policy ISO 27701 PIMS Policy Pack

Isikut tuvastava teabe kogumise, kasutamise, avalikustamise ja jagamise poliitika

Ohjake isikut tuvastava teabe kogumist, kasutamist, avalikustamist ja jagamist REG02/REG08 tõendusmaterjali, edastamise marsruutimise ja auditiks valmis vastutusega.

Ülevaade

See poliitika reguleerib, kuidas isikut tuvastavat teavet PIMS-i kohaldamisalas kogutakse, kasutatakse, avalikustatakse ja jagatakse. See nõuab kogumise ja kasutamise jaoks heakskiidetud REG02 kirjeid, avalikustamise ja jagamise jaoks REG08 tõendusmaterjali, edastamise asukohtade jaoks REG09 marsruutimist ning erandite, auditite ja parandusmeetmete jaoks REG12 kirjeid.

Heakskiidetud isikut tuvastava teabe kasutamine

Nõuab enne töötlemise algust dokumenteeritud kogumise eesmärke, heakskiidetud sisekasutuse reegleid ja vajalikkuse põhjendusi.

Avalikustamise tõendusmaterjal

Salvestab REG08-s välised avalikustamised ja korduva jagamise, sealhulgas vastuvõtja, eesmärgi, isikut tuvastava teabe kategooriad ja sageduse.

Edastamise marsruutimine

Seob uute riikide, kaugjuurdepääsu või edasise edastamise asukohtadega seotud jagamise REG09 ja PII13 marsruutimisotsustega.

Loe täielikku ülevaadet (click to expand)
Isikut tuvastava teabe kogumise, kasutamise, avalikustamise ja jagamise poliitika määratleb operatiivsed nõuded selle kohta, kuidas isikut tuvastavat teavet PIMS-i kohaldamisalas kogutakse, kasutatakse, avalikustatakse ja jagatakse. Selle väljendatud eesmärk on tagada, et isikut tuvastavat teavet käsitletakse ainult dokumenteeritud, heakskiidetud, piiratud ja vastutust võimaldavatel eesmärkidel. Poliitikat kohaldatakse vastutava töötleja, kaasvastutava töötleja, volitatud töötleja ja alltöötleja kontekstides ning see hõlmab kogumist otseste, kaudsete, automatiseeritud, manuaalsete, sisemiste, väliste ja kolmandate osapoolte kanalite kaudu. See käsitleb ka heakskiidetud sisekasutust äriprotsessides, süsteemides ja rakendustes, teisest kasutamist uutel või oluliselt muudetud eesmärkidel, välist avalikustamist vastuvõtjatele ja kolmandatele osapooltele ning nii korduvaid andmete jagamise kokkuleppeid kui ka ühekordseid avalikustamisi. Poliitika keskne osa on tõendusmaterjali registrite kasutamine, et siduda privaatsusotsused auditeeritavate kirjetega. REG02-t kasutatakse isikut tuvastava teabe töötlemisregistri, heakskiidetud eesmärkide, kogumisreeglite, kasutusreeglite ja teisese kasutamise kooskõla hindamiste jaoks. REG08-t kasutatakse volitatud töötleja, alltöötleja ja andmete jagamise kirjete jaoks, sealhulgas vastuvõtja identiteet, vastuvõtja roll, avalikustamise eesmärk, isikut tuvastava teabe kategooriad, jagamise sagedus, töötlemise asukoht ja volituse allikas. REG09-t kasutatakse juhul, kui jagamine hõlmab uut riiki, rahvusvahelist organisatsiooni, kaugjuurdepääsu asukohta, vastuvõtja asukohta või edasise edastamise asukohta. REG12-t kasutatakse erandite, mittevastavuste, auditileidude, parandusmeetmete, rakendamist takistavate probleemide ja poliitika läbivaatamise kirjete jaoks. Poliitika kehtestab selged kontrollipunktid enne töötlemise algust. Protsessiomanikud või ettevõtte omanikud peavad enne uue kogumise või olulise muudatuse algust REG02-s registreerima kogumise eesmärgid, allikad või kanalid, isikut tuvastava teabe kategooriad, isikuandmesubjektide kategooriad ja minimaalsed andmeelemendid. Nad peavad enne kogumist dokumenteerima ka iga isikut tuvastava teabe andmeelemendi vajalikkuse põhjenduse. Süsteemiomanikud või rakenduste omanikud võivad rakendada ainult heakskiidetud kogumisvälju, töövoovälju, aruandeid, eksportimisi või avalikustamise väljundeid, mis vastavad REG02 või REG08 heakskiidule. Volitatud töötleja kontekstides tuleb enne kliendi isikut tuvastava teabe kogumist, kasutamist või avalikustamist registreerida kooskõla kliendi juhistega. Teisest kasutamist käsitletakse juhitud otsusena, mitte olemasoleva tegevuse mitteametliku laiendusena. Enne kui isikut tuvastavat teavet kasutatakse eesmärgil, mida ei ole REG02-s juba heaks kiidetud, peab protsessiomanik või ettevõtte omanik registreerima kooskõla hindamise, mis hõlmab algset eesmärki, kavandatavat eesmärki, õigusliku aluse sõltuvust, isikut tuvastava teabe kategooriaid, isikuandmesubjektide ootusi, minimaalsuse põhjendust, avalikustamise või edastamise mõju ning vajaduse korral marsruutimist teiste PIMS-i poliitikate juurde. Privaatsusvaldkonna juht või PIMS-i juht peab enne teisese kasutamise algust registreerima heakskiidu või tagasilükkamise. Kui tegemist on tundliku korduva jagamisega, haavatavate isikuandmesubjektidega, suure mõjuga andmekirjetega või oluliselt muutunud ootustega, tuleb enne heakskiitu registreerida andmekaitseametniku või andmekaitsenõustaja nõuanne. Juhtimine, mõõtmine ja rakendamine on poliitikasse sisse ehitatud. Privaatsusvaldkonna juht või PIMS-i juht vaatab heakskiidetud kasutuse reeglid läbi vähemalt kord aastas, võrdleb REG02-s heakskiidetud eesmärke REG08 aktiivsete jagamiskirjetega vähemalt kord aastas ning registreerib tulemused REG12-s. Tarnija- või hankeomanikud võrdlevad REG08 aktiivseid jagamiskandeid aktiivsete volitatud töötlejate, alltöötlejate, vastuvõtjate ja andmete jagamise suhetega vähemalt kord kvartalis. Siseauditi- või vastavuse ülevaatajad võtavad igal aastal valimeid REG02, REG08 ja REG09 tõendusmaterjalist ning registreerivad tulemused REG12-s. Heakskiitmata kogumine, kasutamine, avalikustamine või jagamine tuleb viie tööpäeva jooksul registreerida mittevastavusena ning töötlemine võidakse ühe tööpäeva jooksul peatada, kui heakskiidetud tõendusmaterjal puudub.

