policy ISO 27701 PIMS Policy Pack

Töötajate privaatsuspoliitika

Töötajate privaatsuspoliitika PIMS-i jaoks: reguleerib tööjõuga seotud isikut tuvastavat teavet, privaatsusteateid, õigusi, töötajate jälgimist, personalivaldkonna tarnijaid, intsidente ja tõendusmaterjali registreid.

Ülevaade

See töötajate privaatsuspoliitika reguleerib tööjõuga seotud isikut tuvastava teabe kogumist, kasutamist, privaatsusteateid, õigusi, töötajate jälgimist, tarnijaid, säilitamise seoseid, intsidente ja tõendusmaterjali. See hoiab töötajate privaatsuse tõendusmaterjali registrites REG02, REG04, REG06, REG07, REG08, REG10 ja REG12, mitte ei loo eraldi personalivaldkonna privaatsusregistreid.

Tõendusmaterjalipõhine personalivaldkonna privaatsus

Seob töötaja isikut tuvastava teabe töötlemise registritega REG02, REG04, REG06, REG07, REG08, REG10 ja REG12 ilma dubleerivaid personalivaldkonna registreid loomata.

Tööjõuga seotud isikut tuvastava teabe katvus

Hõlmab töötajaid, tööle kandideerijaid, endisi töötajaid, töövõtjaid, praktikante, lähetatud töötajaid ja muid tööjõuga seotud isikuid.

Töötajate jälgimise ja tarnijate kontrollimeetmed

Nõuab dokumenteeritud heakskiite töötajate jälgimise, personalivaldkonna volitatud töötlejate, palgaarvestuse, personaliinfosüsteemi, hüvitiste ja taustakontrolli tarnijate jaoks.

