policy ISO 27701 PIMS Policy Pack

Henkilötietojen käsittelytoimien luetteloa ja oikeusperustetta koskeva politiikka

Ylläpidä valmiutta auditointia varten henkilötietojen käsittelytoimien luettelolla, jossa on oikeusperustetta, ROPA-tietoja, riskejä, säilytystä, siirtoja ja henkilötietojen käsittelijöiden yhteyksiä koskevat kontrollit.

Yleiskatsaus

Tämä politiikka määrittää REG02:n ajantasaiseksi henkilötietojen käsittelytoimien luetteloksi ja ROPA-tallenteeksi. Se edellyttää dokumentoituja tarkoituksia, oikeusperustetta tai asiakkaan ohjeita, henkilötietoluokkia, vastaanottajia, säilytystä, siirtoja, riskien ja DPIA:n yhteyksiä, katselmointeja, poikkeuksia ja korjaavia toimenpiteitä koskevaa näyttöä ennen henkilötietojen käsittelyä ja sen aikana.

Valmius auditointia varten ROPA-näytön avulla

Määrittää REG02:n ajantasaiseksi käsittelytoimien luetteloksi henkilötietojen käsittelytoimille, rooleille, tarkoituksille, luokille, tilalle ja katselmointia koskevalle todentavalle aineistolle.

Oikeusperuste ennen käsittelyä

Edellyttää rekisterinpitäjän oikeusperusteen validointia ja henkilötietojen käsittelijän asiakkaan ohjeita koskevia tallenteita ennen uuden tai muuttuneen käsittelyn aloittamista.

Selkeä omistajuus ja yhteydet

Osoittaa prosesseihin, järjestelmiin, tietosuojaan, toimittajiin, auditointiin ja johtoon liittyvät vastuut REG02:n, REG08:n, REG12:n ja niihin liittyvien tallenteiden välillä.

