policy ISO 27701 PIMS Policy Pack

Henkilötietojen keräämis-, käyttö-, luovutus- ja jakamispolitiikka

Hallitse henkilötietojen keräämistä, käyttöä, luovutusta ja jakamista REG02-/REG08-näytöllä, siirtojen reitityksellä ja valmiudella auditointia varten.

Yleiskatsaus

Tämä politiikka ohjaa sitä, miten henkilötietoja kerätään, käytetään, luovutetaan ja jaetaan PIMS:n soveltamisalassa. Se edellyttää hyväksyttyjä REG02-kirjauksia keräämistä ja käyttöä varten, REG08-näyttöä luovutuksia ja jakamista varten, REG09-reititystä siirtosijainteja varten sekä REG12-kirjauksia poikkeuksia, auditointeja ja korjaavia toimenpiteitä varten.

Hyväksytty henkilötietojen käyttö

Edellyttää dokumentoituja keräämistarkoituksia, hyväksyttyjä sisäisiä käyttösääntöjä ja välttämättömyysperusteita ennen käsittelyn aloittamista.

Luovutuksia koskeva näyttö

Kirjaa ulkoiset luovutukset ja toistuvan tietojen jakamisen REG08:aan, mukaan lukien vastaanottaja, tarkoitus, henkilötietoryhmät ja tiheys.

Siirtojen reititys

Kytkee jakamisen, johon liittyy uusia maita, etäkäyttöä tai tietojen edelleen siirtämisen sijainteja, REG09- ja PII13-reitityspäätöksiin.