Loe täielikku ülevaadet (click to expand)
Töötajate privaatsuspoliitika määratleb töötaja isikut tuvastava teabe privaatsusnõuded privaatsusteabe haldussüsteemis. Selle kohaldamisala hõlmab töötaja isikut tuvastava teabe kogumist, kasutamist, avalikustamist, säilitamise seoseid, privaatsusteateid, õiguste käsitlemist, töötajate jälgimist, volitatud töötleja tuge ja tõendusmaterjali haldust. Poliitikat kohaldatakse vastutava töötleja ja kaasvastutava töötleja kontekstides, kus organisatsioon määrab töötaja isikut tuvastava teabe töötlemise eesmärgid ja vahendid, ning samuti volitatud töötleja ja alltöötleja kontekstides, kus organisatsioon töötleb töötaja isikut tuvastavat teavet dokumenteeritud juhiste alusel. Töötaja isikut tuvastav teave on määratletud laialt ning hõlmab teavet töötajate, tööle kandideerijate, endiste töötajate, töövõtjate, ajutise personali, praktikantide, lähetatud töötajate ja muude tööjõuga seotud isikute kohta, kui organisatsioon töötleb nende isikut tuvastavat teavet tööjõu, värbamise, töösuhte, kaasamise, tasustamise, hüvitiste, turbe, vastavuse, töökoha haldamise või seotud ärilistel eesmärkidel. Poliitika keskne osa on selle tõendusmaterjali mudel. Poliitika ei loo eraldi personalivaldkonna privaatsusregistrit, töötajate privaatsusregistrit, töötajate jälgimise registrit, personalivaldkonna tarnijaregistrit, töötajate õiguste registrit ega töötajate intsidentide registrit. Selle asemel nõuab see töötajate töötlemise tõendusmaterjali hoidmist kanoonilistes PIMS-i registrites: REG02 töötlemisregistri ja säilitamise seoste jaoks, REG04 privaatsusriskide ja DPIA-d käivitavate aluste jaoks, REG06 töötajate andmesubjektide õiguste taotluste jaoks, REG07 töötajate privaatsusteadete jaoks, REG08 personalivaldkonna volitatud töötlejate ja tarnijate jaoks, REG10 töötaja isikut tuvastava teabega seotud intsidentide jaoks ning REG12 erandite, mittevastavuste, parandusmeetmete, seire ja parendamise tõendusmaterjali jaoks. See struktuur toetab poliitika eesmärki: töötaja isikut tuvastavat teavet tuleb töödelda ainult dokumenteeritud, heaks kiidetud, läbipaistvatel, proportsionaalsetel ja vastutust tagavatel tööjõuga seotud eesmärkidel, vältides samal ajal dubleerivat personalivaldkonna spetsiifilist tõendusmaterjali kihti. Poliitika sätted määravad töötajate andmete elutsükli üksikasjalikud operatiivsed kontrollimeetmed. Enne töötaja isikut tuvastava teabe kogumist, genereerimist, importimist, kasutamist või avalikustamist peab protsessiomanik / ettevõtte omanik registreerima töötajate töötlemistoimingu registris REG02, sealhulgas isikut tuvastava teabe kategooriad, töötajate sihtrühma, kogumisallika, töötlemise eesmärgi, süsteemid, sisemiste ja väliste vastuvõtjate kategooriad ning säilitamise seose. Töötajate privaatsusteated tuleb hoida registris REG07 enne otsest või kaudset kogumist uuel või oluliselt muudetud eesmärgil. Poliitika nõuab, et töötaja isikut tuvastavat teavet kasutataks ainult REG02-s registreeritud heakskiidetud eesmärkidel, ning nõuab sisemiste vastuvõtjate kategooriate, ärivajaduse tingimuste ja korduvate väliste avalikustamiste dokumenteerimist enne avalikustamise alustamist. Kahtlustatav loata avalikustamine, juurdepääs, kaotsiminek või jälgimisandmete väärkasutus tuleb suunata REG10-sse ühe tööpäeva jooksul alates tuvastamisest. Töötajate õigustele, töötajate jälgimisele ja personalivaldkonna tarnijate juhtimisele pööratakse eraldi tähelepanu. Töötajatest andmesubjektide õiguste taotlused tuleb registreerida või suunata REG06-sse kahe tööpäeva jooksul ning protsessiomaniku sisendid tuleb esitada viie tööpäeva jooksul pärast määramist. Keerukad taotlused, mis hõlmavad jälgimiskirjeid, taustakontrolli kirjeid, eriliiki isikut tuvastavat teavet, kolmandate osapoolte töötajate isikut tuvastavat teavet, õiguslikke piiranguid või automatiseeritud otsuste tegemist, nõuavad enne keeldumist, pikendamist, piiramist või keerukat käsitlemist andmekaitseametniku / andmekaitsenõustaja nõu. Töötajate jälgimine peab enne lubamist või olulist muudatust olema dokumenteeritud REG02-s, suunatud REG04 kaudu privaatsusriskide või DPIA vajaduse hindamiseks, kui selleks on alus, toetatud ajakohase REG07 privaatsusteate või kommunikatsiooni tõendusmaterjaliga ning valimipõhiselt kontrollitud REG12-s vähemalt kord aastas, kui see kuulub REG02 kohaldamisalasse. Personalivaldkonna volitatud töötlejad, palgaarvestus, personaliinfosüsteem, hüvitised, taustakontroll ja allhanke korras osutatavad HR-teenused tuleb registreerida REG08-s enne, kui töötaja isikut tuvastavat teavet teenuseosutajale avalikustatakse, sellele juurdepääs antakse või seda teenuseosutaja kaudu töödeldakse. Juhtimissätted määravad korduvad järelevalve- ja rakendamiskohustused. Privaatsuse juht / PIMS-i juht peab tegema kord kvartalis töötajate privaatsuse tõendusmaterjali läbivaatamise registrites REG02, REG04, REG06, REG07, REG08, REG10 ja REG12, samal ajal kui tippjuhtkond kiidab heaks olulised poliitikamuudatused ja kõrge riskiga töötajate privaatsuserandid. Mõõdikud hõlmavad ajakohaste REG02-kirjetega töötajate töötlemistoimingute osakaalu, töötajate privaatsusteadete ajakohasust, avatud töötajate privaatsusriskide ja DPIA-suunamise elemente, töötajate andmesubjektide õiguste taotluste õigeaegsust, personalivaldkonna tarnijate läbivaatamise lõpetamist ning töötaja isikut tuvastava teabega seotud intsidentide suundumusi, kui intsidendid toimuvad. Erandid tuleb enne kõrvalekallet registreerida REG12-s, määrata neile aegumiskuupäev, mis ei ületa 90 päeva, ning vaadata need enne aegumist läbi. Rakendamine nõuab mittevastavuste registreerimist REG12-s, kui nõutav töötajate privaatsuse tõendusmaterjal puudub, takistab töötajate jälgimise heakskiitmist ilma nõutava tõendusmaterjalita ning võimaldab peatada töötaja isikut tuvastava teabe uued avalikustamised personalivaldkonna tarnijatele, kui volitatud töötleja, alltöötleja, juhiste või abi tõendusmaterjal puudub.

