policy ISO 27701 PIMS Policy Pack

Politika zaštite privatnosti u fazi projektiranja i prema zadanim postavkama

Ugradite zaštitu privatnosti u fazi projektiranja i prema zadanim postavkama u projekte koji uključuju osobne podatke (PII), promjene, nabavu i puštanje u produkcijski rad uz dokaze spremne za reviziju u REG02, REG04, REG08 i REG12.

Pregled

Ova politika ugrađuje zaštitu privatnosti u fazi projektiranja i prema zadanim postavkama u projekte koji uključuju osobne podatke (PII), promjene, nabavu i odluke o puštanju u produkcijski rad. Zahtijeva minimizaciju temeljenu na svrsi, konfiguraciju privatnosti prema zadanim postavkama, povezanost s rizikom i provjerom potrebe za DPIA-om, dokaze dobavljača o projektiranju te revizijski provjerljive zapise u REG02, REG04, REG08 i REG12.

Projektiranje prije puštanja u produkcijski rad

Zahtijeva preglede ugrađene zaštite privatnosti, dokaze o minimizaciji i zadane postavke prije puštanja u produkciju ili operativnog pokretanja.

Dokazi spremni za reviziju

Povezuje odluke o ugrađenoj zaštiti privatnosti s REG02, REG04, REG08 i REG12 kako bi zapisi, praznine, iznimke i radnje ostali sljedivi.

Jasna odgovornost uloga

Definira odgovornosti za privatnost, procese, sustave, sigurnost, nabavu, reviziju i najviše rukovodstvo kroz kontrolne točke projektiranja.

Pročitaj cijeli pregled (click to expand)
Politika zaštite privatnosti u fazi projektiranja i prema zadanim postavkama definira kako se zahtjevi privatnosti moraju ugraditi u nove i promijenjene aktivnosti obrade osobnih podataka (PII) unutar opsega PIMS-a. Primjenjuje se na projekte, proizvode, usluge, sustave, aplikacije, integracije, aktivnosti nabave i promjene poslovnih procesa. Politika je izrađena za kontekste voditelja obrade, zajedničkog voditelja obrade, izvršitelja obrade i podizvršitelja obrade, uključujući situacije u kojima organizacija projektira, konfigurira, mijenja ili provodi obradu u ime klijenta, voditelja obrade ili uzvodnog izvršitelja obrade prema dokumentiranim uputama. Njezina je temeljna svrha osigurati da se zahtjevi privatnosti utvrde, implementiraju i dokumentiraju dokazima prije početka obrade osobnih podataka (PII) ili njezine značajne promjene. Politika stavlja poseban naglasak na svrhu, nužnost, minimizaciju i zadane postavke koje štite privatnost. Vlasnici procesa i vlasnici poslovanja moraju dokumentirati minimalne kategorije osobnih podataka (PII), kategorije ispitanika, izvore i svrhe u REG02 i REG04 prije odobrenja projektiranja prikupljanja ili uvoza. Vlasnici sustava i vlasnici aplikacija moraju konfigurirati zadane postavke obrade na minimalno prikupljanje i obradu osobnih podataka (PII) potrebnih za dokumentiranu svrhu te moraju evidentirati dokaze u REG04 prije puštanja u produkcijski rad. Neobvezna polja osobnih podataka (PII), neobvezni izbori obrade, postavke isključene prema zadanim postavkama, postavke izloženosti za prikaze i izvješća te postupanje s privremenim datotekama, predmemorijama, zapisima dnevnika ili zapisima u pripremnom okruženju tretiraju se kao obveze privatnosti u fazi projektiranja, a ne kao naknadne operativne korekcije. Povezanost rizika za privatnost i provjere potrebe za DPIA-om ugrađena je u proces projektiranja bez zamjene zasebne metodologije definirane u PII07. Voditelj privatnosti / Voditelj PIMS-a mora potvrditi da su rizik za privatnost i provjera potrebe za DPIA-om evidentirani u REG04 prije odobrenja projektiranja za novu ili značajno promijenjenu obradu osobnih podataka (PII). Radnje obrade rizika u vezi s ugrađenom zaštitom privatnosti, vlasnici i krajnji rokovi moraju se evidentirati prije zatvaranja pregleda, a dokazi o implementaciji moraju se prikupiti prije puštanja u produkcijski rad. Za visokorizičnu ili značajno promijenjenu obradu u svojstvu voditelja obrade politika također zahtijeva postimplementacijsku provjeru ugrađene zaštite privatnosti u REG04 u roku od 30 kalendarskih dana nakon puštanja u produkcijski rad. Kada pitanja projektiranja nedostaju, nisu učinkovita, kasne ili se zaobilaze, u REG12 se otvara korektivna radnja. Politika također proširuje zaštitu privatnosti u fazi projektiranja na nabavu i odnose s trećim stranama. Vlasnici dobavljača i vlasnici nabave moraju evidentirati zahtjeve za zaštitu privatnosti u fazi projektiranja za dobavljače, izvršitelje obrade, podizvršitelje obrade, SaaS usluge, platforme ili sustave hostirane izvana u REG08 prije odobrenja nabave. Nužnost obrade osobnih podataka (PII) od strane treće strane, svrha i minimalne kategorije osobnih podataka (PII) moraju se dokumentirati prije vanjske obrade, dijeljenja podataka ili odobrenja nabave. Podrška dobavljača za postavke privatnosti prema zadanim postavkama, minimizaciju i potrebe konfiguracije klijenta mora se evidentirati prije uvođenja dobavljača, dok se neriješene praznine dobavljača u pogledu ugrađene zaštite privatnosti eskaliraju u REG12 u roku od pet radnih dana i prije potpisivanja ugovora. Upravljanje, praćenje, provedba i održavanje definirani su kroz ponavljajuće dokaze i cikluse pregleda. Voditelj privatnosti / Voditelj PIMS-a podnosi tromjesečne sažetke statusa ugrađene zaštite privatnosti u REG12, izračunava metrike dovršenosti i zakašnjelih radnji te prije interne revizije provjerava da dokazi o projektiranju ostaju konsolidirani u REG02, REG04, REG08 i REG12. Najviše rukovodstvo tijekom preispitivanja od strane uprave pregledava iznimke visokog utjecaja, blokirane odluke o puštanju u produkcijski rad i ponavljajuće nalaze. Odredbe o provedbi zahtijevaju sprječavanje puštanja u produkcijski rad kada pregled REG04 nije dovršen, sprječavanje uvođenja dobavljača kada dokazi u REG08 nisu dostupni te obustavu nove ili promijenjene obrade osobnih podataka (PII) dok se ne dovrše pregled REG04, ažuriranja REG02 i potrebne iznimke u REG12.

