αξιολόγηση κινδύνου, τα σχέδια αντιμετώπισης κινδύνων, η αποδοχή υπολειπόμενου κινδύνου, οι αποφάσεις διαβούλευσης, οι εγκρίσεις και η κατάσταση ανασκόπησης τεκμηριώνονται στο REG04, με υποστηρικτικά τεκμήρια συνδεδεμένα με τα REG02, REG03, REG08, REG09, REG10, REG11 και REG12. Η πολιτική αποφεύγει ρητά τη δημιουργία χωριστών μητρώων DPIA, κινδύνου ή διαβούλευσης εκτός του REG04. Αυτό συμβάλλει στη διατήρηση ενιαίας διαδρομής τεκμηρίων για τα αποτελέσματα του ελέγχου αναγκαιότητας, τις αποφάσεις πλήρους DPIA, τις διαβαθμίσεις κινδύνου, τους υπευθύνους αντιμετώπισης, τις καταληκτικές ημερομηνίες, τον υπολειπόμενο κίνδυνο, την κατάσταση έγκρισης και τις ημερομηνίες ανασκόπησης. Η πολιτική καθορίζει υποχρεωτικά εναύσματα για τον έλεγχο κινδύνου ιδιωτικότητας και τον προσδιορισμό πλήρους DPIA. Οι Ιδιοκτήτες Διεργασιών / Ιδιοκτήτες της επιχείρησης πρέπει να ξεκινούν τον έλεγχο αναγκαιότητας στο REG04 πριν αρχίσει νέα ή ουσιωδώς μεταβληθείσα επεξεργασία που έχει καταγραφεί στο REG02. Επεξεργασία από υπεύθυνο επεξεργασίας που είναι πιθανό να επιφέρει υψηλό κίνδυνο απαιτεί πλήρη DPIA πριν αρχίσει η επεξεργασία. Η πολιτική επισημαίνει ότι επεξεργασία που περιλαμβάνει μεγάλης κλίμακας δραστηριότητα, συστηματική παρακολούθηση, κατάρτιση προφίλ, αυτοματοποιημένες αποφάσεις, ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα, δεδομένα ποινικών καταδικών ή αδικημάτων, ευάλωτα υποκείμενα των δεδομένων προσωπικού χαρακτήρα, καινοτόμο τεχνολογία και ουσιώδη αλλαγή επεξεργασίας πρέπει να παραπέμπεται στον Επικεφαλής Ιδιωτικότητας / Υπεύθυνο PIMS πριν από την έναρξη της επεξεργασίας. Απαιτεί επίσης νέο έλεγχο αναγκαιότητας πριν από τη χρήση δεδομένων προσωπικού χαρακτήρα για νέο σκοπό, την προσθήκη νέου αποδέκτη, την εισαγωγή νέου εκτελούντος την επεξεργασία ή υπεργολάβου επεξεργασίας, την αλλαγή αρχιτεκτονικής συστήματος ή την έναρξη νέας διεθνούς διαβίβασης. Η αντιμετώπιση κινδύνου και η κλιμάκωση ορίζονται επίσης με σαφήνεια. Όταν ο κίνδυνος ιδιωτικότητας υπερβαίνει το εγκεκριμένο όριο αποδοχής, ο Ιδιοκτήτης Διεργασίας / Ιδιοκτήτης της επιχείρησης πρέπει να καταγράφει σχέδιο αντιμετώπισης στο REG04 πριν προχωρήσει η επεξεργασία. Οι ενέργειες ασφάλειας, σχεδιασμού συστήματος, προμηθευτών, συμβατικές ενέργειες και ενέργειες διασφάλισης ανατίθενται στον σχετικό ρόλο και πρέπει να υλοποιούνται πριν από τη θέση σε λειτουργία, την ένταξη, την ανανέωση ή την εγκεκριμένη καταληκτική ημερομηνία. Ο υψηλός υπολειπόμενος κίνδυνος ιδιωτικότητας για επεξεργασία από υπεύθυνο επεξεργασίας απαιτεί έγκριση από την Ανώτατη Διοίκηση πριν αρχίσει ή συνεχιστεί η επεξεργασία. Όταν παραμένει υψηλός υπολειπόμενος κίνδυνος μετά την αντιμετώπιση, ο Επικεφαλής Ιδιωτικότητας / Υπεύθυνος PIMS καταγράφει την απόφαση προηγούμενης διαβούλευσης στο REG04, και η Ανώτατη Διοίκηση εγκρίνει τη συνέχιση, την αναστολή, τον ανασχεδιασμό ή τις ενέργειες διαβούλευσης πριν προχωρήσει η επεξεργασία. Οι απαιτήσεις διακυβέρνησης, παρακολούθησης και εφαρμογής διασφαλίζουν ότι η διαδικασία παραμένει ενεργή μετά την αρχική έγκριση. Ο Επικεφαλής Ιδιωτικότητας / Υπεύθυνος PIMS ανασκοπεί σε μηνιαία βάση ανοικτούς κινδύνους ιδιωτικότητας και εκπρόθεσμες ενέργειες αντιμετώπισης, αναφέρει την κατάσταση κινδύνου ιδιωτικότητας και DPIA ανά τρίμηνο και πριν από την Ανασκόπηση της Διοίκησης, και συμφωνεί τα ενεργά αρχεία κινδύνου REG04 με τα αρχεία απογραφής επεξεργασίας REG02. Η πολιτική ορίζει μετρικές για την κάλυψη ελέγχου αναγκαιότητας, τις ενεργές πλήρεις DPIA, τις εκπρόθεσμες ανασκοπήσεις, τους υψηλούς υπολειπόμενους κινδύνους, την κατάσταση ενεργειών αντιμετώπισης, τον μέσο χρόνο κλεισίματος, τις ενέργειες προμηθευτών, τις ενέργειες αντιμετώπισης ασφάλειας, την επαναξιολόγηση λόγω περιστατικού και τα ευρήματα ελέγχου. Οι εξαιρέσεις πρέπει να ζητούνται πριν από την απόκλιση, να αξιολογούνται ως προς τον αντίκτυπο στην ιδιωτικότητα, τον νομικό αντίκτυπο, την πιστοποίηση, τη λειτουργία και τα υποκείμενα των δεδομένων προσωπικού χαρακτήρα, και να λαμβάνουν ημερομηνία λήξης που δεν υπερβαίνει τις 90 ημέρες. Ελλιπή, ανακριβή, ατελή, εκπρόθεσμα ή μη εγκεκριμένα τεκμήρια REG04 αντιμετωπίζονται ως μη συμμόρφωση στο REG12.

