policy ISO 27701 PIMS Policy Pack

Lasten tietosuojapolitiikka

Lasten tietosuojapolitiikka PIMS-järjestelmää varten: hallinnoi lasten henkilötietoja koskevia tietosuojaselosteita, suostumusta, DPIA-menettelyjä, oikeuksia, henkilötietojen käsittelijöitä, poikkeamia ja auditointivalmiutta tukevaa todentavaa aineistoa.

Yleiskatsaus

Tämä politiikka määrittää pakolliset PIMS-kontrollit lasten henkilötiedoille, lapsille suunnatuille palveluille ja lasten käytettävissä olevalle käsittelylle. Se kattaa tunnistamisen, tietosuojaselosteet, suostumuksen, vanhempainvastuunkantajan valtuutuksen, DPIA-ohjauksen, oikeuksien käsittelyn, henkilötietojen käsittelijät, poikkeamat, poikkeukset ja auditointivalmiutta tukevan todentavan aineiston rekisterien REG02, REG04, REG05, REG06, REG07, REG08, REG10 ja REG12 kautta.

Tehostetut lasten henkilötietojen kontrollit

Määrittää pakolliset suojatoimet lapsille suunnatulle, lasten käytettävissä olevalle ja lapsiin liittyvälle henkilötietojen käsittelylle PIMS:n soveltamisalassa.

Näyttöön perustuva hallinnointi

Ohjaa tietosuojaselosteet, suostumuksen, DPIA-menettelyt, oikeudet, henkilötietojen käsittelijät, poikkeamat ja korjaavat toimenpiteet määriteltyjen näyttöobjektien kautta.

Selkeä roolikohtainen vastuu

Osoittaa vastuut tietosuoja-, liiketoiminta-, järjestelmä-, toimittaja-, tietoturva-, tietoturvapoikkeamiin reagoinnin, auditoinnin ja ylimmän johdon rooleille.

