policy ISO 27701 PIMS Policy Pack

Henkilötietojen käsittelijöiden, alikäsittelijöiden ja kolmansien osapuolten tietosuojan hallintapolitiikka

Hallitse henkilötietojen käsittelijöihin, alikäsittelijöihin ja kolmansiin osapuoliin liittyviä suhteita REG08-näytöllä, huolellisuusarvioinneilla, sopimuksilla, seurannalla ja päättämisvaiheen kontrolleilla.

Yleiskatsaus

Tämä politiikka ohjaa henkilötietoja käsitteleviä henkilötietojen käsittelijöitä, alikäsittelijöitä ja kolmansia osapuolia. Se käyttää REG08-rekisteriä ensisijaisena todentavan aineiston rekisterinä ja määrittää vaatimukset rooliluokittelulle, huolellisuusarvioinnille, sopimuksille, asiakkaan ohjeille, alikäsittelijöiden hyväksynnöille, seurannalle, poikkeamayhteyksille, siirtotallenteille, päättämisvaiheen näytölle ja korjaaville toimenpiteille.

Kolmansien osapuolten elinkaaren hallinta

Määrittää, miten henkilötietojen käsittelijät, alikäsittelijät ja henkilötietoja käsittelevät kolmannet osapuolet tunnistetaan, hyväksytään, seurataan, muutetaan ja päätetään.

Valmius auditointia varten REG08-näytöllä

Käyttää REG08-rekisteriä ensisijaisena rekisterinä ja yhdistää suhteet käsittelyä, riskejä, siirtoja, poikkeamia ja korjaavia toimenpiteitä koskeviin tallenteisiin.

Selkeä roolikohtainen osoitusvelvollisuus

Osoittaa tehtävät tietosuojalle, hankinnalle, tietoturvalle, prosessien omistajille, järjestelmäomistajille, tietoturvapoikkeamiin reagoinnille ja ylimmälle johdolle.

