policy ISO 27701 PIMS Policy Pack

Tietosuojaseloste- ja läpinäkyvyyspolitiikka

ISO 27701 -standardin mukainen tietosuojaselostepolitiikka selkeää, ajantasaista, hyväksyttyä ja todennettua läpinäkyvyyttä varten rekisterinpitäjän ja henkilötietojen käsittelijän henkilötietojen käsittelyssä.

Yleiskatsaus

Tämä politiikka määrittää, miten tietosuojaselosteet laaditaan, hyväksytään, julkaistaan, katselmoidaan, päivitetään ja todennetaan PIMS:ssä. Se keskittää tietosuojaselosteiden hallinnoinnin REG07:ään, kytkee tietosuojaselosteiden sisällön REG02:n käsittelytallenteisiin ja REG06:n rekisteröidyn oikeuksia koskevien pyyntöjen kanaviin sekä edellyttää dokumentoitua katselmointia, julkaisun todentavaa aineistoa, poikkeuksia, mittareita ja korjaavia toimenpiteitä REG12:ssa.

REG07-tietosuojaselosteiden hallinta

Määrittää REG07:n ajantasaiseksi rekisteriksi tietosuojaselosteiden luettelolle, hyväksynnälle, julkaisemiselle, katselmoinnille, kieliversioille ja versioita koskevalle todentavalle aineistolle.

REG02-käyttötarkoituskytkentä

Edellyttää, että jokainen aktiivinen tietosuojaseloste kytketään ajantasaisiin käsittelytarkoituksiin, oikeusperusteviittauksiin, ryhmiin, säilytykseen ja siirtoihin.

Hyväksytty ennen keräämistä

Estää rekisterinpitäjän keruukanavan käyttöönoton tai käytön, kun vaadittu hyväksytty tietosuojaselostetta koskeva todentava aineisto puuttuu ennen tuotantokäyttöönottoa.

Tuki rekisterinpitäjälle ja henkilötietojen käsittelijälle

Määrittää läpinäkyvyysvelvoitteet rekisterinpitäjän, yhteisrekisterinpitäjän, henkilötietojen käsittelijän ja alikäsittelijän tietosuojaselostetta tukevissa tilanteissa PIMS:n soveltamisalalla.