Lue koko yleiskatsaus (click to expand)
Lasten tietosuojapolitiikka määrittää pakolliset tietosuojavaatimukset henkilötietojen käsittelylle, joka koskee lapsia, lapsille suunnattuja palveluja, palveluja, joihin lapset todennäköisesti pääsevät, sekä muita käsittelytoimia, joissa lasten henkilötiedot edellyttävät tehostettuja suojatoimia. Sitä sovelletaan rekisterinpitäjän, yhteisrekisterinpitäjän, henkilötietojen käsittelijän ja alikäsittelijän konteksteissa, mukaan lukien verkkosivustot, sovellukset, pelit, koulutuspalvelut, verkkoalustat, verkkoon liitetyt palvelut, asiakasportaalit, oppimisympäristöt, yhteisöt ja tukikanavat. Politiikan tarkoituksena on varmistaa, että lasten henkilötiedot tunnistetaan, hallinnoidaan, minimoidaan, selitetään, suojataan ja osoitetaan todentavalla aineistolla käyttämällä lapsille suunnattuun ja lasten käytettävissä olevaan käsittelyyn soveltuvia suojatoimia. Politiikan keskeinen piirre on tukeutuminen olemassa oleviin PIMS-näyttöobjekteihin erillisten lapsikohtaisten rekisterien sijaan. Politiikka edellyttää, että lapsille suunnattu tila, lasten pääsyn todennäköisyys, tarkoitukset, henkilötietoluokat, rekisteröityjen ryhmät, vastaanottajat ja säilytysviitteet kirjataan REG02:een. Tietosuojariskien esiarviointi ja DPIA-päätökset ohjataan REG04:n kautta. Suostumus, vanhempainvastuunkantajan valtuutus, suostumuksen peruuttamisreititys ja suostumuksen vastaanottokuittausten viitteet kirjataan soveltuvin osin REG05:een. Lapsia koskevat rekisteröidyn oikeuksia koskevat pyynnöt hallitaan REG06:n kautta, lapsiystävälliset tietosuojaselosteversiot REG07:n kautta, henkilötietojen käsittelijöitä ja tietojen jakamista koskevat rajoitukset REG08:n kautta, poikkeamia koskeva todentava aineisto REG10:n kautta sekä auditointi-, korjaavien toimenpiteiden ja parantamisen tallenteet REG12:n kautta. Politiikka sisältää yksityiskohtaiset operatiiviset vaatimukset lapsiystävälliselle läpinäkyvyydelle, suostumukselle, vanhempainvastuulle, minimoinnille, säilytykselle, oikeuksien käyttämiseen osallistumiselle, sisäänrakennetulle tietosuojalle ja luovutusten hallinnalle. Ennen lasten henkilötietojen keräämistä prosessien omistajien tai liiketoimintavastaavien on vahvistettava, että kukin henkilötietoluokka on tarpeellinen dokumentoitua tarkoitusta varten, ja määritettävä vähimmäismäärä iän arvioinnin tietoja. Lapsille suunnatuissa palveluissa on sovellettava tietosuojaa suojaavia oletusasetuksia valinnaiseen keräämiseen, näkyvyyteen, jakamiseen, personointiin ja viestintään. Kun lasten henkilötiedot sisältävät erityisiin henkilötietoryhmiin kuuluvia, erittäin arkaluonteisia, sijainti-, biometrisiä, käyttäytymiseen liittyviä, viestintää koskevia, koulutukseen, terveyteen tai turvallisuuteen liittyviä tietoja, vaaditaan tietosuojavastaavan tai tietosuojaneuvonantajan katselmointi, joka kirjataan REG04:ään. Politiikka käsittelee myös korkeamman riskin tilanteita, kuten profilointia, käyttäytymisanalyysiä, merkittäviä vaikutuksia aiheuttavaa personointia, automaattisia päätöksiä, suosittelutoimintoja, epäiltyä väärinkäyttöä, haitallista luovutusta, luvatonta pääsyä, hyväksikäyttöä, grooming-toimintaan liittyvää riskiä ja muita lapsiin liittyviä henkilötietojen turvallisuusriskejä. Nämä asiat ohjataan tietosuojakatselmointiin, poikkeamien käsittelyyn tai korjaavien toimenpiteiden prosesseihin käyttäen soveltuvin osin REG04:ää, REG10:tä ja REG12:ta. Toimittajien, henkilötietojen käsittelijöiden, alikäsittelijöiden ja tietojen jakamisen vastaanottajien osalta toimittaja- tai hankintavastaavan on vahvistettava REG08:ssa dokumentoidut lapsiin liittyvät rajoitukset, ohjeet, luottamuksellisuus, palautus- tai poistamisodotukset ja avustamisvelvoitteet ennen kuin lasten henkilötietojen käsittely hyväksytään. Hallinnointi ja valvonta määritetään neljännesvuosittaisilla todentavan aineiston katselmoinneilla, käyttöönoton valmiustarkastuksilla, vuosittaisilla auditoinneilla, poikkeusten käsittelyllä, soveltamisella ja politiikan vuosittaisella katselmoinnilla. Tietosuojavastaava/PIMS-päällikkö koordinoi todentavan aineiston täydellisyyttä ja eskalointia asiaankuuluvissa tallenteissa, kun taas ylin johto hyväksyy lasten tietosuojakontrollien lähestymistavan ja katselmoi järjestelmätason poikkeamat. Politiikka tukee auditointivalmiutta ja osoitusvelvollisuutta edellyttämällä seurantamittareita lapsille suunnatuista käsittelytoimista, DPIA-esiarvioinneista, avoimista tietosuojaseloste- tai suostumusasioista, henkilötietojen käsittelijöihin ja jakamiseen liittyvistä asioista, toistuvista poikkeamista ja korjaavien toimenpiteiden vaikuttavuudesta. Kaikki kirjataan REG12:een, ja lähdeaineisto saadaan sovellettavista rekistereistä.

Käytäntökaavio

Prosessikaavio, jossa lasten henkilötietojen käsittely etenee vastaanotosta ja lapsille suunnatun käsittelyn määrittämisestä REG02-luetteloon, REG07:n tietosuojaselosteeseen, REG05:n suostumukseen tai vanhempainvastuunkantajan valtuutukseen, REG04:n DPIA-esiarviointiin, REG06:n oikeuksien käsittelyyn, REG08:n henkilötietojen käsittelijöitä ja jakamista koskeviin kontrolleihin, REG10:n poikkeamien eskalointiin sekä REG12:n seurantaan, auditointiin ja korjaaviin toimenpiteisiin.

