policy ISO 27701 PIMS Policy Pack

Politika prikupljanja, uporabe, otkrivanja i dijeljenja osobnih podataka (PII)

Upravljajte prikupljanjem, uporabom, otkrivanjem i dijeljenjem osobnih podataka (PII) uz dokaze REG02/REG08, usmjeravanje prijenosa i odgovornost spremnu za reviziju.

Pregled

Ova politika uređuje način prikupljanja, uporabe, otkrivanja i dijeljenja osobnih podataka (PII) unutar opsega PIMS-a. Zahtijeva odobrene zapise REG02 za prikupljanje i uporabu, dokaze REG08 za otkrivanja i dijeljenje, usmjeravanje prema REG09 za lokacije prijenosa te zapise REG12 za iznimke, revizije i korektivne radnje.

Odobrena uporaba osobnih podataka (PII)

Zahtijeva dokumentirane svrhe prikupljanja, odobrena pravila interne uporabe i obrazloženja nužnosti prije početka obrade.

Dokazi o otkrivanju

Evidentira vanjska otkrivanja i ponavljajuće dijeljenje u REG08, uključujući primatelja, svrhu, kategorije osobnih podataka (PII) i učestalost.

Usmjeravanje prijenosa

Povezuje dijeljenje koje uključuje nove države, udaljeni pristup ili lokacije daljnjeg prijenosa s odlukama o usmjeravanju prema REG09 i PII13.

Pročitaj cijeli pregled (click to expand)
Politika prikupljanja, uporabe, otkrivanja i dijeljenja osobnih podataka (PII) definira operativne zahtjeve za način na koji se osobni podaci koji omogućuju identifikaciju osobe prikupljaju, koriste, otkrivaju i dijele unutar opsega PIMS-a. Njezina je navedena svrha osigurati da se osobnim podacima (PII) postupa samo za dokumentirane, odobrene, ograničene i odgovorne svrhe. Politika se primjenjuje u kontekstima voditelja obrade, zajedničkog voditelja obrade, izvršitelja obrade i podizvršitelja obrade te obuhvaća prikupljanje putem izravnih, neizravnih, automatiziranih, ručnih, internih, vanjskih kanala i kanala trećih strana. Također uređuje odobrenu internu uporabu u poslovnim procesima, sustavima i aplikacijama, sekundarnu uporabu za nove ili značajno izmijenjene svrhe, vanjsko otkrivanje primateljima i trećim stranama te ponavljajuće aranžmane dijeljenja podataka i jednokratna otkrivanja. Središnje obilježje politike jest uporaba registara dokaza za povezivanje odluka o privatnosti s revizijski provjerljivim zapisima. REG02 koristi se za popis obrade osobnih podataka (PII), odobrene svrhe, pravila prikupljanja, pravila uporabe i provjere usklađenosti sa svrhom za sekundarnu uporabu. REG08 koristi se za zapise o izvršiteljima obrade, podizvršiteljima obrade i dijeljenju podataka, uključujući identitet primatelja, ulogu primatelja, svrhu otkrivanja, kategorije osobnih podataka (PII), učestalost dijeljenja, lokaciju obrade i izvor ovlaštenja. REG09 koristi se kada dijeljenje uključuje novu državu, međunarodnu organizaciju, lokaciju udaljenog pristupa, lokaciju primatelja ili lokaciju daljnjeg prijenosa. REG12 koristi se za iznimke, nesukladnosti, nalaze revizije, korektivne radnje, probleme koji blokiraju implementaciju i zapise pregleda politike. Politika postavlja jasne kontrolne točke prije početka obrade. Vlasnici procesa ili vlasnici poslovanja moraju u REG02 evidentirati svrhe prikupljanja, izvore ili kanale, kategorije osobnih podataka (PII), kategorije ispitanika i minimalne elemente podataka prije početka novog prikupljanja ili značajne promjene. Također moraju dokumentirati obrazloženje nužnosti za svaki element osobnih podataka (PII) prije prikupljanja. Vlasnici sustava ili vlasnici aplikacija smiju implementirati samo odobrena polja prikupljanja, polja radnog toka, izvješća, izvoze ili izlazne rezultate otkrivanja koji odgovaraju odobrenju u REG02 ili REG08. U kontekstima izvršitelja obrade, usklađenost s uputom klijenta mora se evidentirati prije prikupljanja, uporabe ili otkrivanja osobnih podataka (PII) klijenta. Sekundarna uporaba tretira se kao upravljana odluka, a ne kao neformalno proširenje postojeće aktivnosti. Prije uporabe osobnih podataka (PII) za svrhu koja još nije odobrena u REG02, vlasnik procesa ili vlasnik poslovanja mora evidentirati provjeru usklađenosti sa svrhom koja obuhvaća izvornu svrhu, predloženu svrhu, ovisnost o pravnoj osnovi, kategorije osobnih podataka (PII), očekivanja ispitanika, obrazloženje minimizacije, učinak otkrivanja ili prijenosa i usmjeravanje prema drugim PIMS politikama gdje je potrebno. Voditelj za privatnost ili voditelj PIMS-a mora evidentirati odobrenje ili odbijanje prije početka sekundarne uporabe. Kada su uključeni osjetljivi ponavljajući aranžmani dijeljenja, ranjivi ispitanici, zapisi s visokim utjecajem ili značajno izmijenjena očekivanja, prije odobrenja mora se evidentirati savjet službenika za zaštitu podataka ili savjetnika za privatnost. Upravljanje, mjerenje i provedba ugrađeni su u politiku. Voditelj za privatnost ili voditelj PIMS-a pregledava pravila odobrene uporabe najmanje jednom godišnje, usklađuje odobrene svrhe iz REG02 s aktivnim zapisima dijeljenja u REG08 najmanje jednom godišnje i evidentira ishode u REG12. Vlasnici dobavljača ili nabave najmanje tromjesečno usklađuju aktivne unose dijeljenja u REG08 s aktivnim odnosima s izvršiteljima obrade, podizvršiteljima obrade, primateljima i odnosima dijeljenja podataka. Interna revizija ili pregledavatelji usklađenosti godišnje uzorkuju dokaze iz REG02, REG08 i REG09 te rezultate evidentiraju u REG12. Neodobreno prikupljanje, uporaba, otkrivanje ili dijeljenje mora se evidentirati kao nesukladnost u roku od pet radnih dana, a obrada se može obustaviti u roku od jednog radnog dana kada nedostaju odobreni dokazi.

