policy ISO 27701 PIMS Policy Pack

Πολιτική Διαχείρισης Ιδιωτικότητας Εκτελούντων την Επεξεργασία, Υπεργολάβων Επεξεργασίας και Τρίτων Μερών

Διαχειριστείτε σχέσεις με εκτελούντες την επεξεργασία, υπεργολάβους επεξεργασίας και τρίτα μέρη που αφορούν δεδομένα προσωπικού χαρακτήρα, με τεκμήρια REG08, δέουσα επιμέλεια, συμβάσεις, παρακολούθηση και ελέγχους εξόδου.

Επισκόπηση

Η παρούσα πολιτική διέπει τους εκτελούντες την επεξεργασία, τους υπεργολάβους επεξεργασίας και τα τρίτα μέρη που χειρίζονται δεδομένα προσωπικού χαρακτήρα. Χρησιμοποιεί το REG08 ως κύριο μητρώο τεκμηρίων και καθορίζει απαιτήσεις για ταξινόμηση ρόλων, δέουσα επιμέλεια, συμβάσεις, εντολές πελάτη, εγκρίσεις υπεργολάβων επεξεργασίας, παρακολούθηση, σύνδεση περιστατικών, αρχεία διαβίβασης, τεκμήρια εξόδου και διορθωτικά μέτρα.

Έλεγχος τρίτων μερών σε όλο τον κύκλο ζωής

Καθορίζει πώς αναγνωρίζονται, εγκρίνονται, παρακολουθούνται, αλλάζουν και τερματίζονται οι σχέσεις με εκτελούντες την επεξεργασία, υπεργολάβους επεξεργασίας και τρίτα μέρη που χειρίζονται δεδομένα προσωπικού χαρακτήρα.

Τεκμήρια REG08 έτοιμα για έλεγχο

Χρησιμοποιεί το REG08 ως κύριο μητρώο, συνδέοντας τις σχέσεις με αρχεία επεξεργασίας, κινδύνου, διαβίβασης, περιστατικών και διορθωτικών ενεργειών.

Σαφής λογοδοσία ρόλων

Αναθέτει καθήκοντα σε Ιδιωτικότητα, Προμήθειες, Ασφάλεια, Ιδιοκτήτες Διεργασιών, Ιδιοκτήτες Συστημάτων, Αντιμετώπιση Περιστατικών και Ανώτατη Διοίκηση.