Lue koko yleiskatsaus (click to expand)
Tietosuojaseloste- ja läpinäkyvyyspolitiikka määrittää organisaation vaatimukset tietosuojaselosteiden ja informointitietojen laatimiselle, hyväksymiselle, julkaisemiselle, ylläpidolle, katselmoinnille ja todentamiselle henkilötietojen käsittelyssä PIMS:n soveltamisalalla. Sen ilmoitettu tarkoitus on varmistaa, että rekisteröidyt saavat ”selkeät, ajantasaiset, saavutettavat ja auditoitavissa olevat tietosuojaselosteet ennen vaadittua kohtaa henkilötietojen käsittelyn elinkaarella tai kyseisessä kohdassa”. Politiikkaa sovelletaan rekisterinpitäjän käsittelyyn, yhteisrekisterinpitäjän informointitietoihin sekä henkilötietojen käsittelijän tai alikäsittelijän tukeen rekisterinpitäjän tietosuojaselostevelvoitteissa, kun organisaatio toimii dokumentoitujen asiakkaan ohjeiden tai henkilötietojen käsittelijän ohjeiden mukaisesti. Politiikan omistaa tietosuojavastaava / PIMS-päällikkö, sen hyväksyy ylin johto, ja se käyttää REG02-, REG06-, REG07-, REG11- ja REG12-kokonaisuuksia näyttöobjekteina. Politiikan keskeinen ominaisuus on tietosuojaselosteiden sisällön hallinta REG07:n kautta. Politiikka määrittää REG07:n auktoritatiiviseksi näyttöobjektiksi tietosuojaselosteiden luetteloa, hyväksyntää, julkaisemista, katselmointia, kieliversioita ja versionhallinnan tallenteita varten. Rekisterinpitäjän käsittelyssä prosessien omistajien / liiketoimintavastaavien tulee luoda REG07-tietosuojaselostetallenne, joka on kytketty asiaankuuluvaan REG02:n käsittelytoimeen, ennen minkä tahansa uuden henkilötietojen keruukanavan, palvelun, lomakkeen, kampanjan, tuotteen tai ominaisuuden käyttöönottoa. Kun henkilötiedot saadaan muusta lähteestä kuin rekisteröidyltä, tallenne tulee luoda ennen ensimmäistä yhteydenottoa, ennen ensimmäistä luovutusta kolmannelle osapuolelle tai 20 työpäivän kuluessa henkilötietojen saamisesta, sen mukaan, mikä näistä tapahtuu ensin. Politiikka edellyttää myös, että tietosuojaselosteet kytketään ajantasaisiin REG02:n käsittelytarkoituksiin, oikeusperusteviittauksiin, henkilötietoryhmiin, rekisteröityjen ryhmiin, lähderyhmiin, vastaanottajaryhmiin, säilytysviittauksiin ja siirtoviittauksiin. Politiikka määrittää rakenteisen hyväksynnän ja julkaisemisen elinkaaren. Prosessien omistajat / liiketoimintavastaavat varmentavat tietosuojaselosteen sisällön paikkansapitävyyden ja täydellisyyden sekä toimittavat REG07-tallenteen tietosuojavastaavan / PIMS-päällikön hyväksyttäväksi ennen julkaisemista tai keruukanavan aktivointia. Tietosuojavastaava / PIMS-päällikkö varmistaa yhdenmukaisuuden REG02:n kanssa ja hyväksyy tai hylkää tietosuojaselosteen. Järjestelmäomistajat / sovellusomistajat voivat julkaista vain hyväksytyn REG07-tietosuojaselosteversion ennen digitaalisten keruukanavien käyttöönottoa, kun taas prosessien omistajien / liiketoimintavastaavien tulee asettaa hyväksytyt tietosuojaselosteet saataville muissa kuin digitaalisissa kanavissa ennen henkilötietojen keräämistä. Julkaisun todentava aineisto, mukaan lukien sijainti ja aikaleima tai vastaava näyttö, tulee kirjata REG07:ään kahden työpäivän kuluessa julkaisemisesta. Jos vaadittu hyväksytty tietosuojaselostetta koskeva todentava aineisto puuttuu, uutta rekisterinpitäjän keruukanavaa ei saa ottaa tuotantokäyttöön. Läpinäkyvyyden laatua käsitellään kieltä, saavutettavuutta, versioita ja muutostenhallintaa koskevilla kontrolleilla. Politiikka edellyttää kohteena olevien rekisteröityjen yleisöjen ja vaadittujen kieliversioiden tunnistamista ennen hyväksyntää. Se edellyttää selkeäkielisyyttä ja yleisölle soveltuvuutta koskevaa todentavaa aineistoa REG07:ssä, käännettyjä tai lokalisoituja versioita ennen julkaisemista sekä versiovastaavuutta pääversion ja lokalisoitujen tietosuojaselosteiden välillä 10 työpäivän kuluessa olennaisesta päivityksestä. Vanhentuneet tietosuojaselosteversiot tulee poistaa, uudelleenohjata tai merkitä viiden työpäivän kuluessa korvaavan version julkaisemisesta, ja korvatut versiot, voimaantulopäivät, hyväksyntää koskeva todentava aineisto ja julkaisun todentava aineisto tulee säilyttää REG07:ssä. Olennaiset muutokset rekisterinpitäjän identiteettiin, yhteyspisteeseen, käsittelytarkoitukseen, oikeusperusteeseen, henkilötietoryhmiin, vastaanottajaryhmiin, säilytysviittauksiin, siirtoviittauksiin, rekisteröidyn oikeuksia koskevien pyyntöjen kanaviin, valitus- tai tietosuojayhteydenottokanaviin, kielikattavuuteen, julkaisukanaviin tai käsittelykontekstiin käynnistävät tietosuojaselosteiden päivityskontrollit. Politiikka sisältää myös hallinnointia, mittaamista, poikkeuksia, soveltamista ja ylläpitoa koskevat vaatimukset. Aktiiviset REG07-tietosuojaselosteet katselmoidaan vähintään vuosittain ja 30 päivän kuluessa olennaisista lakisääteisistä, sääntelyyn liittyvistä, sopimusperusteisista tai käsittelyä koskevista muutoksista. REG07-tietosuojaselostetallenteet täsmäytetään REG02:n käsittelytarkoituksiin neljännesvuosittain, ja ratkaisemattomat ristiriidat kirjataan REG12:een. Mittareihin sisältyvät niiden aktiivisten tietosuojaselosteiden prosenttiosuus, jotka on kytketty ajantasaisiin REG02:n tarkoituksiin, määräpäivään mennessä katselmoidut tietosuojaselosteet, myöhässä olevat päivitykset, ratkaisemattomat ristiriidat, estetyt tai viivästyneet keruukanavat, ajallaan valmistuneet asiakkaan tietosuojaselosteita tukevat pyynnöt sekä tietosuojaselosteet, joilla on ajantasaiset kieli-, versio-, hyväksyntä- ja julkaisutodisteet. Poikkeukset tulee kirjata REG12:een ennen poikkeamien syntymistä, ja määritettyihin tietosuojaselosteisiin liittyviin poikkeuksiin vaaditaan tietosuojaneuvonta ja ylimmän johdon hyväksyntä. Puuttuva, virheellinen, julkaisematon, hyväksymätön tai vanhentunut tietosuojaselostetta koskeva todentava aineisto kirjataan poikkeamana, ja olennaisesti virheelliset tai harhaanjohtavat tietosuojaselosteet eskaloidaan tietosuojavastaavalle / tietosuojaneuvonantajalle ja ylimmälle johdolle kahden työpäivän kuluessa vahvistamisesta.