Dijagram politike

Procesni tok koji prikazuje zahtjev za prikupljanje ili uporabu osobnih podataka (PII) evidentiran u REG02, pregled privatnosti, provjeru sekundarne uporabe, odobrenje otkrivanja u REG08, usmjeravanje prijenosa u REG09, praćenje te iznimke ili korektivne radnje u REG12.

Kliknite na dijagram za prikaz u punoj veličini

Sadržaj

Ograničenje prikupljanja i odobrenje REG02

Kontrole odobrene interne uporabe

Provjere usklađenosti sa svrhom za sekundarnu uporabu

Vanjsko otkrivanje i zapisi dijeljenja REG08

Usmjeravanje međunarodnih prijenosa prema REG09 i PII13

Iznimke, revizija i korektivne radnje putem REG12

Usklađenost s okvirom

🛡️ Podržani standardi i okviri

Ovaj je proizvod usklađen sa sljedećim okvirima usklađenosti s detaljnim mapiranjem klauzula i kontrola.

Okvir Pokrivene klauzule / Kontrole
ISO/IEC 27701:2025
Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.1.2.2Annex A.1.2.9Annex A.1.2.3Annex A.1.2.8Annex A.1.4.2Annex A.1.4.3Annex A.1.4.5Annex A.1.5.2Annex A.1.5.3Annex A.1.5.4Annex A.1.5.5Annex A.2.2.2Annex A.2.2.3Annex A.2.2.7Annex A.2.5.2Annex A.2.5.3Annex A.2.5.4Annex A.2.5.5Annex A.2.5.6
EU GDPR
Article 5(1)(b)Article 5(1)(c)Article 5(2)Article 6Article 24Article 26Article 28Article 30
ISO/IEC 29100:2020
Clause 5.3Clause 5.4Clause 5.5Clause 5.6Clause 5.10Clause 5.12
ISO/IEC 29151:2022
Annex A.3Annex A.4Annex A.5Annex A.7

Povezane politike

Politika međunarodnih prijenosa

Povezana je jer se dijeljenje koje uključuje nove lokacije prijenosa mora usmjeriti prema REG09 i PII13 prije odobrenja.

Politika praćenja, revizije i poboljšanja PIMS-a

Povezana je jer se iznimke, nesukladnosti, rezultati revizije, korektivne radnje i zapisi poboljšanja obrađuju putem REG12.

