policy ISO 27701 PIMS Policy Pack

Politika izvršitelja obrade osobnih podataka (PII) u oblaku

Politika izvršitelja obrade osobnih podataka (PII) u oblaku usklađena s ISO 27701, koja obuhvaća upute klijenta, podizvršitelje obrade, pristup, prijenose, brisanje, podršku pri povredama i dokaze.

Pregled

Politika izvršitelja obrade osobnih podataka (PII) u oblaku definira kako se obrada osobnih podataka (PII) u oblaku mora kontrolirati kada organizacija djeluje kao izvršitelj obrade ili podizvršitelj obrade. Obuhvaća upute klijenta, podijeljenu odgovornost, izolaciju zakupaca, podizvršitelje obrade, prijenose, brisanje, podršku pri povredama, revizije i dokaze kroz REG02, REG03, REG08, REG09, REG10 i REG12.

Kontrola izvršitelja obrade u oblaku

Definira obvezne zahtjeve privatnosti za SaaS, PaaS, IaaS, hostiranu i upravljanu obradu u oblaku, pohranu, analitiku i infrastrukturnu obradu osobnih podataka (PII).

Obrada vođena uputama

Zahtijeva da se upute klijenta ili uzvodnog izvršitelja obrade evidentiraju, pregledaju i poštuju prije početka obrade osobnih podataka (PII) u oblaku.

Upravljanje podizvršiteljima obrade

Obuhvaća odobravanje podizvršitelja obrade u oblaku, prenesene obveze, lokacije, obavijesti o promjenama, praćenje i dokaze o izlaznom postupku.

Spremni dokazi o izlaznom postupku

Zahtijeva dokaze o povratu, prijenosu, brisanju, zbrinjavanju i izlaznom postupku podizvršitelja obrade za aktivne sustave, sigurnosne kopije, zapise dnevnika i kopije za podršku.