Poliitika diagramm

Protsessivoo skeem, mis näitab töötaja isikut tuvastava teabe juhtimist alates REG02 registrist ja REG07 privaatsusteate kontrollidest REG04 riski/DPIA suunamise, REG08 personalivaldkonna tarnijakontrollide, REG06 õiguste käsitlemise, REG10 intsidentide suunamise ning REG12 seire, erandite ja parendamise kaudu.

Klõpsake diagrammil, et vaadata seda täissuuruses

Sisu

Töötajate töötlemisregister ja personalivaldkonna eesmärkide kontrollimeetmed

Töötajate privaatsusteadete ja õiguste käsitlemise nõuded

Töötajate jälgimise ja suure mõjuga personalivaldkonna töötlemise reeglid

Personalivaldkonna volitatud töötlejate, palgaarvestuse, personaliinfosüsteemi, hüvitiste ja taustakontrolli tarnijate tõendusmaterjal

Säilitamise seosed, avalikustamine ja intsidentide suunamine

Juhtimise, mõõdikute, erandite, rakendamise ja läbivaatamise nõuded

Raamistiku vastavus

🛡️ Toetatud standardid ja raamistikud

See toode on kooskõlas järgmiste vastavusraamistikkudega, üksikasjalike klauslite ja kontrolli kaardistustega.

Raamistik Kaetud klauslid / Kontrollid
ISO/IEC 27701:2025
Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.1.2.2Annex A.1.2.3Annex A.1.2.6Annex A.1.2.8Annex A.1.2.9Annex A.1.2.7Annex A.2.2.2Annex A.2.2.3Annex A.2.2.6Annex A.2.2.7Annex A.1.3.2Annex A.1.3.6Annex A.1.3.7Annex A.1.3.10Annex A.1.3.11Annex A.1.4.2Annex A.1.4.3Annex A.1.4.5Annex A.1.4.8Annex A.1.4.9Annex A.1.5.4Annex A.1.5.5Annex A.2.5.4Annex A.2.5.5Annex A.2.5.6Annex A.3.14Annex A.3.25
EU GDPR
Article 5(1)(a)Article 5(1)(b)Article 5(1)(c)Article 5(1)(e)Article 5(2)Article 6Article 9Article 10Article 12Article 13Article 14Article 15Article 16Article 17Article 18Article 21Article 22Article 24Article 26Article 28Article 30Article 32Article 35Article 39
ISO/IEC 29100:2020
Clause 5.3Clause 5.4Clause 5.5Clause 5.6Clause 5.8Clause 5.9Clause 5.10Clause 5.11Clause 5.12
ISO/IEC 29151:2022
Annex A.3Annex A.4Annex A.5Annex A.7Annex A.10Clause 7.1.2Clause 7.1.3Clause 7.2.4Clause 7.3.2Clause 15.1.2Clause 15.2.2Clause 15.2.3
ISO/IEC 29134:2020
Clause 5.1Clause 6.2
ISO/IEC 27002:2022
Controls 5.34Controls 6.1Controls 6.2Controls 6.5Controls 6.6Controls 8.15Controls 8.16

Seotud poliitikad

Töötlemisregistri ja õigusliku aluse poliitika

Töötajate töötlemistoimingud, eesmärgid, isikut tuvastava teabe kategooriad, allikad, süsteemid, vastuvõtjad ja säilitamise seosed registreeritakse REG02-s selle seotud poliitika alusel.

Privaatsusteate ja läbipaistvuse poliitika

Töötajate privaatsusteateid ja läbipaistvuse kirjeid hoitakse REG07-s enne uut või oluliselt muudetud töötaja isikut tuvastava teabe kogumist.

Andmesubjekti õiguste haldamise poliitika

Töötajatest andmesubjektide õiguste taotlused suunatakse REG06 kaudu ning need nõuavad toetavaid sisendeid töötlemiskirjetest, süsteemidest, tarnijatelt ja privaatsusnõustajatelt.

Privaatsusriskide hindamise ja DPIA poliitika

Suure mõjuga töötajate töötlemine, töötajate jälgimine ja tundlikud tööjõuandmed suunatakse REG04 kaudu privaatsusriskide või DPIA käsitlemiseks.

Volitatud töötleja, alltöötleja ja kolmandate osapoolte privaatsuse haldamise poliitika

Personalivaldkonna volitatud töötlejaid, palgaarvestust, personaliinfosüsteemi, hüvitisi, taustakontrolli ja allhanke korras osutatavaid HR-teenuseid juhitakse REG08 tarnijate tõendusmaterjali nõuete kaudu.