Napsauta kaaviota nähdäksesi sen täydessä koossa

Sisältö

Lapsille suunnatun käsittelyn tunnistaminen ja hyväksyntä

Lapsiystävällinen läpinäkyvyys ja tietosuojaselosteet

Suostumus, vanhempainvastuu ja suostumuksen peruuttaminen

Minimointi, oletusasetukset ja säilytys

Oikeudet, DPIA, profilointi ja turvallisuuteen liittyvä eskalointi

Luovutukset, henkilötietojen käsittelijät, alikäsittelijät ja todentavan aineiston hallinta

Kehysmääräysten noudattaminen

🛡️ Tuetut standardit ja kehykset

Tämä tuote on linjassa seuraavien vaatimustenmukaisuuskehysten kanssa, yksityiskohtaisilla lauseke- ja valvontamappingeillä.

Kehys Katetut lausekkeet / Kontrollit
ISO/IEC 27701:2025
Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.1.2.2Annex A.1.2.3Annex A.1.2.4Annex A.1.2.5Annex A.1.2.6Annex A.1.2.9Annex A.1.2.7Annex A.1.2.8Annex A.1.3.2Annex A.1.3.3Annex A.1.3.4Annex A.1.3.5Annex A.1.3.6Annex A.1.3.7Annex A.1.3.10Annex A.1.3.11Annex A.1.4.2Annex A.1.4.3Annex A.1.4.5Annex A.1.4.8Annex A.1.4.9Annex A.1.5.4Annex A.1.5.5Annex A.2.2.2Annex A.2.2.3Annex A.2.2.6Annex A.2.2.7Annex A.2.3.2Annex A.2.5.4Annex A.2.5.5Annex A.2.5.6Annex A.3.14Annex A.3.25
EU GDPR
Article 5(1)(a)Article 5(1)(b)Article 5(1)(c)Article 5(1)(e)Article 5(2)Article 6Article 7Article 8Article 9Article 12Article 13Article 14Article 15Article 16Article 17Article 18Article 21Article 22Article 24Article 25Article 26Article 28Article 30Article 32Article 35Article 39
ISO/IEC 29100:2020
Clause 5.1Clause 5.8Clause 5.9Clause 5.3Clause 5.4Clause 5.5Clause 5.6Clause 5.10Clause 5.11Clause 5.12
ISO/IEC 29134:2020
Clause 5.1Clause 6.2Clause 6.3
ISO/IEC 29151:2022
Annex A.3Annex A.4Annex A.5Annex A.7Annex A.10
ISO/IEC TS 27560:2023
Clause 5.2Clause 5.3Clause 6.2Clause 6.4

Liittyvät käytännöt

Käsittelytoimien luetteloa ja oikeusperustetta koskeva politiikka

Lapsille suunnattu tila, tarkoitukset, oikeusperuste, tietoluokat ja säilytysviitteet kirjataan käsittelytoimien luetteloon.

Tietosuojaseloste- ja läpinäkyvyyspolitiikka

Lapsille soveltuva ja vanhemmille tai huoltajille tarkoitettu tietosuojaselostesisältö on kirjattava, versiohallittava ja päivitettävä ennen asiaankuuluvia muutoksia.

Suostumuksen ja valinta-asetusten hallintapolitiikka

Lasten tietosuojapolitiikka perustuu soveltuvin osin suostumukseen, vanhempainvastuunkantajan valtuutukseen, suostumuksen peruuttamisreititykseen ja vastaanottokuittauksia koskevaan näyttöön.

Rekisteröityjen oikeuksien hallintapolitiikka

Lasten, vanhempien, huoltajien tai valtuutettujen edustajien pyynnöt ohjataan rekisteröityjen oikeuksien hallintaprosessin kautta.

Tietosuojariskien arviointi- ja DPIA-politiikka

Lapsikohtainen tietosuojariskien esiarviointi, DPIA-päätökset ja korkean riskin käsittelyn katselmoinnit ovat politiikan keskeisiä vaatimuksia.