Pročitaj cijeli pregled (click to expand)
Politika izvršitelja obrade osobnih podataka (PII) u oblaku definira obvezne zahtjeve privatnosti za usluge u oblaku u kojima organizacija djeluje kao izvršitelj obrade osobnih podataka (PII) ili podizvršitelj obrade. Njezin opseg uključuje SaaS, PaaS, IaaS, hostirane aplikacije, upravljani oblak, podršku u oblaku, pohranu u oblaku, analitiku u oblaku i infrastrukturne usluge u oblaku koje obrađuju osobne podatke (PII) u ime klijenata. Politika je oblikovana tako da obradu u oblaku održava usklađenom s dokumentiranim ugovorima s klijentima, uputama klijenta, uputama uzvodnog izvršitelja obrade, aranžmanima podizvršitelja obrade, konfiguracijom regije u oblaku, pristupom podrške u oblaku, administracijom usluge, sigurnosnim kopiranjem, replikacijom, zapisivanjem događaja, praćenjem, brisanjem, povratom, podrškom pri povredi, revizijskom podrškom i obvezama pomoći klijentu. Središnja svrha politike jest kontrola vođena dokazima. Prije uvođenja klijenta ili značajne promjene usluge, voditelj privatnosti / voditelj PIMS-a mora evidentirati svaku uslugu obrade osobnih podataka (PII) u oblaku, ulogu obrade, izvor upute klijenta, kategorije osobnih podataka (PII), kategorije ispitanika, svrhu usluge, lokaciju obrade, ovisnost o podizvršitelju obrade, ovisnost o brisanju i oznaku prijenosa u REG02 i REG08. Politika također zahtijeva da se primjenjivost kontrola izvršitelja obrade u oblaku evidentira u REG03, da se usmjeravanje prijenosa i lokacija po potrebi obuhvati u REG09, da se incidenti u vezi s osobnim podacima (PII) u oblaku obrađuju kroz REG10 te da se praćenje, iznimke, sporovi, rezultati provjere i korektivne radnje vode kroz REG12. Time se obveze izvršitelja obrade u oblaku integriraju s postojećim skupom PIMS politika i izbjegava se stvaranje zasebnih registara za ugovore, usluge, izolaciju zakupaca, pristup, zapise dnevnika, brisanje, podršku, revizije, povrede ili podizvršitelje obrade. Politika postavlja praktične zahtjeve kroz životni ciklus usluge u oblaku. Zahtijeva dokumentirane upute klijenta ili uzvodnog izvršitelja obrade prije početka obrade, pregled uputa koje izgledaju neusklađeno s obvezama ili odobrenim opsegom usluge te odobrenje prije svake obrade osobnih podataka (PII) klijenta izvan dokumentiranih uputa. Uređuje i konfiguraciju oblaka te sigurnosne dokaze zahtijevanjem granica podijeljene odgovornosti, provjere izolacije zakupaca, kontroliranog administrativnog pristupa, tromjesečnog pregleda privilegiranog pristupa i obuhvata zapisivanja događaja, razdvajanja okruženja te evidentiranih lokacija sigurnosnih kopija, replikacije, pohrane dnevničkih zapisa i pristupa podrške. Ti su zahtjevi namjerno povezani s postojećim sigurnosnim kontrolama osobnih podataka (PII), umjesto da zamjenjuju širu Politiku sigurnosti i kontrole pristupa za osobne podatke (PII). Upravljanje podizvršiteljima obrade i opskrbnim lancem u oblaku tretira se kao temeljna obveza izvršitelja obrade. Vlasnik dobavljača / nabave mora prije uporabe evidentirati podizvršitelje obrade u oblaku, pružatelje infrastrukture, pružatelje usluga hostinga, pružatelje upravljanih usluga, pružatelje podrške i druge značajne ovisnosti o uslugama u oblaku. Politika zahtijeva dokaze o odobrenju klijenta ili dokumentiranoj osnovi odobrenja, prenesene obveze za privatnost, sigurnost, pomoć, incidente, povrat, brisanje, revizijsku podršku i prijenose te zapise o lokacijama usluga, lokacijama udaljene podrške, regijama hostinga i usmjeravanju daljnjeg prijenosa. Također zahtijeva obavješćivanje klijenta o namjeravanim promjenama podizvršitelja obrade u oblaku unutar ugovorom zahtijevanog roka obavijesti te najmanje godišnji pregled aktivnih zapisa o podizvršiteljima obrade u oblaku i ovisnostima o oblaku. Politika također obuhvaća pomoć klijentu, revizijsku podršku, sučelje za povrede, brisanje i izlazni postupak. Obveze pomoći klijentu za zahtjeve za ostvarivanje prava, brisanje, ispravak, ograničenje, pristup, reviziju, pomoć pri DPIA-i i podršku pri povredi moraju se evidentirati prije izvršenja ugovora ili aktivacije usluge. Podrška za zahtjeve za ostvarivanje prava koju zatraži klijent mora se dovršiti u roku dogovorenom s klijentom, zahtjevi za pomoć pri DPIA-i ili procjeni koji su značajni za privatnost moraju se pregledati u roku od deset radnih dana, a zakašnjeli ili osporeni zahtjevi za pomoć moraju se pratiti. Za izlazni postupak politika zahtijeva dokaze o mogućnosti izvoza, povrata, prijenosa ili brisanja prije uvođenja ili značajne promjene usluge, dovršetak u rokovima dogovorenima s klijentom, uključivanje aktivnih sustava, sigurnosnih kopija, replika, zapisa dnevnika, privremenih datoteka, pripremnih okruženja i kopija za podršku te postupanje s nesukladnošću kada se obveze ne mogu dovršiti na vrijeme. Upravljanje se dodatno osnažuje tromjesečnim pregledima potpunosti dokaza, godišnjim pregledima politike i podizvršitelja obrade, revizijskim uzorkovanjem, metrikama, provedbenim mjerama i odobrenjem najvišeg rukovodstva za značajne iznimke i izmjene.

Dijagram politike

Dijagram toka procesa koji prikazuje upravljanje izvršiteljem obrade osobnih podataka (PII) u oblaku od uvođenja i evidentiranja uputa klijenta, preko provjere podijeljene odgovornosti i izolacije zakupaca, odobravanja podizvršitelja obrade, usmjeravanja prijenosa, pomoći klijentu, sučelja za incidente, brisanja ili povrata pri izlaznom postupku te tromjesečnog praćenja s iznimkama i korektivnim radnjama evidentiranima u PIMS registrima.

