policy ISO 27701 PIMS Policy Pack

Työntekijöiden tietosuojapolitiikka

Työntekijöiden tietosuojapolitiikka PIMS-järjestelmää varten: hallinnoi työntekijöiden henkilötietoja, tietosuojaselosteita, oikeuksia, työntekijöiden valvontaa, HR-toimittajia, poikkeamia ja todentavan aineiston rekistereitä.

Yleiskatsaus

Tämä työntekijöiden tietosuojapolitiikka hallinnoi työvoiman henkilötietoja keräämisen, käytön, tietosuojaselosteiden, oikeuksien, työntekijöiden valvonnan, toimittajien, säilytyksen yhteyksien, poikkeamien ja todentavan aineiston osalta. Se pitää työntekijöiden tietosuojan todentavan aineiston rekistereissä REG02, REG04, REG06, REG07, REG08, REG10 ja REG12 sen sijaan, että luotaisiin erillisiä HR-tietosuojarekistereitä.

Todentavaan aineistoon perustuva HR-tietosuoja

Kytkee työntekijöiden henkilötietojen käsittelyn rekistereihin REG02, REG04, REG06, REG07, REG08, REG10 ja REG12 luomatta päällekkäisiä HR-rekistereitä.

Työvoiman henkilötietojen kattavuus

Kattaa työntekijät, hakijat, entiset työntekijät, urakoitsijat, harjoittelijat, komennuksella olevat henkilöt ja muut työvoimaan kuuluvat henkilöt.

Valvonnan ja toimittajien kontrollit

Edellyttää dokumentoituja hyväksyntöjä työntekijöiden valvonnalle, HR-palvelujen henkilötietojen käsittelijöille, palkanlaskennalle, henkilöstötietojärjestelmälle, henkilöstöeduille ja taustaselvitystoimittajille.

