policy ISO 27701 PIMS Policy Pack

Volitatud töötlejate, alltöötlejate ja kolmandate osapoolte privaatsuse halduse poliitika

Hallake volitatud töötlejate, alltöötlejate ja kolmandate osapoolte suhteid isikut tuvastava teabe osas REG08 tõendusmaterjali, taustakontrolli, lepingute, seire ja lõpetamise kontrollimeetmetega.

Ülevaade

See poliitika reguleerib volitatud töötlejaid, alltöötlejaid ja kolmandaid osapooli, kes käitlevad isikut tuvastavat teavet. See kasutab REG08 esmase tõendusmaterjali registrina ning määratleb nõuded rollide klassifitseerimisele, taustakontrollile, lepingutele, kliendi juhistele, alltöötlejate heakskiitmisele, seirele, intsidendiseostele, edastamiskirjetele, lõpetamise tõendusmaterjalile ja parandusmeetmetele.

Kolmandate osapoolte elutsükli kontroll

Määratleb, kuidas volitatud töötlejad, alltöötlejad ja isikut tuvastavat teavet käitlevad kolmandad osapooled tuvastatakse, heaks kiidetakse, seiratakse, muudetakse ja suhte lõpetamisel käsitletakse.

Auditiks valmis REG08 tõendusmaterjal

Kasutab REG08 esmase registrina, sidudes suhted töötlemise, riski, edastamise, intsidendi ja parandusmeetmete kirjetega.

Selge rollivastutus

Määrab kohustused privaatsuse, hanke, turbe, protsessiomanike, süsteemiomanike, intsidentidele reageerimise ja tippjuhtkonna jaoks.