Politika popisa obrade i pravne osnove

Povezana je jer su zapisi obrade REG02 i ažuriranja pravne osnove potrebni za odluke o prikupljanju, odobrenoj uporabi i sekundarnoj uporabi.

Politika obavijesti o privatnosti i transparentnosti

Povezana je jer kontrole prikupljanja i uporabe djeluju zajedno sa sadržajem obavijesti o privatnosti, objavom i upravljanjem verzijama.

Politika procjene rizika za privatnost i DPIA-e

Povezana je jer sekundarna uporaba može zahtijevati provjeru PII07 kada provjera usklađenosti sa svrhom utvrdi značajnu promjenu rizika za privatnost.

Politika upravljanja privatnošću izvršitelja obrade, podizvršitelja obrade i trećih strana

Povezana je jer se otkrivanja i dijeljenje s izvršiteljima obrade, podizvršiteljima obrade, dobavljačima i trećim stranama evidentiraju i uređuju putem REG08.

O Clarysec politikama - Politika prikupljanja, uporabe, otkrivanja i dijeljenja osobnih podataka (PII)

Ova politika operacionalno uređuje odgovorno prikupljanje, uporabu, otkrivanje i dijeljenje osobnih podataka (PII) u kontekstima voditelja obrade, zajedničkog voditelja obrade, izvršitelja obrade i podizvršitelja obrade. Povezuje poslovna pravila i odobrenja sa zapisima obrade REG02, dokazima o otkrivanju i dijeljenju REG08, usmjeravanjem međunarodnih prijenosa REG09 te zapisima revizije, iznimaka i korektivnih radnji REG12. Politika definira kada se moraju dovršiti pravila prikupljanja, pravila odobrene uporabe, provjere usklađenosti sa svrhom za sekundarnu uporabu, odobrenja vanjskog otkrivanja i pregledi ponavljajućeg dijeljenja te dodjeljuje odgovornosti voditelju za privatnost / voditelju PIMS-a, vlasniku procesa / vlasniku poslovanja, vlasniku sustava / vlasniku aplikacije, vlasniku dobavljača / nabave, najvišem rukovodstvu i internoj reviziji / pregledavatelju usklađenosti.

Pravila odobrenja REG02

Zahtijeva dokumentirane svrhe, kategorije, minimalne elemente podataka i odobrena pravila interne uporabe prije početka obrade.

Dokazi dijeljenja REG08

Obuhvaća identitet primatelja, ulogu, svrhu, kategorije osobnih podataka (PII), učestalost dijeljenja, lokaciju i ovlaštenje za otkrivanja.

Provjere sekundarne uporabe

Zahtijeva provjere usklađenosti sa svrhom i odobrenje prije uporabe osobnih podataka (PII) za svrhu koja još nije evidentirana u REG02.

Usmjeravanje lokacija prijenosa

Usmjerava nove države, udaljeni pristup i lokacije daljnjeg prijenosa prema REG09 i PII13 prije odobrenja dijeljenja.

Nadzor spreman za reviziju

Koristi REG12 za iznimke, nesukladnosti, nalaze revizije, korektivne radnje, preglede i rezultate praćenja.

Često postavljana pitanja

Izrađeno za lidere, od lidera

Ovu politiku izradio je sigurnosni lider s više od 25 godina iskustva u implementaciji i auditiranju ISMS okvira u globalnim organizacijama. Osmišljena je ne samo kao dokument, već kao obrambeni okvir koji izdržava revizorski nadzor.

Izradio stručnjak s sljedećim kvalifikacijama:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Pokrivenost i teme

🏢 Ciljni odjeli

Privatnost usklađenost pravni poslovi nabava ured DPO-a

🏷️ Tematska pokrivenost

Obrada osobnih podataka evidencije aktivnosti obrade međunarodni prijenosi podataka odgovornosti voditelja obrade i izvršitelja obrade upravljanje trećim stranama privola i pravna osnova upravljanje usklađenošću
€79

Jednokratna kupnja

Trenutno preuzimanje
Doživotna ažuriranja

Ova politika je 1 od 25 u kompletnom ISO/IEC 27701 PIMS paketu

Uštedite 52%

Nabavite svih 25 PIMS politika, kompletan set registara i detaljan plan implementacije za €799, umjesto €1.675 pojedinačno.

Pogledaj kompletni 27701 paket →
PII Collection, Use, Disclosure and Sharing Policy

Pojedinosti o proizvodu

Vrsta: policy
Kategorija: ISO 27701 PIMS Policy Pack
Standardi: 4