Διάγραμμα Πολιτικής

Διάγραμμα ροής διαδικασίας που δείχνει την απογραφή επεξεργασίας REG02 να ενεργοποιεί τον έλεγχο κινδύνου ιδιωτικότητας REG04, την απόφαση DPIA, τις εισροές αξιολόγησης, τις ενέργειες αντιμετώπισης, την έγκριση υπολειπόμενου κινδύνου, την προηγούμενη διαβούλευση, την αναφορά REG12, την ανασκόπηση ελέγχου και τη συνεχή επαναξιολόγηση.

Κάντε κλικ στο διάγραμμα για προβολή σε πλήρες μέγεθος

Περιεχόμενα

Κριτήρια ελέγχου κινδύνου ιδιωτικότητας και εναύσματα DPIA

Απαιτήσεις εκτέλεσης και έγκρισης πλήρους DPIA

Σχέδια αντιμετώπισης κινδύνων και αποδοχή υπολειπόμενου κινδύνου

Απόφαση προηγούμενης διαβούλευσης και διαδικασία κλιμάκωσης

Διαχείριση τεκμηρίων REG04 και υποστηρικτικά μητρώα

Παρακολούθηση, μετρικές, εξαιρέσεις και εφαρμογή

Συμμόρφωση με πλαίσιο

🛡️ Υποστηριζόμενα πρότυπα & πλαίσια

Αυτό το προϊόν είναι ευθυγραμμισμένο με τα ακόλουθα πλαίσια συμμόρφωσης, με λεπτομερείς αντιστοιχίσεις ρητρών και ελέγχων.