Loe täielikku ülevaadet (click to expand)
Volitatud töötlejate, alltöötlejate ja kolmandate osapoolte privaatsuse halduse poliitika määratleb, kuidas organisatsioon juhib väliseid osapooli, kes töötlevad, kasutavad, saavad, säilitavad, edastavad, toetavad või muul viisil käitlevad isikut tuvastavat teavet privaatsusteabe haldussüsteemi kohaldamisalas. Seda kohaldatakse, kui organisatsioon tegutseb isikut tuvastava teabe vastutava töötlejana ja kasutab volitatud töötlejaid, kaasvastutava töötlejana, mille puhul on nõutav rollide klassifitseerimine, volitatud töötlejana, kes kasutab alltöötlejaid või alltöövõtjaid, ning alltöötlejana, kes saab kliendi juhiseid. Poliitika hõlmab ka kolmandate osapoolte suhteid, mis nõuavad privaatsuse taustakontrolli, lepingulisi kontrollimeetmeid, dokumenteeritud juhiseid, alltöötleja heakskiitu, seiret, kinnitust, intsidendiliidest, edastamisseoseid ning tagastamise, kustutamise või lõpetamise tõendusmaterjali. Poliitika keskne omadus on tuginemine REG08-le — volitatud töötlejate, alltöötlejate ja andmete jagamise registrile — kui esmasele tõendusobjektile volitatud töötlejate, alltöötlejate ja kolmandate osapoolte privaatsuse halduse jaoks. Poliitika nõuab, et privaatsusvaldkonna juht / PIMS-i juht määratleks minimaalsed REG08 väljad ja klassifitseeriks kolmanda osapoole privaatsussuhted vastutava töötleja, kaasvastutava töötleja, volitatud töötleja, alltöötleja või muu kolmanda osapoole suhtena enne lepingu heakskiitmist või enne isikut tuvastava teabe töötlemise algust. Samuti nõuab see, et tarnija / hanke omanik blokeeriks tööle asumise, uuendamise või laiendamise seni, kuni REG08 on täidetud ja seotud kirjetega nagu REG02, REG04, REG09 või REG10, kui need tõendusobjektid käivituvad. See loob dokumenteeritud seose suhte juhtimise, töötlemise registri, riski- ja DPIA-kirjete, rahvusvaheliste edastuste tõendusmaterjali, intsidendikirjete ja parandusmeetmete vahel. Poliitika kehtestab üksikasjalikud nõuded taustakontrollile, riskihindamisele ja lepingulisele kontrollile. Privaatsuse taustakontroll tuleb lõpule viia enne sellise volitatud töötleja, alltöötleja või kolmanda osapoole suhte valimist, uuendamist või olulist muutmist, mis töötleb isikut tuvastavat teavet või pääseb sellele ligi. Infoturbe juht peab enne heakskiitu läbi vaatama turbekindluse tõendusmaterjali ning kõrge riskiga volitatud töötlejate suhted või olulised kolmanda osapoole privaatsusmuudatused käivitavad REG04-s privaatsusriski ja DPIA vajaduse hindamise. Lepingute ja dokumenteeritud juhiste kontrollimeetmed on eristatud vastutava töötleja ja volitatud töötleja kontekstis. Vastutava töötlejana tegutsedes peab organisatsioon enne seda, kui volitatud töötleja käitleb isikut tuvastavat teavet, registreerima kirjaliku volitatud töötleja lepingu või samaväärse siduva kokkuleppe. Volitatud töötlejana tegutsedes peavad kliendilepingud või dokumenteeritud kliendi juhised määratlema lubatud töötlemise kohaldamisala enne kliendi isikut tuvastava teabe töötlemist. Poliitika nõuab ka lepingulist katvust abi, turbekindluse, intsidendiliidese PII15 kaudu, tagastamise või kustutamise PII10 kaudu, edastamisseose PII13 kaudu ning auditi- või kinnitusalase koostöö kohta. Alltöötlejate ja alltöövõtjate juhtimist käsitletakse konkreetsete heakskiitmise, teavitamise, edasiantavate kohustuste ja seire nõuete kaudu. Tarnija / hanke omanik peab pidama REG08-s alltöötlejate ja alltöövõtjate loendit, kontrollima enne kaasamist kliendi luba, teavitama kliente kavandatavatest uutest või asendatavatest alltöötlejatest kohaldatava lepingu järgi ning tagama edasiantavad privaatsuse, turbe, abi, tagastamise, kustutamise, intsidendiliidese ja edastamisseoste kohustused enne seda, kui alltöötleja töötleb isikut tuvastavat teavet. Vastutava töötleja poolel tuleb samuti jälgida alltöötleja muutmise teateid ning heakskiidu, vastuväite või eskaleerimise otsused tuleb registreerida REG08-s lepingulise vastuväiteperioodi jooksul või 10 tööpäeva jooksul pärast teate saamist, olenevalt sellest, kumb tähtaeg on lühem. Poliitika katab elutsükli lõpuni pideva seire, abitaotluste käsitlemise, avalikustamise registreerimise, intsidendiseosed, edastamisseosed, lõpetamise tõendusmaterjali, erandid, rakendamise ja läbivaatamise. Kõrge riskiga volitatud töötlejate ja alltöötlejate suhteid seiratakse kord kvartalis, samal ajal kui muid aktiivseid isikut tuvastava teabe volitatud töötlejate ja alltöötlejate suhteid seiratakse kord aastas. Abitaotlused isikuandmesubjekti õiguste, DPIA-de, turbetõendusmaterjali, auditite või kliendikinnituse kohta tuleb koordineerida REG08 kaudu ja siduda vajaduse korral REG06, REG04 või REG12-ga. Tarnijaga seotud privaatsusintsidentide teated suunatakse PII15 alusel REG10-sse ühe tööpäeva jooksul ning tagastamise, kustutamise, kõrvaldamise või ülemineku tõendusmaterjal tuleb hankida 30 päeva jooksul pärast lõpetamist, aegumist, kliendi juhist või heaks kiidetud lõpetamissündmust, välja arvatud juhul, kui kohaldub lühem lepinguline tähtaeg. Erandid on ajaliselt piiratud, nõuavad privaatsuse mõjuhindamist ning võivad nõuda tippjuhtkonna heakskiitu, kui mõjutatud on kõrge riskiga töötlemine, puuduv lepinguline tõendusmaterjal, edastamisseoste lüngad või sertifitseerimise kohaldamisala.