Dijagram politike

Dijagram toka procesa koji prikazuje korake zaštite privatnosti u fazi projektiranja: okidač projekta ili promjene, unos o ugrađenoj zaštiti privatnosti u REG04, povezanost obrade s REG02, projektiranje minimizacije i zadanih postavki, provjera rizika i potrebe za DPIA-om, provjere dobavljača u REG08 kada je primjenjivo, preporuka za puštanje u produkcijski rad, eskalacija u REG12 za iznimke ili korektivnu radnju, praćenje i pregled.

Kliknite na dijagram za prikaz u punoj veličini

Sadržaj

Zahtjevi privatnosti pri pokretanju projekta

Kontrole projektiranja za svrhu, minimizaciju i zadane postavke

Pregled ugrađene zaštite privatnosti prije puštanja u produkcijski rad

Pregled ugrađene zaštite privatnosti potaknut promjenom

Provjere zaštite privatnosti u fazi projektiranja u nabavi

Povezanost rizika za privatnost, provjere potrebe za DPIA-om i korektivnih radnji

Usklađenost s okvirom

🛡️ Podržani standardi i okviri

Ovaj je proizvod usklađen sa sljedećim okvirima usklađenosti s detaljnim mapiranjem klauzula i kontrola.

Okvir Pokrivene klauzule / Kontrole
ISO/IEC 27701:2025
Clause 6.1.2Clause 6.1.3Clause 6.3Clause 8.1Clause 7.5Clause 9.1Clause 10.2Annex A.1.2.2Annex A.1.2.6Annex A.1.2.9Annex A.1.4.2Annex A.1.4.3Annex A.1.4.4Annex A.1.4.5Annex A.1.4.6Annex A.1.4.7Annex A.2.2.2Annex A.2.2.6Annex A.2.2.7Annex A.2.4.2Annex A.2.4.3Annex A.2.4.4Annex A.3.27Annex A.3.29
EU GDPR
Article 5(1)(b)Article 5(1)(c)Article 5(2)Article 24Article 25Article 28Article 30Article 35
ISO/IEC 29100:2020
Clause 4.7Clause 5.3Clause 5.4Clause 5.5Clause 5.6Clause 5.7Clause 5.10Clause 5.12
ISO/IEC 29151:2022
Annex A.3Annex A.4Annex A.5Annex A.7Annex A.8

Povezane politike

Politika popisa aktivnosti obrade i pravne osnove

Unosi o ugrađenoj zaštiti privatnosti moraju biti povezani s aktivnostima obrade, svrhama i ažuriranjima zapisa o obradi u REG02.

Politika procjene rizika za privatnost i DPIA-e

Ova politika pokreće procjenu rizika za privatnost i provjeru potrebe za DPIA-om, pri čemu metodologiju procjene ostavlja PII07.