Lue koko yleiskatsaus (click to expand)
Henkilötietojen käsittelytoimien luetteloa ja oikeusperustetta koskeva politiikka määrittää, miten organisaatio ylläpitää henkilötietojen käsittelytoimien luetteloa / ROPA:a ja dokumentoi keskeiset tiedot, joita tarvitaan osoitusvelvollisen käsittelyn osoittamiseen PIMS:n soveltamisalassa. Sitä sovelletaan kaikkiin soveltamisalaan kuuluviin henkilötietojen käsittelytoimiin, mukaan lukien käsittely, jota tehdään rekisterinpitäjänä, yhteisrekisterinpitäjänä, henkilötietojen käsittelijänä tai alikäsittelijänä. Politiikka kattaa liiketoimintaprosessien, järjestelmien, sovellusten, toimittajien, henkilötietojen käsittelijöiden, alikäsittelijöiden ja tietojen jakamisen vastaanottajien toteuttaman käsittelyn, ja sitä sovelletaan uuteen, olennaisesti muuttuneeseen ja käytöstä poistettuun käsittelyyn. Käsittelytoimien luettelotietue määritellään REG02-merkinnäksi, joka kuvaa erillisen henkilötietojen käsittelytoimen, mukaan lukien sen tarkoituksen, roolin, omistajan, henkilötietoluokat, rekisteröityjen luokat, oikeusperusteen tai asiakkaan ohjeen viitteen, järjestelmät, vastaanottajat, säilytysviitteen, siirtoviitteen, tietosuojariskin tilan ja katselmointitilan. Politiikan keskeinen tavoite on tehdä REG02:sta ajantasainen näyttöobjekti henkilötietojen käsittelytoimien luettelolle ja käsittelytoimien selosteille. Politiikka edellyttää, että prosessin omistaja tai liiketoimintavastaava luo REG02-tietueen ennen minkä tahansa uuden henkilötietojen käsittelyn aloittamista ja kirjaa vaaditut kentät ennen toiminnon alkamista. Se edellyttää myös, että organisaation PIMS-rooli luokitellaan jokaiselle toiminnolle, ja se liittää järjestelmät, sovellukset, toimittajat, henkilötietojen käsittelijät, alikäsittelijät, kolmansien osapuolten tietojen jakamisen ja yhteisrekisterinpitäjäsuhteet asiaankuuluvaan REG02-tietueeseen. Tämä luo rakenteisen käsittelytallenteen, joka voidaan tarvittaessa yhdistää tietosuojaselosteisiin, suostumukseen, DPIA:han, riskeihin, toimittajiin, siirtoihin, kontrolleihin ja auditointinäyttöön. Rekisterinpitäjän toiminnoissa politiikka edellyttää, että tietty käsittelytarkoitus dokumentoidaan ennen kuin henkilötietoja kerätään, käytetään, luovutetaan tai muuten käsitellään. Tietosuojavastaavan / PIMS-päällikön on validoitava REG02:een kirjattu oikeusperuste ennen rekisterinpitäjän käsittelyn aloittamista ja ennen kuin mikään käyttötarkoituksen muutos tulee voimaan. Politiikka käsittelee myös erityistilanteita: suostumuksen on linkityttävä REG05:een, oikeutettujen etujen on viitattava REG04:ään, erityisiin henkilötietoluokkiin kuuluvat henkilötiedot edellyttävät kirjattua edellytystä, ja rikostuomioita tai rikkomuksia koskevat tiedot edellyttävät valtuutusperustetta. Henkilötietojen käsittelijän ja alikäsittelijän konteksteissa politiikka edellyttää, että asiakkaan ohjeen viitteet, asiakkaan tarkoitus, kohde, kesto, henkilötietoluokat ja rekisteröityjen luokat kirjataan ennen käsittelyn aloittamista, ja sopimus- ja ohjenäyttöä ylläpidetään REG08:ssa. Politiikka määrittää myös, miten luettelo pidetään ajantasaisena. Olennaisia käsittelymuutoksia ovat muutokset tarkoitukseen, oikeusperusteeseen, PIMS-rooliin, henkilötietoluokkaan, rekisteröityjen luokkaan, vastaanottajaan, järjestelmään, toimittajaan, alikäsittelijään, käsittelypaikkaan, siirtoon, säilytyssääntöön, tietoturvaluokitukseen, tietosuojaselosteeseen, suostumusriippuvuuteen, DPIA-tilaan, asiakkaan ohjeeseen tai sertifioinnin soveltamisalaan. REG02 on päivitettävä 10 työpäivän kuluessa tällaisen muutoksen tunnistamisesta, ja tietosuojariskien arviointi ja DPIA-esiarviointi on käynnistettävä REG04:ssä ennen uuden tai olennaisesti muuttuneen käsittelyn jatkamista. Tietosuojavastaava / PIMS-päällikkö täsmäyttää REG02:n REG01:tä, REG03:a, REG04:ää, REG08:aa ja REG09:ää vasten neljännesvuosittain, kun taas sisäinen tarkastus / vaatimustenmukaisuuden katselmoijat otantatarkastavat täydellisyyden, oikeellisuuden ja ajantasaisuuden suunniteltujen katselmointien aikana. Hallinnointi, mittaaminen, poikkeukset ja soveltaminen sisältyvät politiikkaan. Tietosuojavastaava / PIMS-päällikkö toimittaa neljännesvuosittaiset luettelon tilaa koskevat yhteenvedot REG12:ssa, kirjaa luettelon mittarit, validoi uudet REG02-tietueet ja ylläpitää vähimmäiskenttiä ja katselmointitiheyttä koskevia sääntöjä. Ylin johto katselmoi täydellisyyden, viivästyneet katselmoinnit, merkittävät oikeusperusteisiin liittyvät ongelmat ja ratkaisemattomat poikkeamat johdon katselmoinnin aikana. Poikkeukset on pyydettävä ja arvioitava REG12:ssa, ja niiden voimassaolon päättymispäivä saa olla enintään 90 päivän päässä. Tietyt poikkeukset edellyttävät tietosuojavastaavan / tietosuojaneuvonantajan neuvoa ja ylimmän johdon hyväksyntää. Soveltaminen sisältää poikkeamien kirjaamisen, uuden käsittelyn keskeyttämisen, kun näyttö puuttuu, järjestelmän tuotantokäyttöönoton tai toimittajien käyttöönoton estämisen, kun vaadittu yhteys puuttuu, sekä korjaavien toimenpiteiden vaikuttavuuden varmentamisen.