Διαβάστε πλήρη επισκόπηση (click to expand)
Η Πολιτική Διαχείρισης Ιδιωτικότητας Εκτελούντων την Επεξεργασία, Υπεργολάβων Επεξεργασίας και Τρίτων Μερών καθορίζει πώς ένας οργανισμός διέπει εξωτερικά μέρη που επεξεργάζονται, προσπελαύνουν, λαμβάνουν, αποθηκεύουν, διαβιβάζουν, υποστηρίζουν ή με άλλον τρόπο χειρίζονται δεδομένα προσωπικού χαρακτήρα εντός του πεδίου εφαρμογής του Συστήματος Διαχείρισης Πληροφοριών Ιδιωτικότητας. Εφαρμόζεται όταν ο οργανισμός ενεργεί ως υπεύθυνος επεξεργασίας δεδομένων προσωπικού χαρακτήρα που χρησιμοποιεί εκτελούντες την επεξεργασία, ως από κοινού υπεύθυνος επεξεργασίας που απαιτεί ταξινόμηση ρόλων, ως εκτελών την επεξεργασία που χρησιμοποιεί υπεργολάβους επεξεργασίας ή υπεργολάβους και ως υπεργολάβος επεξεργασίας που λαμβάνει εντολές πελάτη. Η πολιτική καλύπτει επίσης σχέσεις με τρίτα μέρη που απαιτούν δέουσα επιμέλεια σε θέματα ιδιωτικότητας, συμβατικούς ελέγχους, τεκμηριωμένες οδηγίες, έγκριση υπεργολάβων επεξεργασίας, παρακολούθηση, διασφάλιση, διεπαφή περιστατικών, σύνδεση διαβίβασης, τεκμήρια επιστροφής, διαγραφής ή εξόδου. Βασικό χαρακτηριστικό της πολιτικής είναι η χρήση του REG08 — Μητρώο Εκτελούντων την Επεξεργασία, Υπεργολάβων Επεξεργασίας και Κοινοχρησίας Δεδομένων — ως κύριου αντικειμένου τεκμηρίων για τη διαχείριση ιδιωτικότητας εκτελούντων την επεξεργασία, υπεργολάβων επεξεργασίας και τρίτων μερών. Η πολιτική απαιτεί από τον Επικεφαλής Ιδιωτικότητας / Υπεύθυνο PIMS να ορίζει τα ελάχιστα πεδία REG08 και να ταξινομεί τις σχέσεις με τρίτα μέρη σε θέματα ιδιωτικότητας ως υπεύθυνος επεξεργασίας, από κοινού υπεύθυνος επεξεργασίας, εκτελών την επεξεργασία, υπεργολάβος επεξεργασίας ή άλλη σχέση με τρίτο μέρος πριν από την έγκριση σύμβασης ή πριν αρχίσει η επεξεργασία δεδομένων προσωπικού χαρακτήρα. Απαιτεί επίσης από τον Υπεύθυνο Προμηθευτών / Προμηθειών να αναστέλλει τη διαδικασία ένταξης, την ανανέωση ή την επέκταση έως ότου ολοκληρωθεί το REG08 και συνδεθεί με αρχεία όπως τα REG02, REG04, REG09 ή REG10, όταν ενεργοποιούνται τα συγκεκριμένα αντικείμενα τεκμηρίων. Αυτό δημιουργεί τεκμηριωμένη σύνδεση μεταξύ της διακυβέρνησης σχέσεων, της απογραφής επεξεργασίας, των αρχείων κινδύνου και DPIA, των τεκμηρίων διεθνών διαβιβάσεων, των αρχείων περιστατικών και των διορθωτικών ενεργειών. Η πολιτική θέτει λεπτομερείς απαιτήσεις για δέουσα επιμέλεια, αξιολόγηση κινδύνου και συμβατικό έλεγχο. Η δέουσα επιμέλεια σε θέματα ιδιωτικότητας πρέπει να ολοκληρώνεται πριν από την επιλογή, την ανανέωση ή την ουσιώδη μεταβολή σχέσης με εκτελούντα την επεξεργασία, υπεργολάβο επεξεργασίας ή τρίτο μέρος που επεξεργάζεται ή προσπελαύνει δεδομένα προσωπικού χαρακτήρα. Τα τεκμήρια διασφάλισης ασφάλειας πρέπει να ανασκοπούνται από τον Επικεφαλής Ασφάλειας Πληροφοριών πριν από την έγκριση, ενώ οι σχέσεις υψηλού κινδύνου με εκτελούντες την επεξεργασία ή οι ουσιώδεις αλλαγές τρίτων μερών σε θέματα ιδιωτικότητας ενεργοποιούν αξιολόγηση κινδύνου ιδιωτικότητας και έλεγχο αναγκαιότητας DPIA στο REG04. Οι έλεγχοι συμβάσεων και τεκμηριωμένων οδηγιών διαχωρίζονται για τα πλαίσια υπευθύνου επεξεργασίας και εκτελούντος την επεξεργασία. Όταν