Lue koko yleiskatsaus (click to expand)
Työntekijöiden tietosuojapolitiikka määrittää työntekijöiden henkilötietoja koskevat tietosuojavaatimukset henkilötietojen hallintajärjestelmässä. Sen soveltamisalaan kuuluvat työntekijöiden henkilötietojen kerääminen, käyttö, luovuttaminen, säilytyksen yhteys, tietosuojaselosteet, oikeuksien käsittely, työntekijöiden valvonta, henkilötietojen käsittelijän tuki ja todentavan aineiston hallinta. Politiikkaa sovelletaan rekisterinpitäjän ja yhteisrekisterinpitäjän toimintaympäristöissä, joissa organisaatio määrittää työntekijöiden henkilötietojen käsittelyn tarkoitukset ja keinot, sekä henkilötietojen käsittelijän ja alikäsittelijän toimintaympäristöissä, joissa organisaatio käsittelee työntekijöiden henkilötietoja dokumentoitujen ohjeiden mukaisesti. Työntekijöiden henkilötiedot määritellään laajasti tiedoiksi, jotka liittyvät työntekijöihin, työnhakijoihin, entisiin työntekijöihin, urakoitsijoihin, määräaikaiseen henkilöstöön, harjoittelijoihin, komennuksella oleviin henkilöihin ja muihin työvoimaan kuuluviin henkilöihin, kun organisaatio käsittelee heidän henkilötietojaan työvoimaa, rekrytointia, työsuhdetta, toimeksiantoa, palkitsemista, henkilöstöetuja, turvallisuutta, vaatimustenmukaisuutta, työpaikan hallinnointia tai niihin liittyviä liiketoimintatarkoituksia varten. Politiikan keskeinen osa on sen todentavan aineiston malli. Politiikka ei luo erillistä HR-tietosuojarekisteriä, työntekijöiden tietosuojarekisteriä, työntekijöiden valvontarekisteriä, HR-toimittajarekisteriä, työntekijöiden oikeuksia koskevaa rekisteriä tai työntekijöiden poikkeamarekisteriä. Sen sijaan se edellyttää, että työntekijöiden käsittelyä koskevaa todentavaa aineistoa ylläpidetään kanonisissa PIMS-rekistereissä: REG02 käsittelytoimien luetteloa ja säilytyksen yhteyttä varten, REG04 tietosuojariskejä ja DPIA-kynnyksiä varten, REG06 työntekijöiden oikeuksia koskevia pyyntöjä varten, REG07 työntekijöiden tietosuojaselosteita varten, REG08 HR-palvelujen henkilötietojen käsittelijöitä ja toimittajia varten, REG10 työntekijöiden henkilötietopoikkeamia varten sekä REG12 poikkeuksia, poikkeamia, korjaavia toimenpiteitä, seurantaa ja parantamista koskevaa näyttöä varten. Tämä rakenne tukee politiikan tarkoitusta: työntekijöiden henkilötietoja tulee käsitellä vain dokumentoituihin, hyväksyttyihin, läpinäkyviin, oikeasuhtaisiin ja osoitusvelvollisuuden mukaisiin työvoimaa koskeviin tarkoituksiin ilman päällekkäistä HR-kohtaista todentavan aineiston kerrosta. Politiikkalausekkeet määrittävät yksityiskohtaiset operatiiviset kontrollit työntekijätietojen elinkaarelle. Ennen kuin työntekijöiden henkilötietoja kerätään, tuotetaan, tuodaan, käytetään tai luovutetaan, prosessin omistajan / liiketoimintavastaavan tulee kirjata työntekijöiden käsittelytoimi REG02:een, mukaan lukien henkilötietoluokat, työntekijäjoukko, keräyslähde, käsittelyn tarkoitus, järjestelmät, sisäiset ja ulkoiset vastaanottajaluokat sekä säilytyksen yhteys. Työntekijöiden tietosuojaselosteet tulee ylläpitää REG07:ssä ennen suoraa tai välillistä keräämistä uutta tai olennaisesti muuttunutta tarkoitusta varten. Politiikka edellyttää, että työntekijöiden henkilötietoja käytetään vain REG02:een kirjattuihin hyväksyttyihin tarkoituksiin, ja se edellyttää sisäisten vastaanottajaluokkien, liiketoimintatarpeeseen perustuvien ehtojen ja toistuvien ulkoisten luovutusten dokumentointia ennen luovutuksen aloittamista. Epäilty luvaton luovutus, pääsy, menetys tai valvontatietojen väärinkäyttö on ohjattava REG10:een yhden liiketoimintapäivän kuluessa tunnistamisesta. Työntekijöiden oikeuksiin, työntekijöiden valvontaan ja HR-toimittajien hallinnointiin kiinnitetään erityistä huomiota. Työntekijöiden oikeuksia koskevat pyynnöt tulee kirjata REG06:een tai ohjata REG06:n kautta kahden liiketoimintapäivän kuluessa, ja prosessin omistajan syötteet tulee toimittaa viiden liiketoimintapäivän kuluessa osoittamisesta. Monimutkaiset pyynnöt, jotka koskevat valvontatallenteita, taustaselvitystietoja, erityisiin henkilötietoryhmiin kuuluvia henkilötietoja, kolmannen osapuolen työntekijöiden henkilötietoja, oikeudellisia rajoituksia tai automaattista päätöksentekoa, edellyttävät tietosuojavastaavan / tietosuojaneuvonantajan neuvontaa ennen kieltäytymistä, määräajan jatkamista, rajoittamista tai monimutkaista käsittelyä. Työntekijöiden valvonta tulee dokumentoida REG02:ssa ennen käyttöönottoa tai olennaista muutosta, ohjata REG04:n kautta tietosuojariskien arviointiin tai DPIA-esiarviointiin, kun kynnys täyttyy, tukea ajantasaisella REG07:n tietosuojaselostetta tai viestintää koskevalla näytöllä ja ottaa REG12:ssa otantaan vähintään vuosittain, kun se sisältyy REG02:een. HR-palvelujen henkilötietojen käsittelijät, palkanlaskenta, henkilöstötietojärjestelmä, henkilöstöedut, taustaselvitykset ja ulkoistetut HR-palveluntarjoajat tulee kirjata REG08:aan ennen kuin työntekijöiden henkilötietoja luovutetaan palveluntarjoajalle, palveluntarjoaja saa niihin pääsyn tai niitä käsitellään palveluntarjoajan kautta. Hallinnointia koskevat määräykset osoittavat toistuvat valvonta- ja soveltamisvastuut. Tietosuojavastaavan / PIMS-päällikön tulee tehdä neljännesvuosittain työntekijöiden tietosuojan todentavan aineiston katselmointi rekistereissä REG02, REG04, REG06, REG07, REG08, REG10 ja REG12, kun taas ylin johto hyväksyy olennaiset politiikkamuutokset ja korkean riskin työntekijöiden tietosuojapoikkeukset. Mittareihin kuuluvat niiden työntekijöiden käsittelytoimien prosenttiosuus, joilla on ajantasaiset REG02-tallenteet, työntekijöiden tietosuojaselosteiden ajantasaisuus, avoimet työntekijöiden tietosuojariskit ja DPIA-reitityskohteet, työntekijöiden oikeuksia koskevien pyyntöjen määräaikaisuus, HR-toimittajien katselmointien valmistuminen sekä työntekijöiden henkilötietopoikkeamien trendit, kun poikkeamia tapahtuu. Poikkeukset tulee kirjata REG12:een ennen poikkeamaa, niille tulee osoittaa enintään 90 päivän päättymispäivä ja ne tulee katselmoida ennen päättymistä. Soveltaminen edellyttää poikkeamien kirjaamista REG12:een, kun vaadittu työntekijöiden tietosuojan todentava aineisto puuttuu, estää työntekijöiden valvonnan hyväksymisen ilman vaadittua todentavaa aineistoa ja sallii työntekijöiden henkilötietojen uusien luovutusten keskeyttämisen HR-toimittajille, kun henkilötietojen käsittelijää, alikäsittelijää, ohjeita tai avustamista koskeva todentava aineisto puuttuu.