Kliknite na dijagram za prikaz u punoj veličini

Sadržaj

Opseg obrade osobnih podataka (PII) u oblaku i zapisi o uputama klijenta

Dokazi o podijeljenoj odgovornosti, izolaciji zakupaca, pristupu i zapisivanju događaja

Upravljanje podizvršiteljima obrade i opskrbnim lancem u oblaku

Lokacija, udaljeni pristup i usmjeravanje međunarodnih prijenosa

Dokazi o povratu, prijenosu, brisanju, zbrinjavanju i izlaznom postupku

Praćenje, iznimke, provedba i korektivne radnje

Usklađenost s okvirom

🛡️ Podržani standardi i okviri

Ovaj je proizvod usklađen sa sljedećim okvirima usklađenosti s detaljnim mapiranjem klauzula i kontrola.

Okvir Pokrivene klauzule / Kontrole
ISO/IEC 27701:2025
Clause 4.1Clause 6.1.3Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.2.2.2Annex A.2.2.3Annex A.2.2.5Annex A.2.2.6Annex A.2.2.7Annex A.2.3.2Annex A.2.4.2Annex A.2.4.3Annex A.2.4.4Annex A.2.5.2Annex A.2.5.3Annex A.2.5.4Annex A.2.5.5Annex A.2.5.6Annex A.2.5.7Annex A.2.5.8Annex A.2.5.9Annex A.3.8Annex A.3.9Annex A.3.14Annex A.3.24Annex A.3.25
EU GDPR
Article 28Article 30Article 32Article 33Article 44
ISO/IEC 29100:2020
Clause 5.3Clause 5.5Clause 5.6Clause 5.10Clause 5.11Clause 5.12
ISO/IEC 29151:2022
Clause 15.1.2Clause 15.2.2Clause 15.2.3Annex A.7Annex A.7.2
ISO/IEC 27001:2022
Clause 6.1.3Clause 8.1Annex A controls 5.19Annex A controls 5.20Annex A controls 5.21Annex A controls 5.22Annex A controls 5.23
ISO/IEC 27002:2022
Control 5.19Control 5.20Control 5.21Control 5.22Control 5.23Control 8.10Control 8.15Control 8.16
ISO/IEC 27018:2020
Annex A.2.1Annex A.3.1Annex A.6.1Annex A.6.2Annex A.8.1Annex A.10.1Annex A.10.3Annex A.11.11Annex A.11.12Annex A.12.1
ISO/IEC 27036-2:2022
Clause 6.1.1Clause 6.1.2Clause 7.1Clause 7.2Clause 7.3Clause 7.4Clause 7.5
ISO/IEC 27555:2025
Clause 5.1Clause 5.2Clause 5.3Clause 5.4Clause 5.5Clause 5.6Clause 5.8Clause 9.1Clause 9.2Clause 9.3Clause 9.4Clause 9.5Clause 9.6Clause 9.7

Povezane politike

Politika upravljanja privatnošću izvršitelja obrade, podizvršitelja obrade i trećih strana

Izravno podržava upravljanje životnim ciklusom podizvršitelja obrade u oblaku i trećih strana koje zahtijeva ova politika.

Politika međunarodnih prijenosa

Podržava zahtjeve za lokaciju, udaljeni pristup i usmjeravanje daljnjeg prijenosa osobnih podataka (PII) klijenta u oblaku.

Politika sigurnosti i kontrole pristupa

Pruža širu arhitekturu sigurnosti i kontrole pristupa osobnim podacima (PII) na koju se upućuje u kontrolama pristupa oblaku, zapisivanja događaja i izolacije zakupaca.

Politika upravljanja incidentima i povredama

Povezuje otkrivanje incidenata u vezi s osobnim podacima (PII) u oblaku, obavješćivanje klijenata i dokaze o podršci pri povredi s tijekom rada za incidente.