ενεργεί ως υπεύθυνος επεξεργασίας, ο οργανισμός πρέπει να καταγράφει γραπτή σύμβαση με εκτελούντα την επεξεργασία ή ισοδύναμη δεσμευτική συμφωνία πριν ο εκτελών την επεξεργασία χειριστεί δεδομένα προσωπικού χαρακτήρα. Όταν ενεργεί ως εκτελών την επεξεργασία, οι συμφωνίες πελατών ή οι τεκμηριωμένες εντολές πελάτη πρέπει να καθορίζουν το εξουσιοδοτημένο πεδίο επεξεργασίας πριν από την επεξεργασία δεδομένων προσωπικού χαρακτήρα πελάτη. Η πολιτική απαιτεί επίσης συμβατική κάλυψη για συνδρομή, διασφάλιση ασφάλειας, διεπαφή περιστατικών μέσω PII15, επιστροφή ή διαγραφή μέσω PII10, σύνδεση διαβίβασης μέσω PII13 και συνεργασία σε θέματα ελέγχου ή διασφάλισης. Η διακυβέρνηση υπεργολάβων επεξεργασίας και υπεργολάβων αντιμετωπίζεται μέσω ειδικών απαιτήσεων έγκρισης, ειδοποίησης, μετακυλιόμενων υποχρεώσεων και παρακολούθησης. Ο Υπεύθυνος Προμηθευτών / Προμηθειών πρέπει να τηρεί κατάλογο υπεργολάβων επεξεργασίας και υπεργολάβων στο REG08, να επαληθεύει την έγκριση του πελάτη πριν από την ανάθεση, να ειδοποιεί τους πελάτες για προβλεπόμενους νέους ή αντικαταστάτες υπεργολάβους επεξεργασίας σύμφωνα με την εφαρμοστέα συμφωνία και να διασφαλίζει μετακυλιόμενες υποχρεώσεις ιδιωτικότητας, ασφάλειας, συνδρομής, επιστροφής, διαγραφής, διεπαφής περιστατικών και σύνδεσης διαβιβάσεων πριν οποιοσδήποτε υπεργολάβος επεξεργασίας επεξεργαστεί δεδομένα προσωπικού χαρακτήρα. Οι ειδοποιήσεις αλλαγής υπεργολάβου επεξεργασίας από την πλευρά του υπευθύνου επεξεργασίας πρέπει επίσης να παρακολουθούνται, με αποφάσεις έγκρισης, αντίρρησης ή κλιμάκωσης να καταγράφονται στο REG08 εντός της συμβατικής περιόδου αντίρρησης ή εντός 10 εργάσιμων ημερών από τη λήψη της ειδοποίησης, όποιο διάστημα είναι συντομότερο. Η πολιτική ολοκληρώνει τον κύκλο ζωής με συνεχή παρακολούθηση, χειρισμό συνδρομής, καταγραφή κοινολόγησης, σύνδεση περιστατικών, σύνδεση διαβιβάσεων, τεκμήρια εξόδου, εξαιρέσεις, εφαρμογή και ανασκόπηση. Οι σχέσεις υψηλού κινδύνου με εκτελούντες την επεξεργασία και υπεργολάβους επεξεργασίας παρακολουθούνται ανά τρίμηνο, ενώ οι λοιπές ενεργές σχέσεις με εκτελούντες την επεξεργασία και υπεργολάβους επεξεργασίας που αφορούν δεδομένα προσωπικού χαρακτήρα παρακολουθούνται ετησίως. Τα αιτήματα συνδρομής για δικαιώματα υποκειμένου των δεδομένων προσωπικού χαρακτήρα, DPIA, τεκμήρια ασφάλειας, ελέγχους ή διασφάλιση πελατών πρέπει να συντονίζονται μέσω REG08 και να συνδέονται με REG06, REG04 ή REG12, όπου εφαρμόζεται. Οι ειδοποιήσεις περιστατικών ιδιωτικότητας που σχετίζονται με προμηθευτές δρομολογούνται στο REG10 βάσει του PII15 εντός μίας εργάσιμης ημέρας, ενώ τεκμήρια επιστροφής, διαγραφής, διάθεσης ή μετάβασης πρέπει να λαμβάνονται εντός 30 ημερών μετά τη λύση, τη λήξη, την εντολή πελάτη ή το εγκεκριμένο συμβάν εξόδου, εκτός εάν εφαρμόζεται συντομότερη συμβατική περίοδος. Οι εξαιρέσεις είναι χρονικά περιορισμένες, απαιτούν εκτίμηση αντικτύπου στην ιδιωτικότητα και ενδέχεται να απαιτούν έγκριση από την Ανώτατη Διοίκηση όταν επηρεάζεται επεξεργασία υψηλού κινδύνου ή όταν υπάρχουν ελλείποντα συμβατικά τεκμήρια, κενά σύνδεσης διαβιβάσεων ή πεδίο εφαρμογής πιστοποίησης.