Lue koko yleiskatsaus (click to expand)
Henkilötietojen käsittelijöiden, alikäsittelijöiden ja kolmansien osapuolten tietosuojan hallintapolitiikka määrittää, miten organisaatio hallinnoi ulkoisia osapuolia, jotka käsittelevät, käyttävät, vastaanottavat, säilyttävät, siirtävät, tukevat tai muutoin käsittelevät henkilötietoja henkilötietojen hallintajärjestelmän soveltamisalassa. Sitä sovelletaan, kun organisaatio toimii rekisterinpitäjänä ja käyttää henkilötietojen käsittelijöitä, yhteisrekisterinpitäjänä ja tarvitsee rooliluokittelua, henkilötietojen käsittelijänä ja käyttää alikäsittelijöitä tai alihankkijoita sekä alikäsittelijänä ja vastaanottaa asiakkaan ohjeita. Politiikka kattaa myös kolmannen osapuolen suhteet, jotka edellyttävät tietosuojaa koskevaa huolellisuusarviointia, sopimuskontrolleja, dokumentoituja ohjeita, alikäsittelijän hyväksyntää, seurantaa, varmentamista, poikkeamarajapintaa, siirtoyhteyttä, palautusta, poistamista tai päättämisvaiheen näyttöä. Politiikan keskeinen ominaisuus on REG08-rekisterin – Henkilötietojen käsittelijöiden, alikäsittelijöiden ja tietojen jakamisen rekisterin – käyttö ensisijaisena näyttöobjektina henkilötietojen käsittelijöiden, alikäsittelijöiden ja kolmansien osapuolten tietosuojan hallinnassa. Politiikka edellyttää, että tietosuojavastaava / PIMS-päällikkö määrittää REG08-rekisterin vähimmäiskentät ja luokittelee kolmannen osapuolen tietosuojasuhteet rekisterinpitäjäksi, yhteisrekisterinpitäjäksi, henkilötietojen käsittelijäksi, alikäsittelijäksi tai muuksi kolmannen osapuolen suhteeksi ennen sopimuksen hyväksyntää tai ennen henkilötietojen käsittelyn alkamista. Se edellyttää myös, että toimittaja- tai hankintaomistaja estää käyttöönoton, uusimisen tai laajentamisen, kunnes REG08 on täytetty ja linkitetty tallenteisiin, kuten REG02, REG04, REG09 tai REG10, jos kyseiset näyttöobjektit käynnistyvät. Tämä muodostaa dokumentoidun yhteyden suhteiden hallinnoinnin, käsittelytoimien luettelon, riski- ja DPIA-tallenteiden, henkilötietojen kansainvälisen siirron näytön, poikkeamatallenteiden ja korjaavien toimenpiteiden välille. Politiikka asettaa yksityiskohtaiset vaatimukset huolellisuusarvioinnille, riskien arvioinnille ja sopimuksiin liittyville kontrolleille. Tietosuojaa koskeva huolellisuusarviointi on tehtävä ennen henkilötietoja käsittelevän tai niihin pääsyn saavan henkilötietojen käsittelijän, alikäsittelijän tai kolmannen osapuolen suhteen valintaa, uusimista tai olennaista muuttamista. Tietoturvavastaavan on katselmoitava tietoturvan varmentamisnäyttö ennen hyväksyntää, ja korkean riskin henkilötietojen käsittelijäsuhteet tai olennaiset kolmannen osapuolen tietosuojaa koskevat muutokset käynnistävät tietosuojariskien arvioinnin ja DPIA-esiarvioinnin REG04:ssä. Sopimuskontrollit ja dokumentoituihin ohjeisiin liittyvät kontrollit erotetaan rekisterinpitäjä- ja henkilötietojen käsittelijäkonteksteissa. Kun organisaatio toimii rekisterinpitäjänä, sen on kirjattava kirjallinen henkilötietojen käsittelyä koskeva sopimus tai vastaava sitova sopimus ennen kuin henkilötietojen käsittelijä käsittelee henkilötietoja. Kun organisaatio toimii henkilötietojen käsittelijänä, asiakassopimusten tai dokumentoitujen asiakkaan ohjeiden on määritettävä hyväksytyn käsittelyn soveltamisala ennen asiakkaan henkilötietojen käsittelyä. Politiikka edellyttää myös sopimuskattavuutta avustamiselle, tietoturvan varmentamiselle, PII15:n mukaiselle poikkeamarajapinnalle, PII10:n mukaiselle palautukselle tai poistamiselle, PII13:n mukaiselle siirtoyhteydelle sekä auditointi- tai varmentamisyhteistyölle. Alikäsittelijöiden ja alihankkijoiden hallinnointi käsitellään erillisillä hyväksyntää, ilmoituksia, ketjutettavia velvoitteita ja seurantaa koskevilla vaatimuksilla. Toimittaja- tai hankintaomistajan on ylläpidettävä alikäsittelijöiden ja alihankkijoiden luetteloa REG08-rekisterissä, varmistettava asiakkaan valtuutus ennen käyttöönottoa, ilmoitettava asiakkaille suunnitelluista uusista tai korvaavista alikäsittelijöistä sovellettavan sopimuksen mukaisesti ja varmistettava ketjutettavat tietosuoja-, tietoturva-, avustamis-, palautus-, poistamis-, poikkeamarajapinta- ja siirtoyhteysvelvoitteet ennen kuin alikäsittelijä käsittelee henkilötietoja. Myös rekisterinpitäjäpuolen ilmoitukset alikäsittelijämuutoksista on seurattava, ja hyväksyntä-, vastustus- tai eskalointipäätökset on kirjattava REG08-rekisteriin sopimuksen mukaisen vastustamisajan kuluessa tai 10 arkipäivän kuluessa ilmoituksen vastaanottamisesta sen mukaan, kumpi on lyhyempi. Politiikka täydentää elinkaarta jatkuvalla seurannalla, avustamispyyntöjen käsittelyllä, luovutusten kirjaamisella, poikkeamayhteyksillä, siirtoyhteyksillä, päättämisvaiheen näytöllä, poikkeuksilla, noudattamisen seurannalla ja katselmoinnilla. Korkean riskin henkilötietojen käsittelijä- ja alikäsittelijäsuhteita seurataan neljännesvuosittain, kun taas muita aktiivisia henkilötietojen käsittelijä- ja alikäsittelijäsuhteita seurataan vuosittain. Rekisteröidyn oikeuksia, DPIA-arviointeja, tietoturvanäyttöä, auditointeja tai asiakkaiden varmentamista koskevat avustamispyynnöt on koordinoitava REG08:n kautta ja linkitettävä soveltuvin osin REG06-, REG04- tai REG12-rekisteriin. Toimittajiin liittyvät tietosuojapoikkeamailmoitukset ohjataan REG10-rekisteriin PII15:n mukaisesti yhden arkipäivän kuluessa, ja palautusta, poistamista, hävittämistä tai siirtymää koskeva näyttö on hankittava 30 päivän kuluessa työsuhteen tai sopimuksen päättymisestä, voimassaolon päättymisestä, asiakkaan ohjeesta tai hyväksytystä päättämistapahtumasta, ellei lyhyempi sopimusperusteinen määräaika sovellu. Poikkeukset ovat aikarajoitettuja, edellyttävät tietosuojavaikutusten arviointia ja voivat edellyttää ylimmän johdon hyväksyntää, jos ne vaikuttavat korkean riskin käsittelyyn, puuttuvaan sopimusnäyttöön, siirtoyhteyksien puutteisiin tai sertifioinnin soveltamisalaan.