Poliitika diagramm

Protsessivoo skeem, mis näitab isikut tuvastava teabega seotud kolmanda osapoole suhte tuvastamist REG08-s, rollide klassifitseerimist, taustakontrolli ja turbekindlust, lepingu või juhise heakskiitu, alltöötleja kontrollimeetmeid, seiret, intsidendi- ja edastamisseoseid, lõpetamise tõendusmaterjali ning parandusmeedet.

Klõpsake diagrammil, et vaadata seda täissuuruses

Sisu

REG08 suhte klassifitseerimise ja tõendusmaterjali nõuded

Privaatsuse taustakontroll ja turbekindlus

Volitatud töötlejate lepingud ja dokumenteeritud kliendi juhised

Alltöötleja heakskiitmine, teavitamine ja edasiantavad kohustused

Pidev seire, intsidendiseosed ja edastamiskirjed

Lõpetamise, tagastamise, kustutamise ja parandusmeetmete tõendusmaterjal

Raamistiku vastavus

🛡️ Toetatud standardid ja raamistikud

See toode on kooskõlas järgmiste vastavusraamistikkudega, üksikasjalike klauslite ja kontrolli kaardistustega.

Raamistik Kaetud klauslid / Kontrollid
ISO/IEC 27701:2025
Clause 4.1Clause 6.1.2Clause 8.2Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.1.2.7Annex A.1.2.9Annex A.2.2.2Annex A.2.2.3Annex A.2.2.5Annex A.2.2.6Annex A.2.2.7Annex A.2.3.2Annex A.2.4.3Annex A.2.5.4Annex A.2.5.5Annex A.2.5.6Annex A.2.5.7Annex A.2.5.8Annex A.2.5.9
EU GDPR
Article 5(2)Article 24Article 26Article 28Article 30Article 32
ISO/IEC 29100:2020
Clause 5.10Clause 5.11Clause 5.12
ISO/IEC 29151:2022
Clause 15.1.2Clause 15.2.2Clause 15.2.3
ISO/IEC 27002:2022
Control 5.19Control 5.20Control 5.21Control 5.22Control 5.23
ISO/IEC 27018:2020
Annex A.2.1Annex A.3.1Annex A.6.1Annex A.6.2Annex A.8.1Annex A.10.1Annex A.10.3Annex A.11.11Annex A.11.12Annex A.12.1
ISO/IEC 27036-2:2022
Clause 6.1.1Clause 6.1.2Clause 7.1Clause 7.2Clause 7.3Clause 7.4Clause 7.5

Seotud poliitikad

Töötlemise registri ja õigusliku aluse poliitika

REG08 suhtekirjed tuleb vajaduse korral siduda REG02 töötlemise registri ja õigusliku aluse kirjetega.

Privaatsusriskide hindamise ja DPIA poliitika

Kõrge riskiga volitatud töötlejate suhted ja olulised kolmanda osapoole privaatsusmuudatused käivitavad REG04-s privaatsusriski ja DPIA vajaduse hindamise.

Säilitamise, kustutamise ja kõrvaldamise poliitika

Volitatud töötlejate ja alltöötlejate lepingud ning suhte lõpetamine peavad käsitlema tagastamise, kustutamise, kõrvaldamise ja ülemineku tõendusmaterjali PII10 kaudu.

Rahvusvahelise edastamise poliitika

REG08-s olevad töötlemise asukohad, majutusasukohad ja edastamisnäitajad tuleb siduda kohaldatava REG09 edastamise tõendusmaterjaliga.