Lue koko yleiskatsaus (click to expand)
Henkilötietojen keräämis-, käyttö-, luovutus- ja jakamispolitiikka määrittää operatiiviset vaatimukset sille, miten henkilötietoja kerätään, käytetään, luovutetaan ja jaetaan PIMS:n soveltamisalassa. Sen tarkoituksena on varmistaa, että henkilötietoja käsitellään vain dokumentoituihin, hyväksyttyihin, rajattuihin ja vastuun osoittaviin tarkoituksiin. Politiikkaa sovelletaan rekisterinpitäjän, yhteisrekisterinpitäjän, henkilötietojen käsittelijän ja alikäsittelijän konteksteissa, ja se kattaa keräämisen suorien, epäsuorien, automatisoitujen, manuaalisten, sisäisten, ulkoisten ja kolmannen osapuolen kanavien kautta. Se käsittelee myös liiketoimintaprosessien, järjestelmien ja sovellusten hyväksyttyä sisäistä käyttöä, toissijaista käyttöä uusiin tai olennaisesti muuttuneisiin tarkoituksiin, ulkoista luovutusta vastaanottajille ja kolmansille osapuolille sekä toistuvia tietojen jakamista koskevia järjestelyjä että kertaluonteisia luovutustilanteita. Politiikan keskeinen osa on näyttörekisterien käyttö tietosuojapäätösten yhdistämiseksi auditoitavissa oleviin kirjauksiin. REG02:ta käytetään henkilötietojen käsittelytoimien luetteloon, hyväksyttyihin tarkoituksiin, keräämissääntöihin, käyttösääntöihin ja toissijaisen käytön käyttötarkoituksen yhteensopivuustarkistuksiin. REG08:aa käytetään henkilötietojen käsittelijää, alikäsittelijää ja tietojen jakamista koskeviin kirjauksiin, mukaan lukien vastaanottajan identiteetti, vastaanottajan rooli, luovutustarkoitus, henkilötietoryhmät, jakamisen tiheys, käsittelysijainti ja toimivallan lähde. REG09:ää käytetään, kun jakamiseen liittyy uusi maa, kansainvälinen organisaatio, etäkäytön sijainti, vastaanottajan sijainti tai tietojen edelleen siirtämisen sijainti. REG12:ta käytetään poikkeuksia, poikkeamia, auditointihavaintoja, korjaavia toimenpiteitä, toteutusta estäviä ongelmia ja politiikan katselmointitallenteita varten. Politiikka asettaa selkeät kontrollipisteet ennen käsittelyn aloittamista. Prosessien omistajien tai liiketoimintavastaavien on kirjattava keräämistarkoitukset, lähteet tai kanavat, henkilötietoryhmät, rekisteröityjen ryhmät ja vähimmäistietoelementit REG02:een ennen uuden keräämisen tai olennaisen muutoksen aloittamista. Heidän on myös dokumentoitava välttämättömyysperuste jokaiselle henkilötietojen tietoelementille ennen keräämistä. Järjestelmäomistajat tai sovellusomistajat saavat toteuttaa vain hyväksyttyjä keräyskenttiä, työnkulkukenttiä, raportteja, vientitoimintoja tai luovutustulosteita, jotka vastaavat REG02- tai REG08-hyväksyntää. Henkilötietojen käsittelijän kontekstissa asiakkaan ohjeen mukaisuus on kirjattava ennen kuin asiakkaan henkilötietoja kerätään, käytetään tai luovutetaan. Toissijaista käyttöä käsitellään hallinnoituna päätöksenä eikä olemassa olevan toiminnon epämuodollisena laajennuksena. Ennen kuin henkilötietoja käytetään tarkoitukseen, jota ei ole jo hyväksytty REG02:ssa, prosessin omistajan tai liiketoimintavastaavan on kirjattava käyttötarkoituksen yhteensopivuustarkistus, joka kattaa alkuperäisen tarkoituksen, ehdotetun tarkoituksen, oikeusperusteeseen liittyvän riippuvuuden, henkilötietoryhmät, rekisteröityjen odotukset, minimoinnin perustelut, luovutuksen tai siirron vaikutuksen sekä tarvittaessa reitityksen muihin PIMS-politiikkoihin. Tietosuojavastaavan tai PIMS-päällikön on kirjattava hyväksyntä tai hylkäys ennen toissijaisen käytön aloittamista. Kun kyse on arkaluonteisesta toistuvasta jakamisesta, haavoittuvassa asemassa olevista rekisteröidyistä, vaikutuksiltaan merkittävistä tallenteista tai olennaisesti muuttuneista odotuksista, tietosuojavastaavan tai tietosuojaneuvonantajan neuvonta on kirjattava ennen hyväksyntää. Hallinnointi, mittaaminen ja soveltaminen sisältyvät politiikkaan. Tietosuojavastaava tai PIMS-päällikkö katselmoi hyväksytyn käytön säännöt vähintään vuosittain, täsmäyttää REG02:n hyväksytyt tarkoitukset REG08:n aktiivisiin jakamiskirjauksiin vähintään vuosittain ja kirjaa tulokset REG12:een. Toimittaja- tai hankintavastaavat täsmäyttävät REG08:n aktiiviset jakamiskirjaukset aktiivisiin henkilötietojen käsittelijä-, alikäsittelijä-, vastaanottaja- ja tietojen jakamissuhteisiin vähintään neljännesvuosittain. Sisäinen tarkastus tai vaatimustenmukaisuuden katselmoijat otantatarkastavat REG02-, REG08- ja REG09-näytön vuosittain ja kirjaavat tulokset REG12:een. Hyväksymätön kerääminen, käyttö, luovutus tai jakaminen on kirjattava poikkeamana viiden arkipäivän kuluessa, ja käsittely voidaan keskeyttää yhden arkipäivän kuluessa, jos hyväksytty näyttö puuttuu.

Käytäntökaavio

Prosessikaavio, jossa henkilötietojen keräämis- tai käyttöpyyntö kirjataan REG02:een, minkä jälkeen tehdään tietosuojakatselmointi, toissijaisen käytön tarkistus, REG08-luovutushyväksyntä, REG09-siirtoreititys, seuranta sekä REG12-poikkeukset tai korjaavat toimenpiteet.