Käytäntökaavio

Prosessikaavio, joka esittää henkilötietoja koskevan kolmannen osapuolen suhteen tunnistamisen REG08-rekisterissä, rooliluokittelun, huolellisuusarvioinnin ja tietoturvan varmentamisen, sopimuksen tai ohjeen hyväksynnän, alikäsittelijäkontrollit, seurannan, poikkeama- ja siirtoyhteydet, päättämisvaiheen näytön ja korjaavat toimenpiteet.

Napsauta kaaviota nähdäksesi sen täydessä koossa

Sisältö

REG08-suhdeluokittelu ja näyttövaatimukset

Tietosuojaa koskeva huolellisuusarviointi ja tietoturvan varmentaminen

Henkilötietojen käsittelijäsopimukset ja dokumentoidut asiakkaan ohjeet

Alikäsittelijän hyväksyntä, ilmoitukset ja ketjutettavat velvoitteet

Jatkuva seuranta, poikkeamayhteydet ja siirtotallenteet

Päättämisvaiheen, palautuksen, poistamisen ja korjaavien toimenpiteiden näyttö

Kehysmääräysten noudattaminen

🛡️ Tuetut standardit ja kehykset

Tämä tuote on linjassa seuraavien vaatimustenmukaisuuskehysten kanssa, yksityiskohtaisilla lauseke- ja valvontamappingeillä.

Kehys Katetut lausekkeet / Kontrollit
ISO/IEC 27701:2025
Clause 4.1Clause 6.1.2Clause 8.2Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.1.2.7Annex A.1.2.9Annex A.2.2.2Annex A.2.2.3Annex A.2.2.5Annex A.2.2.6Annex A.2.2.7Annex A.2.3.2Annex A.2.4.3Annex A.2.5.4Annex A.2.5.5Annex A.2.5.6Annex A.2.5.7Annex A.2.5.8Annex A.2.5.9
EU GDPR
Article 5(2)Article 24Article 26Article 28Article 30Article 32
ISO/IEC 29100:2020
Clause 5.10Clause 5.11Clause 5.12
ISO/IEC 29151:2022
Clause 15.1.2Clause 15.2.2Clause 15.2.3
ISO/IEC 27002:2022
Control 5.19Control 5.20Control 5.21Control 5.22Control 5.23
ISO/IEC 27018:2020
Annex A.2.1Annex A.3.1Annex A.6.1Annex A.6.2Annex A.8.1Annex A.10.1Annex A.10.3Annex A.11.11Annex A.11.12Annex A.12.1
ISO/IEC 27036-2:2022
Clause 6.1.1Clause 6.1.2Clause 7.1Clause 7.2Clause 7.3Clause 7.4Clause 7.5

Liittyvät käytännöt

Käsittelytoimien luetteloa ja oikeusperustetta koskeva politiikka

REG08-suhdetallenteet on linkitettävä soveltuvin osin REG02-käsittelytoimien luetteloon ja oikeusperustetta koskeviin tallenteisiin.

Tietosuojariskien arviointi- ja DPIA-politiikka

Korkean riskin henkilötietojen käsittelijäsuhteet ja olennaiset kolmannen osapuolen tietosuojaa koskevat muutokset käynnistävät tietosuojariskien arvioinnin ja DPIA-esiarvioinnin REG04:ssä.

Säilytys-, poistamis- ja hävityspolitiikka

Henkilötietojen käsittelijä- ja alikäsittelijäsopimuksissa sekä päättämisvaiheissa on käsiteltävä palautus, poistaminen, hävittäminen ja siirtymävaiheen näyttö PII10:n kautta.