Turbe- ja juurdepääsukontrolli poliitika

Turbekindlus, juurdepääsukontrolli tõendusmaterjal, tarnijate juurdepääs ja lahkumisprotsessi kontrollimeetmed toetavad kolmandate osapoolte isikut tuvastava teabe juhtimist.

Intsidentide ja rikkumiste halduse poliitika

Tarnijaga seotud privaatsusintsidentide teated ja abitaotlused suunatakse PII15 alusel REG10-sse koos REG08 seosega.

Claryseci poliitikate kohta - Volitatud töötlejate, alltöötlejate ja kolmandate osapoolte privaatsuse halduse poliitika

See poliitika kehtestab operatiivse privaatsuse juhtimise volitatud töötlejatele, alltöötlejatele, alltöövõtu korras tegutsevatele isikut tuvastava teabe volitatud töötlejatele, tarnijatele, teenusepakkujatele, pilveteenuse pakkujatele ja muudele kolmandatele osapooltele, kes töötlevad või mõjutavad isikut tuvastavat teavet PIMS-i kohaldamisalas. See määratleb, kuidas suhted klassifitseeritakse, hinnatakse, heaks kiidetakse, lepinguliselt seotakse, juhistatakse, seiratakse, muudetakse ja lõpetatakse, kusjuures REG08 toimib esmase tõendusobjektina ning nõutavad seosed luuakse töötlemise registri, riski-, edastamis-, intsidendi-, kommunikatsiooni-, dokumenteeritud teabe ja parandusmeetmete kirjetega, kui see on kohaldatav.

Määratletud suhte kohaldamisala

Hõlmab volitatud töötlejaid, alltöötlejaid, alltöövõtjaid, tarnijaid, teenusepakkujaid, pilveteenuse pakkujaid ja muid isikut tuvastavat teavet käitlevaid kolmandaid osapooli.

Taustakontroll enne heakskiitu

Nõuab privaatsuse taustakontrolli, turbekindlust ning riski või DPIA vajaduse hindamist enne heakskiitu, kui see on käivitatud.

Lepingu ja juhiste kontrollimeetmed

Dokumenteerib volitatud töötlejate lepingud, kliendi juhised, edasiantavad kohustused ja heaks kiidetud muudatused REG08-s.

Seire ja rakendamine

Kehtestab läbivaatamise sagedused, erandite käsitlemise, blokeerimisreeglid, mittevastavuste käivitajad ja parandusmeetmete tõendusmaterjali.

Korduma kippuvad küsimused

Loodud juhtidele, juhtide poolt

Selle poliitika on koostanud turbejuht, kellel on üle 25 aasta kogemust ISMS-raamistike juurutamisel ja auditeerimisel globaalsetes organisatsioonides. See ei ole mõeldud vaid dokumendina, vaid kaitstava raamistikuna, mis peab vastu audiitori kontrollile.

Koostanud ekspert järgmiste kvalifikatsioonidega:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Katvus ja teemad

🏢 Sihtosakond

Privaatsus õigus vastavus IT-turve hange

🏷️ Temaatiline katvus

Kolmandate osapoolte haldus vastutava töötleja ja volitatud töötleja vastutus isikuandmete töötlemine töötlemistoimingute kirjed rahvusvahelised andmeedastused riskijuhtimine vastavushaldus
€89

Ühekordne ost

Kohene allalaadimine
Eluaegsed uuendused

See poliitika on 1 25-st täielikus ISO/IEC 27701 PIMS-paketis

Säästke 52%

Hankige kõik 25 PIMS-poliitikat, täielik registrikomplekt ja üksikasjalik rakenduskava hinnaga €799 üksikult ostetava €1 675 asemel.

Vaata täielikku 27701 paketti →
Processor, Subprocessor and Third-Party Privacy Management Policy

Toote üksikasjad

Tüüp: policy
Kategooria: ISO 27701 PIMS Policy Pack
Standardid: 7