Politika prikupljanja, uporabe, otkrivanja i dijeljenja podataka

Kontrole projektiranja moraju ograničiti prikupljanje, uporabu, otkrivanje i dijeljenje na dokumentirane svrhe i minimalne potrebe za osobnim podacima (PII).

Politika zadržavanja, brisanja i zbrinjavanja

Ovisnosti ugrađene zaštite privatnosti za zadržavanje, brisanje i privremene artefakte osobnih podataka (PII) usmjeravaju se prema povezanom putu dokaza.

Politika upravljanja privatnošću izvršitelja obrade, podizvršitelja obrade i trećih strana

Provjere zaštite privatnosti u fazi projektiranja za nabavu i treće strane oslanjaju se na dokaze upravljanja dobavljačima, izvršiteljima obrade i podizvršiteljima obrade.

Politika sigurnosti i kontrole pristupa

Ovisnosti sigurnosnih kontrola za osobne podatke (PII) moraju se evidentirati kao ulazni podaci koji podupiru odluke o ugrađenoj zaštiti privatnosti i puštanju u produkcijski rad.

O Clarysec politikama - Politika zaštite privatnosti u fazi projektiranja i prema zadanim postavkama

Politika zaštite privatnosti u fazi projektiranja i prema zadanim postavkama operacionalno uređuje zahtjeve privatnosti prije početka obrade osobnih podataka (PII) ili njezine značajne promjene. Zahtijeva unose o ugrađenoj zaštiti privatnosti, povezanost sa zapisima o obradi, odluke o minimizaciji, zadane postavke privatnosti, provjere nabave, povezanost rizika i provjere potrebe za DPIA-om, pregled prije puštanja u produkcijski rad, iznimke, korektivne radnje i dokaze o praćenju. Politika se primjenjuje na kontekste voditelja obrade, zajedničkog voditelja obrade, izvršitelja obrade i podizvršitelja obrade te dodjeljuje jasne odgovornosti najvišem rukovodstvu, Voditelju privatnosti / Voditelju PIMS-a, vlasnicima procesa, vlasnicima sustava, vlasnicima dobavljača / nabave, informacijskoj sigurnosti, ulogama službenika za zaštitu podataka (DPO) / savjetnika za privatnost te pregledavateljima za reviziju ili usklađenost.

Opseg projektiranja

Obuhvaća projekte, proizvode, usluge, sustave, aplikacije, integracije, nabavu i promjene poslovnih procesa koje uključuju osobne podatke (PII).

Zadana minimizacija

Zahtijeva minimalno prikupljanje osobnih podataka (PII) i postavke obrade prije puštanja u produkcijski rad te evidentira dokaze u REG04.

Povezanost s rizikom

Povezuje pregled ugrađene zaštite privatnosti s rizikom za privatnost i provjerom potrebe za DPIA-om bez dupliciranja metodologije PII07.

Provjere nabave

Zahtijeva dokaze u REG08 za obveze projektiranja dobavljača, izvršitelja obrade, podizvršitelja obrade, SaaS usluga i sustava hostiranih izvana.

Kontrola eskalacije

Usmjerava nedostajuće kontrole, neriješene praznine, iznimke i neovlaštena pitanja puštanja u produkcijski rad kroz REG12.

Često postavljana pitanja

Izrađeno za lidere, od lidera

Ovu politiku izradio je sigurnosni lider s više od 25 godina iskustva u implementaciji i auditiranju ISMS okvira u globalnim organizacijama. Osmišljena je ne samo kao dokument, već kao obrambeni okvir koji izdržava revizorski nadzor.

Izradio stručnjak s sljedećim kvalifikacijama:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Pokrivenost i teme

🏢 Ciljni odjeli

privatnost pravni poslovi usklađenost IT sigurnost ured službenika za zaštitu podataka (DPO)

🏷️ Tematska pokrivenost

zaštita privatnosti u fazi projektiranja obrada osobnih podataka procjena učinka na privatnost evidencije obrade upravljanje trećim stranama zadržavanje i zbrinjavanje podataka upravljanje rizicima
€79

Jednokratna kupnja

Trenutno preuzimanje
Doživotna ažuriranja

Ova politika je 1 od 25 u kompletnom ISO/IEC 27701 PIMS paketu

Uštedite 52%

Nabavite svih 25 PIMS politika, kompletan set registara i detaljan plan implementacije za €799, umjesto €1.675 pojedinačno.

Pogledaj kompletni 27701 paket →
Privacy by Design and Default Policy

Pojedinosti o proizvodu

Vrsta: policy
Kategorija: ISO 27701 PIMS Policy Pack
Standardi: 4