Käytäntökaavio

Prosessivuokaavio, joka näyttää työntekijöiden henkilötietojen hallinnan REG02:n käsittelytoimien luettelosta ja REG07:n tietosuojaselostetarkastuksista REG04:n riski-/DPIA-reititykseen, REG08:n HR-toimittajakontrolleihin, REG06:n oikeuksien käsittelyyn, REG10:n poikkeamien reititykseen sekä REG12:n seurantaan, poikkeuksiin ja parantamiseen.

Napsauta kaaviota nähdäksesi sen täydessä koossa

Sisältö

Työntekijöiden käsittelytoimien luettelo ja HR-tarkoitusten kontrollit

Työntekijöiden tietosuojaselosteita ja oikeuksien käsittelyä koskevat vaatimukset

Työntekijöiden valvontaa ja vaikutuksiltaan merkittävää henkilöstötietojen käsittelyä koskevat säännöt

HR-palvelujen henkilötietojen käsittelijöitä, palkanlaskentaa, henkilöstötietojärjestelmää, henkilöstöetuja ja taustaselvitystoimittajia koskeva todentava aineisto

Säilytyksen yhteys, luovutus ja poikkeamien reititys

Hallinnointia, mittareita, poikkeuksia, soveltamista ja katselmointia koskevat vaatimukset

Kehysmääräysten noudattaminen

🛡️ Tuetut standardit ja kehykset

Tämä tuote on linjassa seuraavien vaatimustenmukaisuuskehysten kanssa, yksityiskohtaisilla lauseke- ja valvontamappingeillä.