Käytäntökaavio

Prosessivirtauskaavio, joka esittää tietosuojaselosteiden hallinnoinnin: luo REG07-tietosuojaselostetallenne, kytke se REG02:n käsittelytarkoituksiin ja REG06:n yhteystietoihin, katselmoi sisältö ja tietosuojan kannalta merkittävä neuvonta, hyväksytä tietosuojavastaavalla, julkaise hyväksytty tietosuojaseloste, kirjaa julkaisun ja version todentava aineisto, seuraa muutoksia, täsmäytä neljännesvuosittain ja kirjaa poikkeukset tai korjaavat toimenpiteet REG12:een.

Napsauta kaaviota nähdäksesi sen täydessä koossa

Sisältö

REG07:n tietosuojaselosteluetteloa ja versionhallintaa koskevat vaatimukset

REG02:n käsittelytarkoitusten ja oikeusperusteiden kytkentä

Hyväksyntää, julkaisemista, kieltä, saavutettavuutta ja korvattuja tietosuojaselosteita koskeva todentava aineisto

Olennaisten tietosuojaselostemuutosten käynnistimet, vuosittainen katselmointi ja neljännesvuosittainen täsmäytys

Henkilötietojen käsittelijän ja alikäsittelijän tuki rekisterinpitäjän tietosuojaselostevelvoitteille

Poikkeukset, poikkeamat, korjaavat toimenpiteet, mittarit ja auditoinnin otanta

Kehysmääräysten noudattaminen

🛡️ Tuetut standardit ja kehykset

Tämä tuote on linjassa seuraavien vaatimustenmukaisuuskehysten kanssa, yksityiskohtaisilla lauseke- ja valvontamappingeillä.

Kehys Katetut lausekkeet / Kontrollit
ISO/IEC 27701:2025
Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.1.2.2Annex A.1.2.3Annex A.1.2.9Annex A.1.3.2Annex A.1.3.3Annex A.1.3.4Annex A.1.2.8Annex A.2.2.2Annex A.2.2.6Annex A.2.3.2
EU GDPR
Article 5(1)(a)Article 5(2)Article 12Article 13Article 14Article 24Article 26Article 28Article 30
ISO/IEC 29100:2020
Clause 5.3Clause 5.8Clause 5.10
ISO/IEC 29151:2022
Annex A.9.1Annex A.9.2
ISO/IEC 29184:2020
Clause 5.1Clause 5.2Clause 5.3

Liittyvät käytännöt

Käsittelytoimien luetteloa ja oikeusperustetta koskeva politiikka

Tietosuojaselosteet tulee kytkeä REG02:n käsittelytarkoituksiin, oikeusperusteviittauksiin, ryhmiin, säilytykseen ja siirtoviittauksiin.

Rekisteröidyn oikeuksien hallintapolitiikka

Tietosuojaselosteen sisällössä tulee viitata ajantasaiseen REG06:n rekisteröidyn oikeuksia koskevien pyyntöjen vastaanottokanavaan ja tietosuojayhteydenottoreitteihin.

Keräämistä, käyttöä, luovutusta ja jakamista koskeva politiikka

Tietosuojaselostepolitiikka ohjaa läpinäkyvyyttä ennen keräämistä, käyttöä, luovutusta ja uuden rekisterinpitäjän keruukanavan aktivointia.

Henkilötietojen käsittelijän, alikäsittelijän ja kolmannen osapuolen tietosuojahallinnan politiikka

Henkilötietojen käsittelijän ja alikäsittelijän tietosuojaselostetta tukevat velvoitteet käsitellään ilman, että tämän liittyvän politiikan omistamia henkilötietojen käsittelijän hallinnointikontrolleja toistetaan.

PIMS:n dokumentoidun tiedon ja todentavan aineiston hallintapolitiikka

REG07-, REG11- ja REG12-todentavan aineiston vaatimukset riippuvat dokumentoidun tiedon ja todentavan aineiston hallinnan kontrolleista.