Napsauta kaaviota nähdäksesi sen täydessä koossa

Sisältö

Keräämisen rajoittaminen ja REG02-hyväksyntä

Hyväksytyn sisäisen käytön kontrollit

Toissijaisen käytön käyttötarkoituksen yhteensopivuustarkistukset

Ulkoinen luovutus ja REG08:n jakamiskirjaukset

Kansainvälisen siirron reititys REG09:ään ja PII13:een

Poikkeukset, auditointi ja korjaavat toimenpiteet REG12:n kautta

Kehysmääräysten noudattaminen

🛡️ Tuetut standardit ja kehykset

Tämä tuote on linjassa seuraavien vaatimustenmukaisuuskehysten kanssa, yksityiskohtaisilla lauseke- ja valvontamappingeillä.

Kehys Katetut lausekkeet / Kontrollit
ISO/IEC 27701:2025
Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.1.2.2Annex A.1.2.9Annex A.1.2.3Annex A.1.2.8Annex A.1.4.2Annex A.1.4.3Annex A.1.4.5Annex A.1.5.2Annex A.1.5.3Annex A.1.5.4Annex A.1.5.5Annex A.2.2.2Annex A.2.2.3Annex A.2.2.7Annex A.2.5.2Annex A.2.5.3Annex A.2.5.4Annex A.2.5.5Annex A.2.5.6
EU GDPR
Article 5(1)(b)Article 5(1)(c)Article 5(2)Article 6Article 24Article 26Article 28Article 30
ISO/IEC 29100:2020
Clause 5.3Clause 5.4Clause 5.5Clause 5.6Clause 5.10Clause 5.12
ISO/IEC 29151:2022
Annex A.3Annex A.4Annex A.5Annex A.7

Liittyvät käytännöt

Henkilötietojen kansainvälisen siirron politiikka

Liittyy tähän, koska jakaminen, johon liittyy uusia siirtosijainteja, on reititettävä REG09:ään ja PII13:een ennen hyväksyntää.

PIMS-seuranta-, auditointi- ja parantamispolitiikka

Liittyy tähän, koska poikkeukset, poikkeamat, auditointitulokset, korjaavat toimenpiteet ja parantamiskirjaukset käsitellään REG12:n kautta.

Käsittelytoimien luetteloa ja oikeusperustetta koskeva politiikka

Liittyy tähän, koska REG02-käsittelykirjauksia ja oikeusperusteen päivityksiä edellytetään keräämistä, hyväksyttyä käyttöä ja toissijaista käyttöä koskevissa päätöksissä.

Tietosuojaseloste- ja läpinäkyvyyspolitiikka

Liittyy tähän, koska keräämisen ja käytön kontrollit toimivat yhdessä tietosuojaselosteen sisällön, julkaisemisen ja versionhallinnan kanssa.

Tietosuojariskien arviointi- ja DPIA-politiikka

Liittyy tähän, koska toissijainen käyttö voi edellyttää PII07-esiarviointia, kun käyttötarkoituksen yhteensopivuustarkistus tunnistaa olennaisen tietosuojariskin muutoksen.

Henkilötietojen käsittelijöiden, alikäsittelijöiden ja kolmansien osapuolten tietosuojahallinnan politiikka

Liittyy tähän, koska luovutukset ja jakaminen henkilötietojen käsittelijöiden, alikäsittelijöiden, toimittajien ja kolmansien osapuolten kanssa kirjataan ja niitä hallinnoidaan REG08:n kautta.