Kehys Katetut lausekkeet / Kontrollit
ISO/IEC 27701:2025
Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.1.2.2Annex A.1.2.3Annex A.1.2.6Annex A.1.2.8Annex A.1.2.9Annex A.1.2.7Annex A.2.2.2Annex A.2.2.3Annex A.2.2.6Annex A.2.2.7Annex A.1.3.2Annex A.1.3.6Annex A.1.3.7Annex A.1.3.10Annex A.1.3.11Annex A.1.4.2Annex A.1.4.3Annex A.1.4.5Annex A.1.4.8Annex A.1.4.9Annex A.1.5.4Annex A.1.5.5Annex A.2.5.4Annex A.2.5.5Annex A.2.5.6Annex A.3.14Annex A.3.25
EU GDPR
Article 5(1)(a)Article 5(1)(b)Article 5(1)(c)Article 5(1)(e)Article 5(2)Article 6Article 9Article 10Article 12Article 13Article 14Article 15Article 16Article 17Article 18Article 21Article 22Article 24Article 26Article 28Article 30Article 32Article 35Article 39
ISO/IEC 29100:2020
Clause 5.3Clause 5.4Clause 5.5Clause 5.6Clause 5.8Clause 5.9Clause 5.10Clause 5.11Clause 5.12
ISO/IEC 29151:2022
Annex A.3Annex A.4Annex A.5Annex A.7Annex A.10Clause 7.1.2Clause 7.1.3Clause 7.2.4Clause 7.3.2Clause 15.1.2Clause 15.2.2Clause 15.2.3
ISO/IEC 29134:2020
Clause 5.1Clause 6.2
ISO/IEC 27002:2022
Controls 5.34Controls 6.1Controls 6.2Controls 6.5Controls 6.6Controls 8.15Controls 8.16

Liittyvät käytännöt

Käsittelytoimien luetteloa ja oikeusperustetta koskeva politiikka

Työntekijöiden käsittelytoimet, tarkoitukset, henkilötietoluokat, lähteet, järjestelmät, vastaanottajat ja säilytyksen yhteys kirjataan REG02:een tämän liittyvän politiikan mukaisesti.

Tietosuojaseloste- ja läpinäkyvyyspolitiikka

Työntekijöiden tietosuojaselosteet ja informointitiedot ylläpidetään REG07:ssä ennen työntekijöiden henkilötietojen uutta tai olennaisesti muuttunutta keräämistä.

Rekisteröidyn oikeuksien hallintapolitiikka

Työntekijöiden oikeuksia koskevat pyynnöt ohjataan REG06:n kautta, ja ne edellyttävät tukevia syötteitä käsittelytallenteista, järjestelmistä, toimittajista ja tietosuojaneuvonantajilta.

Tietosuojariskien arviointi- ja DPIA-politiikka

Vaikutuksiltaan merkittävä henkilöstötietojen käsittely, työntekijöiden valvonta ja arkaluonteiset työvoimatiedot ohjataan REG04:n kautta tietosuojariskien arviointiin tai DPIA-käsittelyyn.

Henkilötietojen käsittelijöiden, alikäsittelijöiden ja kolmansien osapuolten tietosuojan hallintapolitiikka

HR-palvelujen henkilötietojen käsittelijöitä, palkanlaskentaa, henkilöstötietojärjestelmää, henkilöstöetuja, taustaselvityksiä ja ulkoistettuja HR-palveluja hallitaan REG08:n toimittajia koskevien todentavan aineiston vaatimusten kautta.

Poikkeamien ja tietoturvaloukkausten hallintapolitiikka

Epäilty työntekijöiden henkilötietojen luvaton pääsy, luovutus, menetys, vaarantuminen tai valvontatietojen väärinkäyttö ohjataan REG10:een poikkeamien käsittelyä varten.

