policy ISO 27701 PIMS Policy Pack

Privaatsusriskide hindamise ja DPIA poliitika

ISO 27701-ga kooskõlas olev privaatsusriskide hindamise ja DPIA poliitika DPIA vajaduse hindamiseks, riskikäsitluseks, jääkriski heakskiitmiseks ja REG04 tõendusmaterjali haldamiseks.

Ülevaade

See poliitika määratleb, kuidas privaatsusriskide hindamisi ja DPIA-sid eelhinnatakse, tehakse, käsitletakse, heaks kiidetakse, läbi vaadatakse ja tõendusmaterjaliga kaetakse. Selle keskmes on REG04 tõendusmaterjal, seosed toetavate registritega ning nõuded kõrge riskiga vastutava töötleja töötlemisele, volitatud töötleja DPIA-ga seotud abile, jääkriski heakskiitmisele, eelnevale konsulteerimisele, seirele, eranditele ja rakendamisele.

Riskipõhine DPIA kontroll

Määratleb DPIA vajaduse hindamise, täiemahulise DPIA käivitajad, riskikäsitluse, jääkriski heakskiitmise ja eelneva konsulteerimise otsused enne kõrge riskiga töötlemise jätkamist.

Tõendusmaterjalil põhinev juhtimine

Nõuab REG04 privaatsusriski ja DPIA kirjeid, mis on seotud REG02, REG03, REG08, REG10, REG11 ja REG12 tõendusmaterjaliga.

Selge rollivastutus

Määrab tegevused äri-, privaatsus-, turbe-, süsteemi-, tarnija-, auditi-, andmekaitseametniku või andmekaitsenõustaja ning tippjuhtkonna rollidele.

Loe täielikku ülevaadet (click to expand)
Privaatsusriskide hindamise ja DPIA poliitika määratleb, kuidas organisatsioon tuvastab, hindab, käsitleb, kiidab heaks, vaatab läbi ja tõendab privaatsusriske PIMS-i kohaldamisalas. Selle eesmärk on tagada, et privaatsusriske ja DPIA-kohustusi käsitletakse enne, kui isikut tuvastava teabe töötlemine loob isikuandmesubjektidele või privaatsusteabe haldussüsteemile lubamatu riski. Poliitikat kohaldatakse uutele ja oluliselt muudetud isikut tuvastava teabe töötlemistoimingutele vastutava töötleja, kaasvastutava töötleja, volitatud töötleja ja alltöötleja kontekstides. See hõlmab ka süsteeme, rakendusi, teenuseid, äriprotsesse, tarnijaid, volitatud töötlejaid, alltöötlejaid, rahvusvahelisi edastusi ja andmete jagamise kokkuleppeid, mis mõjutavad isikut tuvastava teabe töötlemist. Poliitika keskne osa on REG04-põhine tegevusmudel. Privaatsusriski eelhindamine, DPIA vajaduse hindamine, riskihindamine, käsitlusplaanid, jääkriski aktsepteerimine, konsulteerimisotsused, heakskiidud ja läbivaatamise staatus dokumenteeritakse REG04-s ning toetav tõendusmaterjal seotakse REG02-ga, REG03-ga, REG08-ga, REG09-ga, REG10-ga, REG11-ga ja REG12-ga. Poliitika välistab selgesõnaliselt eraldi DPIA-, riski- või konsulteerimisregistrite loomise väljaspool REG04. See aitab säilitada ühtse tõendusmaterjali jälje eelhindamise tulemuste, täiemahulise DPIA otsuste, riskihinnangute, riskikäsitluse omanike, tähtaegade, jääkriski, heakskiidu staatuse ja läbivaatamise kuupäevade kohta. Poliitika sätestab kohustuslikud käivitajad privaatsusriski eelhindamiseks ja täiemahulise DPIA määramiseks. Protsessiomanikud / ettevõtte omanikud peavad algatama REG04 eelhindamise enne REG02-s registreeritud uue või oluliselt muudetud töötlemise algust. Vastutava töötleja töötlemine, millega tõenäoliselt kaasneb kõrge risk, nõuab täiemahulist DPIA-d enne töötlemise algust. Poliitika nimetab küsimustena, mis tuleb enne töötlemise alustamist suunata privaatsusvaldkonna juhile / PIMS-i juhile, töötlemist, mis hõlmab suuremahulist tegevust, süstemaatilist seiret, profiilianalüüsi, automatiseeritud otsuseid, eriliiki isikut tuvastavat teavet, süüdimõistvate kohtuotsuste või süütegudega seotud andmeid, haavatavaid isikuandmesubjekte, uuenduslikku tehnoloogiat ja olulist töötlemismuudatust. Samuti nõuab see korduvat eelhindamist enne isikut tuvastava teabe kasutamist uuel eesmärgil, uue saaja lisamist, uue volitatud töötleja või alltöötleja kasutuselevõttu, süsteemiarhitektuuri muutmist või uue rahvusvahelise edastuse alustamist. Selgelt on määratletud ka riskikäsitlus ja eskaleerimine. Kui privaatsusrisk ületab heakskiidetud aktsepteerimiskünnist, peab protsessiomanik / ettevõtte omanik registreerima REG04-s käsitlusplaani enne töötlemise jätkamist. Turbe-, süsteemidisaini-, tarnija-, lepingulised ja kindlust andvad tegevused määratakse asjakohasele rollile ning need tuleb rakendada enne tootmiskeskkonnas kasutuselevõttu, tööle asumist, uuendamist või heakskiidetud tähtpäeva. Kõrge privaatsuse jääkrisk vastutava töötleja töötlemisel nõuab tippjuhtkonna heakskiitu enne töötlemise alustamist või jätkamist. Kui pärast riskikäsitlust jääb püsima kõrge jääkrisk, registreerib privaatsusvaldkonna juht / PIMS-i juht REG04-s eelneva konsulteerimise otsuse ning tippjuhtkond kiidab enne töötlemise jätkamist heaks jätkamise, peatamise, ümberkujundamise või konsulteerimistoimingud. Juhtimise, seire ja rakendamise nõuded tagavad, et protsess jääb aktiivseks ka pärast esmast heakskiitu. Privaatsusvaldkonna juht / PIMS-i juht vaatab avatud privaatsusriskid ja tähtaja ületanud käsitlustegevused läbi kord kuus, esitab privaatsusriski ja DPIA staatuse kohta aruande kord kvartalis ja enne juhtkonna läbivaatamist ning võrdleb aktiivseid REG04 riskikirjeid REG02 töötlemisregistri kirjetega. Poliitika määratleb mõõdikud eelhindamise katvuse, aktiivsete täiemahuliste DPIA-de, tähtaja ületanud läbivaatamiste, kõrgete jääkriskide, käsitlustegevuste staatuse, keskmise sulgemisaja, tarnijate tegevuste, turbe riskikäsitlustegevuste, intsidendipõhise kordushindamise ja auditileidude kohta. Erandeid tuleb taotleda enne kõrvalekallet, hinnata privaatsuse, õiguslike, sertifitseerimise, operatiivsete ja isikuandmesubjektidele avalduvate mõjude seisukohast ning neile tuleb määrata aegumiskuupäev, mis ei ületa 90 päeva. Puuduvat, ebatäpset, mittetäielikku, tähtaja ületanud või heakskiitmata REG04 tõendusmaterjali käsitletakse REG12-s mittevastavusena.