Tietoa Clarysecin käytännöistä - Henkilötietojen keräämis-, käyttö-, luovutus- ja jakamispolitiikka

Tämä politiikka operationalisoi osoitusvelvollisen henkilötietojen keräämisen, käytön, luovutuksen ja jakamisen rekisterinpitäjän, yhteisrekisterinpitäjän, henkilötietojen käsittelijän ja alikäsittelijän konteksteissa. Se yhdistää liiketoimintasäännöt ja hyväksynnät REG02-käsittelykirjauksiin, REG08:n luovutus- ja jakamisnäyttöön, REG09:n henkilötietojen kansainvälisen siirron reititykseen sekä REG12:n auditointi-, poikkeus- ja korjaavien toimenpiteiden kirjauksiin. Politiikka määrittää, milloin keräämissäännöt, hyväksytyn käytön säännöt, toissijaisen käytön käyttötarkoituksen yhteensopivuustarkistukset, ulkoisen luovutuksen hyväksynnät ja toistuvan jakamisen katselmoinnit on tehtävä, ja osoittaa vastuut tietosuojavastaavalle / PIMS-päällikölle, prosessin omistajalle / liiketoimintavastaavalle, järjestelmäomistajalle / sovellusomistajalle, toimittaja- / hankintavastaavalle, ylimmälle johdolle ja sisäiselle tarkastukselle / vaatimustenmukaisuuden katselmoijalle.

REG02-hyväksyntäsäännöt

Edellyttää dokumentoituja tarkoituksia, ryhmiä, vähimmäistietoelementtejä ja hyväksyttyjä sisäisiä käyttösääntöjä ennen käsittelyn aloittamista.

REG08:n jakamisnäyttö

Tallentaa luovutuksia varten vastaanottajan identiteetin, roolin, tarkoituksen, henkilötietoryhmät, jakamisen tiheyden, sijainnin ja valtuutuksen.

Toissijaisen käytön tarkistukset

Edellyttää käyttötarkoituksen yhteensopivuustarkistuksia ja hyväksyntää ennen kuin henkilötietoja käytetään tarkoitukseen, jota ei ole jo kirjattu REG02:een.

Siirtosijainnin reititys

Reitittää uudet maat, etäkäytön ja tietojen edelleen siirtämisen sijainnit REG09:ään ja PII13:een ennen jakamisen hyväksyntää.

Valvonta valmiina auditointia varten

Käyttää REG12:ta poikkeuksia, poikkeamia, auditointihavaintoja, korjaavia toimenpiteitä, katselmointeja ja seurannan tuloksia varten.

Usein kysytyt kysymykset

Suunniteltu johtajille, johtajien toimesta

Tämän käytännön on laatinut tietoturvajohtaja, jolla on yli 25 vuoden kokemus ISMS-viitekehysten käyttöönotosta ja auditoinnista globaaleissa organisaatioissa. Se ei ole pelkkä asiakirja, vaan puolustettava viitekehys, joka kestää auditorin tarkastelun.

Laatinut asiantuntija, jolla on seuraavat pätevyydet:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Kattavuus & Aiheet

🏢 Kohdeosastot

Tietosuoja Vaatimustenmukaisuus Laki Hankinta Tietosuojavastaavan toimisto

🏷️ Aiheen kattavuus

Henkilötietojen käsittely Käsittelytoimien tallenteet Kansainväliset tiedonsiirrot Rekisterinpitäjän ja henkilötietojen käsittelijän vastuut Kolmansien osapuolten hallinta Suostumus ja oikeusperuste Vaatimustenmukaisuuden hallinta
€79

Kertaosto

Välitön lataus
Elinikäiset päivitykset

Tämä käytäntö on 1/25 täydellisessä ISO/IEC 27701 PIMS -paketissa

Säästä 52%

Hanki kaikki 25 PIMS-käytäntöä, täydellinen rekisterisarja ja yksityiskohtainen toteutussuunnitelma hintaan €799 erikseen ostettujen €1 675 sijaan.

Katso täydellinen 27701-paketti →
PII Collection, Use, Disclosure and Sharing Policy

Tuotetiedot

Tyyppi: policy
Luokka: ISO 27701 PIMS Policy Pack
Standardit: 4