Tietoa Clarysecin käytännöistä - Työntekijöiden tietosuojapolitiikka

Tietosuojan hallinnointi epäonnistuu, kun sitä käsitellään erillisinä tietosuojaselosteina, lomakkeina ja oikeudellisina lausumina. Tehokas ISO/IEC 27701:n toteutus edellyttää henkilötietojen hallintajärjestelmää, joka yhdistää henkilötietojen käsittelyn, oikeusperusteen, rekisterinpitäjän ja henkilötietojen käsittelijän roolit, tietosuojariskin, tietosuojaa koskevat vaikutustenarvioinnit (DPIA), todentavan aineiston, seurannan ja jatkuvan parantamisen. Tämä politiikkakokonaisuus on suunniteltu operatiiviseksi tietosuojan viitekehykseksi, ei yleiseksi dokumentaatiopaketiksi. Se määrittää selkeän PIMS-osoitusvelvollisuuden käytännön organisaatiorooleille, kuten ylimmälle johdolle, tietosuojavastaavalle / PIMS-päällikölle, prosessien omistajille, järjestelmäomistajille, toimittaja- / hankintavastaaville, tietoturvalle ja riippumattomille katselmoijille. Jokainen vaatimus on kirjoitettu yksilöllisesti numeroituna, todennettavissa olevana lausekkeena ja liitetty määriteltyihin todentavan aineiston objekteihin, kuten REG01, REG02, REG03, REG04, REG08, REG11 ja REG12. Rakenne tukee rekisterinpitäjän, yhteisrekisterinpitäjän, henkilötietojen käsittelijän ja alikäsittelijän toimintaympäristöjä ja auttaa organisaatioita osoittamaan henkilötietojen käsittelyn vastuullisen, riskiperusteisen ja todentavaan aineistoon perustuvan hallinnan koko PIMS-elinkaaren ajan.

Kanoninen todentavan aineiston malli

Työntekijöiden tietosuojan todentava aineisto säilytetään olemassa olevissa PIMS-rekistereissä erillisten HR-kohtaisten rekisterien sijaan.

Valvonnan suojatoimet

Työntekijöiden valvonta edellyttää dokumentoitua tarkoitusta, riskireititystä, tietosuojaselostetta koskevaa näyttöä ja vuosittaista otantaa, kun se kuuluu soveltamisalaan.

Laaja työvoimaa koskeva soveltamisala

Sovelletaan työntekijöihin, hakijoihin, urakoitsijoihin, harjoittelijoihin, komennuksella oleviin henkilöihin ja muihin työvoimaan kuuluviin henkilöihin.

Toimittajia koskevat todentavan aineiston kontrollit

HR-palvelujen henkilötietojen käsittelijät, palkanlaskenta, henkilöstötietojärjestelmä, henkilöstöedut ja taustaselvityspalveluntarjoajat tulee dokumentoida REG08:ssa.

Usein kysytyt kysymykset

Suunniteltu johtajille, johtajien toimesta

Tämän käytännön on laatinut tietoturvajohtaja, jolla on yli 25 vuoden kokemus ISMS-viitekehysten käyttöönotosta ja auditoinnista globaaleissa organisaatioissa. Se ei ole pelkkä asiakirja, vaan puolustettava viitekehys, joka kestää auditorin tarkastelun.

Laatinut asiantuntija, jolla on seuraavat pätevyydet:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Kattavuus & Aiheet

🏢 Kohdeosastot

Tietosuoja Laki Vaatimustenmukaisuus Henkilöstöhallinto Tietosuojavastaavan toimisto

🏷️ Aiheen kattavuus

Henkilötietojen hallinta Henkilötietojen käsittely Rekisteröidyn oikeuksien hallinta Tietosuojaa koskeva vaikutustenarviointi Käsittelytoimien tallenteet Kolmansien osapuolten hallinta Tietojen säilytys ja hävitys
€49

Kertaosto

Välitön lataus
Elinikäiset päivitykset

Tämä käytäntö on 1/25 täydellisessä ISO/IEC 27701 PIMS -paketissa

Säästä 52%

Hanki kaikki 25 PIMS-käytäntöä, täydellinen rekisterisarja ja yksityiskohtainen toteutussuunnitelma hintaan €799 erikseen ostettujen €1 675 sijaan.

Katso täydellinen 27701-paketti →
Employee Privacy Policy

Tuotetiedot

Tyyppi: policy
Luokka: ISO 27701 PIMS Policy Pack
Standardit: 6