PIMS:n seuranta-, auditointi- ja parantamispolitiikka

Tietosuojaselosteiden mittarit, neljännesvuosittainen täsmäytys, auditoinnin otanta, poikkeamat, korjaavat toimenpiteet ja parantamista koskeva todentava aineisto kirjataan REG12:een.

Tietoa Clarysecin käytännöistä - Tietosuojaseloste- ja läpinäkyvyyspolitiikka

Tietosuojaseloste- ja läpinäkyvyyspolitiikka operationalisoi läpinäkyvyysvaatimukset PIMS:ssä määrittämällä, miten hyväksyttyjä ulkoisia tietosuojaselosteita ja niihin liittyviä informointitietoja hallitaan niiden elinkaaren aikana. Sitä sovelletaan rekisterinpitäjän tietosuojaselosteisiin, yhteisrekisterinpitäjän läpinäkyvyysyhteenvetoihin sekä henkilötietojen käsittelijän tai alikäsittelijän tukeen rekisterinpitäjän tietosuojaselostevelvoitteissa. Politiikka edellyttää, että REG07-tietosuojaselostetallenteet kytketään REG02:n käsittelytarkoituksiin, oikeusperusteviittauksiin, henkilötietoryhmiin, rekisteröityjen ryhmiin, lähderyhmiin, vastaanottajaryhmiin, säilytysviittauksiin ja siirtoviittauksiin. Se kytkee myös rekisteröidyn oikeuksia koskevien pyyntöjen ja tietosuojayhteydenottojen viittaukset REG06:een ja käyttää REG12:ta seurantaan, poikkeuksiin, poikkeamiin, korjaaviin toimenpiteisiin ja parantamista koskevaan todentavaan aineistoon. Politiikka osoittaa vastuut ylimmälle johdolle, tietosuojavastaavalle / PIMS-päällikölle, prosessien omistajille / liiketoimintavastaaville, järjestelmäomistajille / sovellusomistajille, tietosuojavastaavalle / tietosuojaneuvonantajalle, toimittaja- / hankintavastaaville sekä sisäisen tarkastuksen / vaatimustenmukaisuuden katselmoijille.

Tietosuojaselosteiden elinkaaren hallinnointi

Kattaa laatimisen, hyväksynnän, julkaisemisen, katselmoinnin, versionhallinnan, kielitallenteet ja korvattuja tietosuojaselosteita koskevan todentavan aineiston.

Todentavaan aineistoon perustuva läpinäkyvyys

Edellyttää, että tietosuojaselosteiden sisältö ja julkaisun todentava aineisto ylläpidetään REG07:ssä ja niitä seurataan REG12:n kautta.

Käyttötarkoitusten ja oikeuksien kytkentä

Yhdistää tietosuojaselosteet REG02:n käsittelytallenteisiin sekä REG06:n rekisteröidyn oikeuksia koskevien pyyntöjen ja tietosuojayhteydenottojen kanaviin.

Roolikohtainen osoitusvelvollisuus

Osoittaa määritellyt tietosuojaselosteisiin liittyvät tehtävät tietosuojan, liiketoiminnan, järjestelmien, hankinnan, auditoinnin, neuvonnan ja johdon rooleille.

Usein kysytyt kysymykset

Suunniteltu johtajille, johtajien toimesta

Tämän käytännön on laatinut tietoturvajohtaja, jolla on yli 25 vuoden kokemus ISMS-viitekehysten käyttöönotosta ja auditoinnista globaaleissa organisaatioissa. Se ei ole pelkkä asiakirja, vaan puolustettava viitekehys, joka kestää auditorin tarkastelun.

Laatinut asiantuntija, jolla on seuraavat pätevyydet:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Kattavuus & Aiheet

🏢 Kohdeosastot

tietosuoja lakiasiat vaatimustenmukaisuus IT-tietoturva tietosuojavastaavan toimisto

🏷️ Aiheen kattavuus

henkilötietojen hallinta henkilötietojen käsittely rekisteröidyn oikeuksien hallinta käsittelytoimien tallenteet suostumus ja oikeusperuste rekisterinpitäjän ja henkilötietojen käsittelijän vastuut vaatimustenmukaisuuden hallinta
€69

Kertaosto

Välitön lataus
Elinikäiset päivitykset

Tämä käytäntö on 1/25 täydellisessä ISO/IEC 27701 PIMS -paketissa

Säästä 52%

Hanki kaikki 25 PIMS-käytäntöä, täydellinen rekisterisarja ja yksityiskohtainen toteutussuunnitelma hintaan €799 erikseen ostettujen €1 675 sijaan.

Katso täydellinen 27701-paketti →
Privacy Notice and Transparency Policy

Tuotetiedot

Tyyppi: policy
Luokka: ISO 27701 PIMS Policy Pack
Standardit: 5