Πλαίσιο Καλυπτόμενες ρήτρες / Έλεγχοι
ISO/IEC 27701:2025
Clause 6.1.1Clause 6.1.2Clause 6.1.3Clause 6.3Clause 7.5Clause 8.1Clause 8.2Clause 8.3Clause 9.1Clause 9.3Clause 10.2Annex A.1.2.6Annex A.1.2.9Annex A.2.2.2Annex A.2.2.6
EU GDPR
Article 5(2)Article 24Article 25Article 28Article 30Article 32Article 35Article 36Article 39
ISO/IEC 29100:2020
Clause 4.7Clause 5.11Clause 5.12
ISO/IEC 29134:2020
Clause 1Clause 5.1Clause 6.2Clause 6.3
ISO/IEC 29151:2022
Clause 4.1Clause 4.2
ISO/IEC 27557:2022
Clause 4Clause 5.2Clause 5.3Clause 6.4Clause 6.5Clause 6.6Clause 6.7

Σχετικές πολιτικές

Πολιτική απογραφής επεξεργασίας και νομικής βάσης

Τα αρχεία απογραφής επεξεργασίας REG02 παρέχουν απαιτούμενες εισροές για την αξιολόγηση κινδύνου ιδιωτικότητας και τα τεκμήρια DPIA στο REG04.

Πολιτική προστασίας της ιδιωτικότητας ήδη από τον σχεδιασμό και εξ ορισμού

Οι εισροές προστασίας της ιδιωτικότητας ήδη από τον σχεδιασμό και προστασίας της ιδιωτικότητας εξ ορισμού απαιτούνται πριν από την έγκριση θέσης σε λειτουργία για συστήματα που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα.

Πολιτική διαχείρισης εκτελούντων την επεξεργασία, υπεργολάβων επεξεργασίας και τρίτων μερών σε θέματα ιδιωτικότητας

Τα τεκμήρια συνδρομής προμηθευτή, εκτελούντος την επεξεργασία, υπεργολάβου επεξεργασίας, κοινοχρησίας δεδομένων και DPIA πελάτη τηρούνται μέσω REG08 και REG04.

Πολιτική διεθνών διαβιβάσεων

Οι νέες διεθνείς διαβιβάσεις αποτελούν ουσιώδεις αλλαγές που απαιτούν νέο έλεγχο κινδύνου ιδιωτικότητας στο REG04 πριν αρχίσουν.

Πολιτική ασφάλειας και ελέγχου πρόσβασης

Οι εισροές ελέγχων ασφάλειας δεδομένων προσωπικού χαρακτήρα και η κατάσταση αντιμετώπισης στο REG03 υποστηρίζουν την έγκριση και την παρακολούθηση της αντιμετώπισης κινδύνου ιδιωτικότητας.

Πολιτική παρακολούθησης, ελέγχου και βελτίωσης PIMS

Ο κίνδυνος ιδιωτικότητας, τα τεκμήρια DPIA, τα ευρήματα ελέγχου, οι διορθωτικές ενέργειες και τα αποτελέσματα ανασκόπησης της Διοίκησης αναφέρονται και ανασκοπούνται στο REG12.

Σχετικά με τις Πολιτικές της Clarysec - Πολιτική αξιολόγησης κινδύνου ιδιωτικότητας και DPIA

Η διακυβέρνηση ιδιωτικότητας αποτυγχάνει όταν αντιμετωπίζεται ως σύνολο αποσυνδεδεμένων ειδοποιήσεων, εντύπων και νομικών δηλώσεων. Η αποτελεσματική υλοποίηση του ISO/IEC 27701 απαιτεί Σύστημα Διαχείρισης Πληροφοριών Ιδιωτικότητας που συνδέει την επεξεργασία δεδομένων προσωπικού χαρακτήρα, τη νομική βάση, τους ρόλους υπεύθυνου επεξεργασίας και εκτελούντος την επεξεργασία, τον κίνδυνο ιδιωτικότητας, τις DPIA, τα τεκμήρια, την παρακολούθηση και τη συνεχή βελτίωση. Η παρούσα πολιτική ορίζει μια επιχειρησιακή διαδικασία για την αξιολόγηση κινδύνου ιδιωτικότητας και τη διαχείριση DPIA. Απαιτεί έλεγχο αναγκαιότητας πριν από νέα ή ουσιωδώς μεταβληθείσα επεξεργασία δεδομένων προσωπικού χαρακτήρα, πλήρεις DPIA για επεξεργασία υψηλού κινδύνου από υπεύθυνο επεξεργασίας, τεκμηριωμένη συνδρομή του εκτελούντος την επεξεργασία σε DPIA όπου απαιτείται, σχεδιασμό αντιμετώπισης κινδύνου, αποδοχή υπολειπόμενου κινδύνου, αποφάσεις προηγούμενης διαβούλευσης και επαναλαμβανόμενη ανασκόπηση. Κάθε απαίτηση διατυπώνεται ως αριθμημένη, ελέγξιμη ρήτρα και συνδέεται με αντικείμενα τεκμηρίων όπως τα REG02, REG03, REG04, REG08, REG10, REG11 και REG12. Η δομή υποστηρίζει πλαίσια υπεύθυνου επεξεργασίας, από κοινού υπεύθυνου επεξεργασίας, εκτελούντος την επεξεργασία και υπεργολάβου επεξεργασίας, βοηθώντας τους οργανισμούς να αποδεικνύουν λογοδοτούσα, βάσει κινδύνου και τεκμηριωμένη διαχείριση της επεξεργασίας δεδομένων προσωπικού χαρακτήρα σε όλο τον κύκλο ζωής του PIMS.