Διάγραμμα Πολιτικής

Διάγραμμα ροής διαδικασίας που παρουσιάζει την αναγνώριση σχέσεων με τρίτα μέρη που αφορούν δεδομένα προσωπικού χαρακτήρα στο REG08, την ταξινόμηση ρόλων, τη δέουσα επιμέλεια και τη διασφάλιση ασφάλειας, την έγκριση σύμβασης ή εντολής, τους ελέγχους υπεργολάβων επεξεργασίας, την παρακολούθηση, τη σύνδεση περιστατικών και διαβιβάσεων, τα τεκμήρια εξόδου και τις διορθωτικές ενέργειες.

Κάντε κλικ στο διάγραμμα για προβολή σε πλήρες μέγεθος

Περιεχόμενα

Απαιτήσεις ταξινόμησης σχέσεων και τεκμηρίων REG08

Δέουσα επιμέλεια σε θέματα ιδιωτικότητας και διασφάλιση ασφάλειας

Συμβάσεις εκτελούντων την επεξεργασία και τεκμηριωμένες εντολές πελάτη

Υποχρεώσεις έγκρισης, ειδοποίησης και μετακυλιόμενων υποχρεώσεων για υπεργολάβους επεξεργασίας

Συνεχής παρακολούθηση, σύνδεση περιστατικών και αρχεία διαβίβασης

Τεκμήρια εξόδου, επιστροφής, διαγραφής και διορθωτικών ενεργειών

Συμμόρφωση με πλαίσιο

🛡️ Υποστηριζόμενα πρότυπα & πλαίσια

Αυτό το προϊόν είναι ευθυγραμμισμένο με τα ακόλουθα πλαίσια συμμόρφωσης, με λεπτομερείς αντιστοιχίσεις ρητρών και ελέγχων.

Πλαίσιο Καλυπτόμενες ρήτρες / Έλεγχοι
ISO/IEC 27701:2025
Clause 4.1Clause 6.1.2Clause 8.2Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.1.2.7Annex A.1.2.9Annex A.2.2.2Annex A.2.2.3Annex A.2.2.5Annex A.2.2.6Annex A.2.2.7Annex A.2.3.2Annex A.2.4.3Annex A.2.5.4Annex A.2.5.5Annex A.2.5.6Annex A.2.5.7Annex A.2.5.8Annex A.2.5.9
EU GDPR
Article 5(2)Article 24Article 26Article 28Article 30Article 32
ISO/IEC 29100:2020
Clause 5.10Clause 5.11Clause 5.12
ISO/IEC 29151:2022
Clause 15.1.2Clause 15.2.2Clause 15.2.3
ISO/IEC 27002:2022
Control 5.19Control 5.20Control 5.21Control 5.22Control 5.23
ISO/IEC 27018:2020
Annex A.2.1Annex A.3.1Annex A.6.1Annex A.6.2Annex A.8.1Annex A.10.1Annex A.10.3Annex A.11.11Annex A.11.12Annex A.12.1
ISO/IEC 27036-2:2022
Clause 6.1.1Clause 6.1.2Clause 7.1Clause 7.2Clause 7.3Clause 7.4Clause 7.5

Σχετικές πολιτικές

Πολιτική Απογραφής Επεξεργασίας και Νομικής Βάσης

Τα αρχεία σχέσεων REG08 πρέπει να συνδέονται με την απογραφή επεξεργασίας REG02 και τα αρχεία νομικής βάσης, όπου εφαρμόζεται.

Πολιτική Αξιολόγησης Κινδύνου Ιδιωτικότητας και DPIA

Οι σχέσεις υψηλού κινδύνου με εκτελούντες την επεξεργασία και οι ουσιώδεις αλλαγές τρίτων μερών σε θέματα ιδιωτικότητας ενεργοποιούν αξιολόγηση κινδύνου ιδιωτικότητας και έλεγχο αναγκαιότητας DPIA στο REG04.

Πολιτική Διατήρησης, Διαγραφής και Διάθεσης

Οι συμβάσεις και οι έξοδοι εκτελούντων την επεξεργασία και υπεργολάβων επεξεργασίας πρέπει να καλύπτουν επιστροφή, διαγραφή, διάθεση και τεκμήρια μετάβασης μέσω PII10.

Πολιτική Διεθνών Διαβιβάσεων

Οι τοποθεσίες επεξεργασίας, οι τοποθεσίες φιλοξενίας και οι δείκτες διαβίβασης στο REG08 πρέπει να συνδέονται με τα εφαρμοστέα τεκμήρια διαβίβασης REG09.

Πολιτική Ασφάλειας και Ελέγχου Πρόσβασης

Η διασφάλιση ασφάλειας, τα τεκμήρια ελέγχου πρόσβασης, η πρόσβαση προμηθευτών και οι έλεγχοι διαδικασίας αποχώρησης υποστηρίζουν τη διακυβέρνηση δεδομένων προσωπικού χαρακτήρα από τρίτα μέρη.

Πολιτική Διαχείρισης Περιστατικών και Παραβιάσεων

Οι ειδοποιήσεις περιστατικών ιδιωτικότητας που σχετίζονται με προμηθευτές και τα αιτήματα συνδρομής δρομολογούνται στο REG10 βάσει του PII15 με σύνδεση REG08.