Käytäntökaavio

Prosessikaavio, jossa esitetään REG02:n henkilötietojen käsittelytietueen luominen ennen käsittelyä, oikeusperusteen tai asiakkaan ohjeen validointi, yhteydet järjestelmiin, toimittajiin, tietosuojaselosteisiin, suostumukseen, säilytykseen, siirtoihin ja DPIA-esiarviointiin, neljännesvuosittainen täsmäytys ja auditointikatselmointi sekä poikkeusten tai poikkeamien käsittely REG12:ssa.

Napsauta kaaviota nähdäksesi sen täydessä koossa

Sisältö

REG02:n käsittelytoimien luettelon ja ROPA:n vaatimukset

Rekisterinpitäjän tarkoitusta ja oikeusperustetta koskevat tallenteet

Henkilötietojen käsittelijän, alikäsittelijän ja yhteisrekisterinpitäjän tallenteet

Henkilötietoluokat, vastaanottajat, säilytys ja siirrot

Luettelon muutosten, katselmoinnin ja DPIA-esiarvioinnin yhteydet

Poikkeukset, soveltaminen ja korjaavia toimenpiteitä koskeva näyttö

Kehysmääräysten noudattaminen

🛡️ Tuetut standardit ja kehykset

Tämä tuote on linjassa seuraavien vaatimustenmukaisuuskehysten kanssa, yksityiskohtaisilla lauseke- ja valvontamappingeillä.

Kehys Katetut lausekkeet / Kontrollit
ISO/IEC 27701:2025
Clause 4.1Clause 6.1.2Clause 6.1.3Clause 7.5Clause 8.1Clause 8.2Clause 9.1Clause 10.2Annex A.1.2.2Annex A.1.2.3Annex A.1.2.6Annex A.1.2.8Annex A.1.2.9Annex A.2.2.2Annex A.2.2.3Annex A.2.2.7
EU GDPR
Article 5(1)(a)Article 5(1)(b)Article 5(1)(c)Article 5(1)(e)Article 5(2)Article 6Article 9Article 10Article 24Article 26Article 28Article 30Article 35
ISO/IEC 29100:2020
Clause 5.3Clause 5.4Clause 5.5Clause 5.6Clause 5.10
ISO/IEC 29151:2022
Annex A.3Annex A.4Annex A.5Annex A.7
ISO/IEC 29134:2020
Clause 5.1Clause 6.2

Liittyvät käytännöt

Tietosuojaseloste- ja läpinäkyvyyspolitiikka

REG02:n on linkityttävä tietosuojaselostetta koskevaan näyttöön ennen kuin rekisterinpitäjän käsittely viestitään ulkoisesti tai käynnistetään.

Suostumuksen ja valinta-asetusten hallintapolitiikka

Rekisterinpitäjän käsittelyn, joka perustuu suostumukseen, REG02 on linkitettävä REG05:een ennen käsittelyn aloittamista.

Tietosuojariskien arviointi- ja DPIA-politiikka

Uuden tai olennaisesti muuttuneen käsittelyn on käynnistettävä tietosuojariskien arviointi ja DPIA-esiarviointi REG04:ssä.

Säilytys-, poisto- ja hävityspolitiikka

Jokaiselle käsittelytoimelle on kirjattava säilytyssääntö tai säilytysviite REG02:ssa.

Henkilötietojen käsittelijöiden, alikäsittelijöiden ja kolmansien osapuolten tietosuojanhallintapolitiikka

Henkilötietojen käsittelijän, alikäsittelijän, kolmannen osapuolen tietojen jakamisen ja yhteisrekisterinpitäjän suhteiden osalta REG02 on linkitettävä REG08:aan.