Henkilötietojen kansainvälisiä siirtoja koskeva politiikka

Käsittelysijaintien, hosting-sijaintien ja siirtoindikaattorien REG08-rekisterissä on linkityttävä sovellettavaan REG09-siirtonäyttöön.

Tietoturva- ja pääsynhallintapolitiikka

Tietoturvan varmentaminen, pääsynhallinnan todentava aineisto, toimittajien pääsy ja poistumismenettelyn kontrollit tukevat kolmansien osapuolten henkilötietojen hallinnointia.

Poikkeamien ja tietoturvaloukkausten hallintapolitiikka

Toimittajiin liittyvät tietosuojapoikkeamailmoitukset ja avustamispyynnöt ohjataan REG10-rekisteriin PII15:n mukaisesti REG08-yhteydellä.

Tietoa Clarysecin käytännöistä - Henkilötietojen käsittelijöiden, alikäsittelijöiden ja kolmansien osapuolten tietosuojan hallintapolitiikka

Tämä politiikka perustaa operatiivisen tietosuojan hallinnoinnin henkilötietojen käsittelijöille, alikäsittelijöille, alihankintana toimiville henkilötietojen käsittelijöille, toimittajille, palveluntarjoajille, pilvipalveluntarjoajille ja muille kolmansille osapuolille, jotka käsittelevät henkilötietoja tai vaikuttavat niihin PIMS:n soveltamisalassa. Se määrittää, miten suhteet luokitellaan, arvioidaan, hyväksytään, saatetaan sopimuksen piiriin, ohjeistetaan, seurataan, muutetaan ja päätetään siten, että REG08 toimii ensisijaisena näyttöobjektina ja että vaaditut yhteydet käsittelytoimien luetteloon, riskeihin, siirtoihin, poikkeamiin, viestintään, dokumentoituun tietoon ja korjaavien toimenpiteiden tallenteisiin muodostetaan soveltuvin osin.

Määritelty suhteiden soveltamisala

Kattaa henkilötietojen käsittelijät, alikäsittelijät, alihankkijat, toimittajat, palveluntarjoajat, pilvipalveluntarjoajat ja muut henkilötietoja käsittelevät kolmannet osapuolet.

Huolellisuusarviointi ennen hyväksyntää

Edellyttää tietosuojaa koskevaa huolellisuusarviointia, tietoturvan varmentamista sekä riskien arviointia tai DPIA-esiarviointia ennen hyväksyntää, kun ne käynnistyvät.

Sopimus- ja ohjekontrollit

Dokumentoi henkilötietojen käsittelijäsopimukset, asiakkaan ohjeet, ketjutettavat velvoitteet ja hyväksytyt muutokset REG08-rekisteriin.

Seuranta ja noudattamisen varmistaminen

Määrittää katselmointitiheydet, poikkeusten käsittelyn, estosäännöt, poikkeamien käynnistimet ja korjaavien toimenpiteiden näytön.

Usein kysytyt kysymykset

Suunniteltu johtajille, johtajien toimesta

Tämän käytännön on laatinut tietoturvajohtaja, jolla on yli 25 vuoden kokemus ISMS-viitekehysten käyttöönotosta ja auditoinnista globaaleissa organisaatioissa. Se ei ole pelkkä asiakirja, vaan puolustettava viitekehys, joka kestää auditorin tarkastelun.

Laatinut asiantuntija, jolla on seuraavat pätevyydet:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Kattavuus & Aiheet

🏢 Kohdeosastot

Tietosuoja lakiasiat vaatimustenmukaisuus IT-tietoturva hankinta

🏷️ Aiheen kattavuus

Kolmansien osapuolten hallinta rekisterinpitäjän ja henkilötietojen käsittelijän vastuut henkilötietojen käsittely käsittelytoimien tallenteet henkilötietojen kansainväliset siirrot riskienhallinta vaatimustenmukaisuuden hallinta
€89

Kertaosto

Välitön lataus
Elinikäiset päivitykset

Tämä käytäntö on 1/25 täydellisessä ISO/IEC 27701 PIMS -paketissa

Säästä 52%

Hanki kaikki 25 PIMS-käytäntöä, täydellinen rekisterisarja ja yksityiskohtainen toteutussuunnitelma hintaan €799 erikseen ostettujen €1 675 sijaan.

Katso täydellinen 27701-paketti →
Processor, Subprocessor and Third-Party Privacy Management Policy

Tuotetiedot

Tyyppi: policy
Luokka: ISO 27701 PIMS Policy Pack
Standardit: 7