Henkilötietojen käsittelijöiden, alikäsittelijöiden ja kolmansien osapuolten tietosuojahallinnan politiikka

Henkilötietojen käsittelijöiden, alikäsittelijöiden, toimittajien ja tietojen jakamisen vastaanottajien suorittama lasten henkilötietojen käsittely edellyttää dokumentoituja rajoituksia ja varmentamisnäyttöä.

Tietoa Clarysecin käytännöistä - Lasten tietosuojapolitiikka

Tämä lasten tietosuojapolitiikka on operatiivinen PIMS-politiikka käsittelylle, joka koskee lapsia, lapsille suunnattuja palveluja, palveluja, joihin lapset todennäköisesti pääsevät, sekä muita lasten henkilötietoja, jotka edellyttävät tehostettuja suojatoimia. Se määrittää osoitusvelvollisuuden eri rooleissa, mukaan lukien ylin johto, tietosuojavastaava/PIMS-päällikkö, prosessien omistajat, järjestelmäomistajat, toimittaja- tai hankintavastaavat, tietoturvatoiminto, tietoturvapoikkeamiin reagointi sekä sisäinen tarkastus / vaatimustenmukaisuuden katselmoijat. Politiikka edellyttää, että todentava aineisto ylläpidetään kanonisissa näyttöobjekteissa, kuten REG02:ssa, REG04:ssä, REG05:ssä, REG06:ssa, REG07:ssä, REG08:ssa, REG10:ssä ja REG12:ssa, erillisen lasten tietosuojarekisterin sijaan.

Lapsille suunnattu soveltamisala

Kattaa lapsille suunnatut palvelut, lasten käytettävissä olevan käsittelyn ja toimet, joissa lasten henkilötiedot tarvitsevat tehostettuja suojatoimia.

Kanoninen todentava aineisto

Käyttää REG02:ta, REG04:ää, REG05:tä, REG06:ta, REG07:ää, REG08:aa, REG10:tä ja REG12:ta erillisen lasten tietosuojarekisterin sijaan.

Roolipohjainen omistajuus

Osoittaa erityiset velvoitteet tietosuoja-, liiketoiminta-, järjestelmä-, toimittaja-, tietoturva-, tietoturvapoikkeamiin reagoinnin, auditoinnin ja ylimmän johdon rooleille.

Neljännesvuosittainen valvonta

Edellyttää neljännesvuosittaisia katselmointeja ja mittareita lasten tietosuojan todentavasta aineistosta, DPIA-menettelyistä, asioista sekä henkilötietojen käsittelijöihin tai tietojen jakamiseen liittyvistä puutteista.

Usein kysytyt kysymykset

Suunniteltu johtajille, johtajien toimesta

Tämän käytännön on laatinut tietoturvajohtaja, jolla on yli 25 vuoden kokemus ISMS-viitekehysten käyttöönotosta ja auditoinnista globaaleissa organisaatioissa. Se ei ole pelkkä asiakirja, vaan puolustettava viitekehys, joka kestää auditorin tarkastelun.

Laatinut asiantuntija, jolla on seuraavat pätevyydet:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Kattavuus & Aiheet

🏢 Kohdeosastot

tietosuoja lakiasiat vaatimustenmukaisuus IT-tietoturva tietosuojavastaavan toimisto

🏷️ Aiheen kattavuus

henkilötietojen hallintajärjestelmä henkilötietojen käsittely rekisteröityjen oikeuksien hallinta tietosuojaa koskeva vaikutustenarviointi sisäänrakennettu tietosuoja suostumus ja oikeusperuste kolmansien osapuolten hallinta
€99

Kertaosto

Välitön lataus
Elinikäiset päivitykset

Tämä käytäntö on 1/25 täydellisessä ISO/IEC 27701 PIMS -paketissa

Säästä 52%

Hanki kaikki 25 PIMS-käytäntöä, täydellinen rekisterisarja ja yksityiskohtainen toteutussuunnitelma hintaan €799 erikseen ostettujen €1 675 sijaan.

Katso täydellinen 27701-paketti →
Children's Privacy Policy

Tuotetiedot

Tyyppi: policy
Luokka: ISO 27701 PIMS Policy Pack
Standardit: 6