Poliitika diagramm

Protsessi vooskeem, mis näitab, kuidas REG02 töötlemisregister käivitab REG04 privaatsusriski eelhindamise, DPIA otsuse, hindamissisendid, käsitlustegevused, jääkriski heakskiitmise, eelneva konsulteerimise, REG12 aruandluse, auditi läbivaatamise ja pideva kordushindamise.

Klõpsake diagrammil, et vaadata seda täissuuruses

Sisu

Privaatsusriski eelhindamise kriteeriumid ja DPIA käivitajad

Täiemahulise DPIA tegemise ja heakskiitmise nõuded

Riskikäsitlusplaanid ja jääkriski aktsepteerimine

Eelneva konsulteerimise otsus ja eskaleerimisprotsess

REG04 tõendusmaterjali haldus ja toetavad registrid

Seire, mõõdikud, erandid ja rakendamine

Raamistiku vastavus

🛡️ Toetatud standardid ja raamistikud

See toode on kooskõlas järgmiste vastavusraamistikkudega, üksikasjalike klauslite ja kontrolli kaardistustega.

Raamistik Kaetud klauslid / Kontrollid
ISO/IEC 27701:2025
Clause 6.1.1Clause 6.1.2Clause 6.1.3Clause 6.3Clause 7.5Clause 8.1Clause 8.2Clause 8.3Clause 9.1Clause 9.3Clause 10.2Annex A.1.2.6Annex A.1.2.9Annex A.2.2.2Annex A.2.2.6
EU GDPR
Article 5(2)Article 24Article 25Article 28Article 30Article 32Article 35Article 36Article 39
ISO/IEC 29100:2020
Clause 4.7Clause 5.11Clause 5.12
ISO/IEC 29134:2020
Clause 1Clause 5.1Clause 6.2Clause 6.3
ISO/IEC 29151:2022
Clause 4.1Clause 4.2
ISO/IEC 27557:2022
Clause 4Clause 5.2Clause 5.3Clause 6.4Clause 6.5Clause 6.6Clause 6.7

Seotud poliitikad

Töötlemisregistri ja õigusliku aluse poliitika

REG02 töötlemisregistri kirjed annavad nõutavad sisendid REG04 privaatsusriskide hindamise ja DPIA tõendusmaterjali jaoks.

Lõimitud andmekaitse ja vaikimisi andmekaitse poliitika

Lõimitud andmekaitse ja vaikimisi andmekaitse sisendid on nõutavad enne tootmiskeskkonnas kasutuselevõtu heakskiitu süsteemidele, mis töötlevad isikut tuvastavat teavet.