Poliitika diagramm

Protsessivoog, mis näitab REG02-s registreeritud isikut tuvastava teabe kogumise või kasutamise taotlust, privaatsuse läbivaatamist, teisese kasutamise kontrolli, REG08 avalikustamise heakskiitu, REG09 edastamise marsruutimist, seiret ning REG12 erandeid või parandusmeetmeid.

Klõpsake diagrammil, et vaadata seda täissuuruses

Sisu

Kogumise piiramine ja REG02 heakskiit

Heakskiidetud sisekasutuse kontrollimeetmed

Teisese kasutamise kooskõla hindamised

Väline avalikustamine ja REG08 jagamiskirjed

Rahvusvahelise edastamise marsruutimine REG09-sse ja PII13-sse

Erandid, audit ja parandusmeetmed REG12 kaudu

Raamistiku vastavus

🛡️ Toetatud standardid ja raamistikud

See toode on kooskõlas järgmiste vastavusraamistikkudega, üksikasjalike klauslite ja kontrolli kaardistustega.

Raamistik Kaetud klauslid / Kontrollid
ISO/IEC 27701:2025
Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.1.2.2Annex A.1.2.9Annex A.1.2.3Annex A.1.2.8Annex A.1.4.2Annex A.1.4.3Annex A.1.4.5Annex A.1.5.2Annex A.1.5.3Annex A.1.5.4Annex A.1.5.5Annex A.2.2.2Annex A.2.2.3Annex A.2.2.7Annex A.2.5.2Annex A.2.5.3Annex A.2.5.4Annex A.2.5.5Annex A.2.5.6
EU GDPR
Article 5(1)(b)Article 5(1)(c)Article 5(2)Article 6Article 24Article 26Article 28Article 30
ISO/IEC 29100:2020
Clause 5.3Clause 5.4Clause 5.5Clause 5.6Clause 5.10Clause 5.12
ISO/IEC 29151:2022
Annex A.3Annex A.4Annex A.5Annex A.7

Seotud poliitikad

Rahvusvahelise edastamise poliitika

Seotud, sest uusi edastamise asukohti hõlmav jagamine tuleb enne heakskiitu marsruutida REG09-sse ja PII13-sse.

PIMS-i seire, auditi ja parendamise poliitika

Seotud, sest erandeid, mittevastavusi, auditi tulemusi, parandusmeetmeid ja parenduskirjeid käsitletakse REG12 kaudu.