Σχετικά με τις Πολιτικές της Clarysec - Πολιτική Διαχείρισης Ιδιωτικότητας Εκτελούντων την Επεξεργασία, Υπεργολάβων Επεξεργασίας και Τρίτων Μερών

Η παρούσα πολιτική θεσπίζει επιχειρησιακή διακυβέρνηση ιδιωτικότητας για εκτελούντες την επεξεργασία, υπεργολάβους επεξεργασίας, υπεργολαβικά ανατεθειμένους εκτελούντες την επεξεργασία δεδομένων προσωπικού χαρακτήρα, προμηθευτές, παρόχους υπηρεσιών, παρόχους υπηρεσιών νέφους και άλλα τρίτα μέρη που επεξεργάζονται ή επηρεάζουν δεδομένα προσωπικού χαρακτήρα εντός του πεδίου εφαρμογής του PIMS. Καθορίζει πώς οι σχέσεις ταξινομούνται, αξιολογούνται, εγκρίνονται, καλύπτονται συμβατικά, λαμβάνουν οδηγίες, παρακολουθούνται, μεταβάλλονται και τερματίζονται, με το REG08 να λειτουργεί ως κύριο αντικείμενο τεκμηρίων και με απαιτούμενες συνδέσεις με απογραφή επεξεργασίας, αρχεία κινδύνου, διαβίβασης, περιστατικών, επικοινωνίας, τεκμηριωμένων πληροφοριών και διορθωτικών ενεργειών, όπου εφαρμόζεται.

Καθορισμένο πεδίο σχέσεων

Καλύπτει εκτελούντες την επεξεργασία, υπεργολάβους επεξεργασίας, υπεργολάβους, προμηθευτές, παρόχους υπηρεσιών, παρόχους υπηρεσιών νέφους και άλλα τρίτα μέρη που χειρίζονται δεδομένα προσωπικού χαρακτήρα.

Δέουσα επιμέλεια πριν από την έγκριση

Απαιτεί δέουσα επιμέλεια σε θέματα ιδιωτικότητας, διασφάλιση ασφάλειας και έλεγχο κινδύνου ή DPIA πριν από την έγκριση, όπου ενεργοποιείται.

Έλεγχοι συμβάσεων και εντολών

Τεκμηριώνει συμβάσεις εκτελούντων την επεξεργασία, εντολές πελάτη, μετακυλιόμενες υποχρεώσεις και εγκεκριμένες τροποποιήσεις στο REG08.

Παρακολούθηση και εφαρμογή

Καθορίζει συχνότητες ανασκόπησης, διαχείριση εξαιρέσεων, κανόνες αναστολής, εναύσματα μη συμμορφώσεων και τεκμήρια διορθωτικών ενεργειών.

Συχνές ερωτήσεις

Σχεδιασμένο για Ηγέτες, από Ηγέτες

Η παρούσα πολιτική έχει συνταχθεί από ηγετικό στέλεχος ασφάλειας με περισσότερα από 25 έτη εμπειρίας στην υλοποίηση και τον έλεγχο πλαισίων ISMS σε παγκόσμιους οργανισμούς. Δεν έχει σχεδιαστεί απλώς ως έγγραφο, αλλά ως ένα τεκμηριωμένο πλαίσιο που αντέχει στον έλεγχο των ελεγκτών.

Συντάχθηκε από ειδικό που κατέχει:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Κάλυψη & Θέματα

🏢 Τμήματα-στόχοι

Ιδιωτικότητα Νομικό Τμήμα Συμμόρφωση Ασφάλεια Πληροφορικής Προμήθειες

🏷️ Θεματική κάλυψη

Διαχείριση τρίτων μερών αρμοδιότητες υπευθύνου επεξεργασίας και εκτελούντος την επεξεργασία επεξεργασία δεδομένων προσωπικού χαρακτήρα αρχεία επεξεργασίας διεθνείς διαβιβάσεις δεδομένων διαχείριση κινδύνων διαχείριση συμμόρφωσης
€89

Εφάπαξ αγορά

Άμεση λήψη
Ενημερώσεις εφ' όρου ζωής

Αυτή η πολιτική είναι 1 από 25 στο πλήρες πακέτο ISO/IEC 27701 PIMS

Εξοικονομήστε 52%

Αποκτήστε και τις 25 πολιτικές PIMS, το πλήρες σύνολο μητρώων και ένα λεπτομερές σχέδιο υλοποίησης για €799, αντί για €1.675 ξεχωριστά.

Δείτε το πλήρες πακέτο 27701 →
Processor, Subprocessor and Third-Party Privacy Management Policy

Λεπτομέρειες προϊόντος

Τύπος: policy
Κατηγορία: ISO 27701 PIMS Policy Pack
Πρότυπα: 7