Politika zadržavanja, brisanja i zbrinjavanja

Podržava zahtjeve za dokaze o povratu, brisanju, zbrinjavanju i izlaznom postupku za osobne podatke (PII) klijenta i kopije podizvršitelja obrade.

Politika upravljanja dokumentiranim informacijama i dokazima PIMS-a

Podržava dokumentirane informacije i kanoničko postupanje s dokazima koji se koriste kroz REG02, REG03, REG08, REG09, REG10 i REG12.

O Clarysec politikama - Politika izvršitelja obrade osobnih podataka (PII) u oblaku

Politika izvršitelja obrade osobnih podataka (PII) u oblaku uspostavlja operativne zahtjeve privatnosti za usluge u oblaku u kojima organizacija djeluje kao izvršitelj obrade osobnih podataka (PII) ili podizvršitelj obrade. Povezuje upute klijenta, opseg obrade u oblaku, dokaze o podijeljenoj odgovornosti, izolaciju zakupaca, pristup, zapisivanje događaja, upravljanje podizvršiteljima obrade, usmjeravanje lokacija i prijenosa, brisanje, povrat, podršku pri povredi, revizijsku podršku i praćenje u PIMS model dokaza organizacije. Politika dodjeljuje jasne odgovornosti najvišem rukovodstvu, voditelju privatnosti / voditelju PIMS-a, službeniku za zaštitu podataka / savjetniku za privatnost, voditelju informacijske sigurnosti, vlasniku procesa / vlasniku poslovanja, vlasniku sustava / vlasniku aplikacije, vlasniku dobavljača / nabave, koordinatoru odgovora na incidente i unutarnjoj reviziji / pregledavatelju usklađenosti. Oslanja se na REG02, REG03, REG08, REG09, REG10 i REG12 radi održavanja zapisa spremnih za reviziju i podrške spremnosti za certifikaciju PIMS-a prema ISO/IEC 27701:2025 za izvršitelje obrade u oblaku i podizvršitelje obrade u oblaku.

Obrada vođena dokazima

Povezuje obveze izvršitelja obrade u oblaku s REG02, REG03, REG08, REG09, REG10 i REG12 radi zapisa spremnih za reviziju.

Kontrola uputa klijenta

Zahtijeva dokumentirane upute klijenta ili uzvodnog izvršitelja obrade prije početka obrade osobnih podataka (PII) u oblaku.

Vidljivost opskrbnog lanca u oblaku

Evidentira podizvršitelje obrade, ovisnosti o oblaku, osnovu odobrenja, prenesene obveze, lokacije i dokaze pregleda.

Kontrolirano postupanje pri izlaznom postupku

Obuhvaća dokaze o povratu, prijenosu, brisanju i zbrinjavanju za aktivne sustave, sigurnosne kopije, zapise dnevnika i kopije za podršku.

Često postavljana pitanja

Izrađeno za lidere, od lidera

Ovu politiku izradio je sigurnosni lider s više od 25 godina iskustva u implementaciji i auditiranju ISMS okvira u globalnim organizacijama. Osmišljena je ne samo kao dokument, već kao obrambeni okvir koji izdržava revizorski nadzor.

Izradio stručnjak s sljedećim kvalifikacijama:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Pokrivenost i teme

🏢 Ciljni odjeli

Privatnost Pravni poslovi Usklađenost IT-sigurnost Nabava

🏷️ Tematska pokrivenost

Upravljanje informacijama o privatnosti obrada osobnih podataka odgovornosti voditelja obrade i izvršitelja obrade upravljanje trećim stranama međunarodni prijenosi podataka zadržavanje i zbrinjavanje podataka upravljanje povredama
€59

Jednokratna kupnja

Trenutno preuzimanje
Doživotna ažuriranja

Ova politika je 1 od 25 u kompletnom ISO/IEC 27701 PIMS paketu

Uštedite 52%

Nabavite svih 25 PIMS politika, kompletan set registara i detaljan plan implementacije za €799, umjesto €1.675 pojedinačno.

Pogledaj kompletni 27701 paket →
Cloud PII Processor Policy

Pojedinosti o proizvodu

Vrsta: policy
Kategorija: ISO 27701 PIMS Policy Pack
Standardi: 9