Volitatud töötleja, alltöötleja ja kolmandate osapoolte privaatsushalduse poliitika

Tarnija, volitatud töötleja, alltöötleja, andmete jagamise ja kliendi DPIA-ga seotud abi tõendusmaterjali hallatakse REG08 ja REG04 kaudu.

Rahvusvahelise edastuse poliitika

Uued rahvusvahelised edastused on olulised muudatused, mis nõuavad enne alustamist REG04-s privaatsusriski korduvat eelhindamist.

Turbe- ja juurdepääsukontrolli poliitika

PII turbekontrollide sisendid ja käsitluse staatus REG03-s toetavad privaatsusriski käsitluse heakskiitmist ja seiret.

PIMS-i seire, auditi ja parendamise poliitika

Privaatsusrisk, DPIA tõendusmaterjal, auditileiud, parandusmeetmed ja juhtkonna läbivaatamise väljundid esitatakse ja vaadatakse läbi REG12-s.

Claryseci poliitikate kohta - Privaatsusriskide hindamise ja DPIA poliitika

Privaatsuse juhtimine ebaõnnestub, kui seda käsitletakse eraldiseisvate teadete, vormide ja õiguslike avalduste kogumina. Tõhus ISO/IEC 27701 rakendamine nõuab privaatsusteabe haldussüsteemi, mis seob isikut tuvastava teabe töötlemise, õigusliku aluse, vastutava töötleja ja volitatud töötleja rollid, privaatsusriski, DPIA-d, tõendusmaterjali, seire ja pideva täiustamise. See poliitika määratleb privaatsusriskide hindamise ja DPIA halduse operatiivse protsessi. See nõuab eelhindamist enne uut või oluliselt muudetud isikut tuvastava teabe töötlemist, täiemahulisi DPIA-sid kõrge riskiga vastutava töötleja töötlemise korral, vajaduse korral dokumenteeritud volitatud töötleja DPIA-ga seotud abi, riskikäsitluse kavandamist, jääkriski aktsepteerimist, eelneva konsulteerimise otsuseid ja korduvat läbivaatamist. Iga nõue on kirjutatud nummerdatud, auditeeritava punktina ning seotud tõendusmaterjali objektidega, nagu REG02, REG03, REG04, REG08, REG10, REG11 ja REG12. Struktuur toetab vastutava töötleja, kaasvastutava töötleja, volitatud töötleja ja alltöötleja kontekste, aidates organisatsioonidel tõendada vastutustundlikku, riskipõhist ja tõendusmaterjalipõhist isikut tuvastava teabe töötlemise juhtimist kogu PIMS-i elutsükli jooksul.

Töötlemiseelne eelhindamine

Nõuab REG04 eelhindamist enne REG02-s registreeritud uue või oluliselt muudetud isikut tuvastava teabe töötlemise algust.

DPIA otsuse tõendusmaterjal

Dokumenteerib REG04-s täiemahulise DPIA otsused, vastutava töötleja kõrge riskiga töötlemise põhjenduse ning andmekaitseametniku või andmekaitsenõustaja nõuanded.

Määratletud omanikud

Määrab privaatsuse, äritegevuse, turbe, süsteemi, tarnija, intsidendi, auditi ja tippjuhtkonna vastutused.

Jääkriski järelevalve

Nõuab tippjuhtkonna heakskiitu enne kõrge privaatsuse jääkriskiga töötlemise alustamist või jätkamist.

Seire ja läbivaatamine

Sätestab riskide, DPIA-de ja käsitlustegevuste jaoks igakuised, kvartaalsed, iga-aastased, auditi ja juhtkonna läbivaatamise kontrollpunktid.

Korduma kippuvad küsimused

Loodud juhtidele, juhtide poolt

Selle poliitika on koostanud turbejuht, kellel on üle 25 aasta kogemust ISMS-raamistike juurutamisel ja auditeerimisel globaalsetes organisatsioonides. See ei ole mõeldud vaid dokumendina, vaid kaitstava raamistikuna, mis peab vastu audiitori kontrollile.

Koostanud ekspert järgmiste kvalifikatsioonidega:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Katvus ja teemad

🏢 Sihtosakond

privaatsus õigus vastavus IT-turve DPO büroo

🏷️ Temaatiline katvus

privaatsusteabe haldus privaatsuse mõjuhindamine riskijuhtimine lõimitud andmekaitse kolmandate osapoolte haldus rahvusvahelised andmeedastused seire ja mõõtmine
€79

Ühekordne ost

Kohene allalaadimine
Eluaegsed uuendused

See poliitika on 1 25-st täielikus ISO/IEC 27701 PIMS-paketis

Säästke 52%

Hankige kõik 25 PIMS-poliitikat, täielik registrikomplekt ja üksikasjalik rakenduskava hinnaga €799 üksikult ostetava €1 675 asemel.

Vaata täielikku 27701 paketti →
Privacy Risk Assessment and DPIA Policy

Toote üksikasjad

Tüüp: policy
Kategooria: ISO 27701 PIMS Policy Pack
Standardid: 6