Kansainvälisiä siirtoja koskeva politiikka

REG02:n on linkityttävä REG09:ään ennen minkään henkilötietojen kansainvälisen siirron aloittamista.

Tietoa Clarysecin käytännöistä - Henkilötietojen käsittelytoimien luetteloa ja oikeusperustetta koskeva politiikka

Tämä politiikka operationalisoi henkilötietojen käsittelytoimien luetteloa ja oikeusperustetta koskevat vaatimukset henkilötietojen hallintajärjestelmässä. Se määrittää REG02:n ajantasaiseksi luetteloksi ja ROPA-näyttöobjektiksi erillisille henkilötietojen käsittelytoimille ja edellyttää, että jokaisessa tietueessa dokumentoidaan tarkoitus, PIMS-rooli, omistaja, henkilötietoluokat, rekisteröityjen luokat, oikeusperusteen tai asiakkaan ohjeen viite, järjestelmät, vastaanottajat, säilytysviite, siirtoviite, tietosuojariskin tila ja katselmointitila. Se tukee rekisterinpitäjän, yhteisrekisterinpitäjän, henkilötietojen käsittelijän ja alikäsittelijän konteksteja linkittämällä REG02:n tukeviin näyttöobjekteihin, kuten REG04:ään tietosuojariskien arviointia ja DPIA-esiarviointia varten, REG05:een suostumusta varten, REG07:ään tietosuojaselosteita varten, REG08:aan toimittaja- ja käsittelijäsuhteita varten, REG09:ään kansainvälisiä siirtoja varten ja REG12:een hyväksyntöjä, katselmointeja, poikkeuksia, mittareita ja poikkeamia varten.

Ajantasainen luettelo

Määrittää REG02:n yhdeksi luetteloksi ja ROPA-näyttöobjektiksi soveltamisalaan kuuluville henkilötietojen käsittelytoimille.

Käsittelyä edeltävät kontrollit

Edellyttää tarkoitusta, oikeusperustetta, asiakkaan ohjetta, roolia ja keskeisiä luettelokenttiä ennen käsittelyn aloittamista.

Muutosten ja riskien yhteydet

Yhdistää olennaiset käsittelymuutokset REG04:n tietosuojariskien arviointiin ja DPIA-esiarviointiin ennen käsittelyn jatkamista.

Roolipohjainen osoitusvelvollisuus

Osoittaa vastuut tietosuojan, liiketoiminnan, järjestelmien, toimittajien, auditoinnin ja ylimmän johdon rooleille.

Usein kysytyt kysymykset

Suunniteltu johtajille, johtajien toimesta

Tämän käytännön on laatinut tietoturvajohtaja, jolla on yli 25 vuoden kokemus ISMS-viitekehysten käyttöönotosta ja auditoinnista globaaleissa organisaatioissa. Se ei ole pelkkä asiakirja, vaan puolustettava viitekehys, joka kestää auditorin tarkastelun.

Laatinut asiantuntija, jolla on seuraavat pätevyydet:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Kattavuus & Aiheet

🏢 Kohdeosastot

tietosuoja lakiasiat vaatimustenmukaisuus IT-turvallisuus auditointi

🏷️ Aiheen kattavuus

henkilötietojen hallintajärjestelmä henkilötietojen käsittely käsittelytoimien selosteet suostumus ja oikeusperuste tietosuojaa koskeva vaikutustenarviointi henkilötietojen kansainväliset siirrot rekisterinpitäjän ja henkilötietojen käsittelijän vastuut
€49

Kertaosto

Välitön lataus
Elinikäiset päivitykset

Tämä käytäntö on 1/25 täydellisessä ISO/IEC 27701 PIMS -paketissa

Säästä 52%

Hanki kaikki 25 PIMS-käytäntöä, täydellinen rekisterisarja ja yksityiskohtainen toteutussuunnitelma hintaan €799 erikseen ostettujen €1 675 sijaan.

Katso täydellinen 27701-paketti →
PII Processing Inventory and Lawful Basis Policy

Tuotetiedot

Tyyppi: policy
Luokka: ISO 27701 PIMS Policy Pack
Standardit: 5