Töötlemisregistri ja õigusliku aluse poliitika

Seotud, sest kogumise, heakskiidetud kasutuse ja teisese kasutamise otsuste jaoks on nõutavad REG02 töötlemiskirjed ja õigusliku aluse uuendused.

Privaatsusteate ja läbipaistvuse poliitika

Seotud, sest kogumise ja kasutamise kontrollimeetmed toimivad koos privaatsusteate sisu, avaldamise ja versioonihaldusega.

Privaatsusriskide hindamise ja DPIA-poliitika

Seotud, sest teisene kasutamine võib nõuda PII07 vajaduse hindamist, kui kooskõla hindamine tuvastab olulise privaatsusriski muutuse.

Volitatud töötleja, alltöötleja ja kolmandate osapoolte privaatsuse halduse poliitika

Seotud, sest avalikustamised ja jagamine volitatud töötlejate, alltöötlejate, tarnijate ja kolmandate osapooltega registreeritakse ning neid juhitakse REG08 kaudu.

Claryseci poliitikate kohta - Isikut tuvastava teabe kogumise, kasutamise, avalikustamise ja jagamise poliitika

See poliitika rakendab vastutust võimaldavat isikut tuvastava teabe kogumist, kasutamist, avalikustamist ja jagamist vastutava töötleja, kaasvastutava töötleja, volitatud töötleja ja alltöötleja kontekstides. See seob ärireeglid ja heakskiidud REG02 töötlemiskirjete, REG08 avalikustamise ja jagamise tõendusmaterjali, REG09 rahvusvahelise edastamise marsruutimise ning REG12 auditi-, erandi- ja parandusmeetmete kirjetega. Poliitika määratleb, millal tuleb lõpule viia kogumisreeglid, heakskiidetud kasutuse reeglid, teisese kasutamise kooskõla hindamised, välise avalikustamise heakskiidud ja korduva jagamise läbivaatamised, ning määrab vastutuse privaatsusvaldkonna juhile / PIMS-i juhile, protsessiomanikule / ettevõtte omanikule, süsteemiomanikule / rakenduse omanikule, tarnija- / hankeomanikule, tippjuhtkonnale ja siseauditi / vastavuse ülevaatajale.

REG02 heakskiidureeglid

Nõuab enne töötlemise algust dokumenteeritud eesmärke, kategooriaid, minimaalseid andmeelemente ja heakskiidetud sisekasutuse reegleid.

REG08 jagamise tõendusmaterjal

Hõlmab avalikustamiste puhul vastuvõtja identiteeti, rolli, eesmärki, isikut tuvastava teabe kategooriaid, jagamise sagedust, asukohta ja autoriseerimist.

Teisese kasutamise kontrollid

Nõuab kooskõla hindamist ja heakskiitu enne, kui isikut tuvastavat teavet kasutatakse eesmärgil, mida ei ole REG02-s juba registreeritud.

Edastamise asukoha marsruutimine

Marsruudib uued riigid, kaugjuurdepääsu ja edasise edastamise asukohad enne jagamise heakskiitu REG09-sse ja PII13-sse.

Auditiks valmis järelevalve

Kasutab REG12-t erandite, mittevastavuste, auditileidude, parandusmeetmete, läbivaatamiste ja seiretulemuste jaoks.

Korduma kippuvad küsimused

Loodud juhtidele, juhtide poolt

Selle poliitika on koostanud turbejuht, kellel on üle 25 aasta kogemust ISMS-raamistike juurutamisel ja auditeerimisel globaalsetes organisatsioonides. See ei ole mõeldud vaid dokumendina, vaid kaitstava raamistikuna, mis peab vastu audiitori kontrollile.

Koostanud ekspert järgmiste kvalifikatsioonidega:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Katvus ja teemad

🏢 Sihtosakond

Andmekaitse vastavus õigus hange andmekaitseametniku büroo

🏷️ Temaatiline katvus

Isikuandmete töötlemine töötlemistoimingute kirjed rahvusvahelised andmeedastused vastutava töötleja ja volitatud töötleja vastutus kolmandate osapoolte haldus nõusolek ja õiguslik alus vastavuse haldus
€79

Ühekordne ost

Kohene allalaadimine
Eluaegsed uuendused

See poliitika on 1 25-st täielikus ISO/IEC 27701 PIMS-paketis

Säästke 52%

Hankige kõik 25 PIMS-poliitikat, täielik registrikomplekt ja üksikasjalik rakenduskava hinnaga €799 üksikult ostetava €1 675 asemel.

Vaata täielikku 27701 paketti →
PII Collection, Use, Disclosure and Sharing Policy

Toote üksikasjad

Tüüp: policy
Kategooria: ISO 27701 PIMS Policy Pack
Standardid: 4