Intsidentide ja rikkumiste haldamise poliitika

Kahtlustatav loata juurdepääs töötaja isikut tuvastavale teabele, selle avalikustamine, kaotsiminek, kompromiteerimine või jälgimisandmete väärkasutus suunatakse REG10-sse intsidentide käsitlemiseks.

Claryseci poliitikate kohta - Töötajate privaatsuspoliitika

Privaatsuse juhtimine ebaõnnestub, kui seda käsitatakse eraldiseisvate privaatsusteadete, vormide ja õiguslike avalduste kogumina. Tõhus ISO/IEC 27701 rakendamine nõuab privaatsusteabe haldussüsteemi, mis seob isikut tuvastava teabe töötlemise, õigusliku aluse, vastutava töötleja ja volitatud töötleja rollid, privaatsusriski, DPIA-d, tõendusmaterjali, seire ja pideva täiustamise. See poliitikakogum on kavandatud operatiivse privaatsusraamistikuna, mitte üldise dokumentatsioonipaketina. See määratleb selge PIMS-i vastutuse praktilistes ettevõtte rollides, nagu tippjuhtkond, privaatsuse juht / PIMS-i juht, protsessiomanikud, süsteemiomanikud, tarnija- / hankeomanikud, infoturve ja sõltumatud läbivaatajad. Iga nõue on kirjutatud unikaalselt nummerdatud, auditiks sobiva punktina ning seotud määratletud tõendusmaterjali objektidega, nagu REG01, REG02, REG03, REG04, REG08, REG11 ja REG12. Struktuur toetab vastutava töötleja, kaasvastutava töötleja, volitatud töötleja ja alltöötleja kontekste ning aitab organisatsioonidel tõendada isikut tuvastava teabe töötlemise vastutustundlikku, riskipõhist ja tõendusmaterjalipõhist juhtimist kogu PIMS-i elutsükli ulatuses.

Kanooniline tõendusmaterjali mudel

Töötajate privaatsuse tõendusmaterjali hoitakse olemasolevates PIMS-i registrites, mitte eraldi personalivaldkonna spetsiifilistes registrites.

Töötajate jälgimise kaitsemeetmed

Töötajate jälgimine nõuab dokumenteeritud eesmärki, riski suunamist, privaatsusteate tõendusmaterjali ja iga-aastast valimipõhist kontrolli, kui see kuulub kohaldamisalasse.

Lai tööjõu kohaldamisala

Kohaldatakse töötajatele, tööle kandideerijatele, töövõtjatele, praktikantidele, lähetatud töötajatele ja muudele tööjõuga seotud isikutele.

Tarnijate tõendusmaterjali kontrollimeetmed

Personalivaldkonna volitatud töötlejad, palgaarvestus, personaliinfosüsteem, hüvitised ja taustakontrolli teenuseosutajad peavad olema dokumenteeritud REG08-s.

Korduma kippuvad küsimused

Loodud juhtidele, juhtide poolt

Selle poliitika on koostanud turbejuht, kellel on üle 25 aasta kogemust ISMS-raamistike juurutamisel ja auditeerimisel globaalsetes organisatsioonides. See ei ole mõeldud vaid dokumendina, vaid kaitstava raamistikuna, mis peab vastu audiitori kontrollile.

Koostanud ekspert järgmiste kvalifikatsioonidega:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Katvus ja teemad

🏢 Sihtosakond

Privaatsus Õigus Vastavus Personal Andmekaitseametniku büroo

🏷️ Temaatiline katvus

Privaatsusteabe haldus Isikuandmete töötlemine Andmesubjekti õiguste haldamine Privaatsuse mõjuhindamine Töötlemistoimingute kirjed Kolmandate osapoolte haldus Andmete säilitamine ja kõrvaldamine
€49

Ühekordne ost

Kohene allalaadimine
Eluaegsed uuendused

See poliitika on 1 25-st täielikus ISO/IEC 27701 PIMS-paketis

Säästke 52%

Hankige kõik 25 PIMS-poliitikat, täielik registrikomplekt ja üksikasjalik rakenduskava hinnaga €799 üksikult ostetava €1 675 asemel.

Vaata täielikku 27701 paketti →
Employee Privacy Policy

Toote üksikasjad

Tüüp: policy
Kategooria: ISO 27701 PIMS Policy Pack
Standardid: 6