Έλεγχος πριν από την επεξεργασία

Απαιτεί έλεγχο αναγκαιότητας REG04 πριν αρχίσει νέα ή ουσιωδώς μεταβληθείσα επεξεργασία δεδομένων προσωπικού χαρακτήρα που έχει καταγραφεί στο REG02.

Τεκμήρια απόφασης DPIA

Τεκμηριώνει στο REG04 τις αποφάσεις πλήρους DPIA, την αιτιολόγηση επεξεργασίας υψηλού κινδύνου από υπεύθυνο επεξεργασίας και τη συμβουλή του DPO ή του συμβούλου ιδιωτικότητας.

Καθορισμένοι υπεύθυνοι

Αναθέτει αρμοδιότητες ιδιωτικότητας, επιχειρησιακές, ασφάλειας, συστήματος, προμηθευτών, περιστατικών, ελέγχου και Ανώτατης Διοίκησης.

Εποπτεία υπολειπόμενου κινδύνου

Απαιτεί έγκριση από την Ανώτατη Διοίκηση πριν αρχίσει ή συνεχιστεί επεξεργασία με υψηλό υπολειπόμενο κίνδυνο ιδιωτικότητας.

Παρακολούθηση και ανασκόπηση

Καθορίζει μηνιαία, τριμηνιαία και ετήσια σημεία ελέγχου, καθώς και σημεία ελέγχου για έλεγχο και Ανασκόπηση της Διοίκησης, για κινδύνους, DPIA και ενέργειες αντιμετώπισης.

Συχνές ερωτήσεις

Σχεδιασμένο για Ηγέτες, από Ηγέτες

Η παρούσα πολιτική έχει συνταχθεί από ηγετικό στέλεχος ασφάλειας με περισσότερα από 25 έτη εμπειρίας στην υλοποίηση και τον έλεγχο πλαισίων ISMS σε παγκόσμιους οργανισμούς. Δεν έχει σχεδιαστεί απλώς ως έγγραφο, αλλά ως ένα τεκμηριωμένο πλαίσιο που αντέχει στον έλεγχο των ελεγκτών.

Συντάχθηκε από ειδικό που κατέχει:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Κάλυψη & Θέματα

🏢 Τμήματα-στόχοι

Ιδιωτικότητα Νομικό Τμήμα Συμμόρφωση Ασφάλεια Πληροφορικής Γραφείο DPO

🏷️ Θεματική κάλυψη

Διαχείριση πληροφοριών ιδιωτικότητας Εκτίμηση αντικτύπου ιδιωτικότητας Διαχείριση κινδύνων Προστασία της ιδιωτικότητας ήδη από τον σχεδιασμό Διαχείριση τρίτων μερών Διεθνείς διαβιβάσεις δεδομένων Παρακολούθηση και μέτρηση
€79

Εφάπαξ αγορά

Άμεση λήψη
Ενημερώσεις εφ' όρου ζωής

Αυτή η πολιτική είναι 1 από 25 στο πλήρες πακέτο ISO/IEC 27701 PIMS

Εξοικονομήστε 52%

Αποκτήστε και τις 25 πολιτικές PIMS, το πλήρες σύνολο μητρώων και ένα λεπτομερές σχέδιο υλοποίησης για €799, αντί για €1.675 ξεχωριστά.

Δείτε το πλήρες πακέτο 27701 →
Privacy Risk Assessment and DPIA Policy

Λεπτομέρειες προϊόντος

Τύπος: policy
Κατηγορία: ISO 27701 PIMS Policy Pack
Πρότυπα: 6