policy ISO 27701 PIMS Policy Pack

Politika procjene rizika za privatnost i DPIA-e

Politika procjene rizika za privatnost i DPIA-e usklađena s normom ISO 27701 za provjeru potrebe, obradu rizika, odobrenje preostalog rizika i dokaze REG04.

Pregled

Ova politika definira kako se procjene rizika za privatnost i DPIA-e provjeravaju, provode, obrađuju, odobravaju, pregledavaju i dokazuju. U središte stavlja dokaze u REG04, povezuje ih s pratećim registrima i utvrđuje zahtjeve za visokorizičnu obradu koju provodi voditelj obrade, pomoć izvršitelja obrade pri DPIA-i, odobrenje preostalog rizika, prethodno savjetovanje, praćenje, iznimke i provedbu.

Kontrola DPIA-e temeljena na riziku

Definira provjeru potrebe, okidače za cjelovitu DPIA-u, obradu rizika, odobrenje preostalog rizika i odluke o savjetovanju prije nastavka obrade visokog rizika.

Upravljanje temeljeno na dokazima

Zahtijeva zapise REG04 o riziku za privatnost i DPIA-ama povezane s dokazima REG02, REG03, REG08, REG10, REG11 i REG12.

Jasna odgovornost uloga

Dodjeljuje radnje poslovnim, privatnosnim, sigurnosnim, sustavskim, dobavljačkim, revizijskim, DPO ili savjetodavnim ulogama te najvišem rukovodstvu.

Pročitaj cijeli pregled (click to expand)
Politika procjene rizika za privatnost i DPIA-e definira kako organizacija identificira, procjenjuje, obrađuje, odobrava, pregledava i dokazuje rizike za privatnost unutar opsega PIMS-a. Njezina je svrha osigurati da se rizici za privatnost i obveze povezane s DPIA-om obrade prije nego što obrada osobnih podataka (PII) stvori neprihvatljiv rizik za ispitanike ili za PIMS. Politika se primjenjuje na nove i značajno izmijenjene aktivnosti obrade osobnih podataka u kontekstu voditelja obrade, zajedničkog voditelja obrade, izvršitelja obrade i podizvršitelja obrade. Obuhvaća i sustave, aplikacije, usluge, poslovne procese, dobavljače, izvršitelje obrade, podizvršitelje obrade, međunarodne prijenose i aranžmane dijeljenja podataka koji utječu na obradu osobnih podataka. Središnja značajka politike jest operativni model temeljen na REG04. Provjera rizika za privatnost, provjera potrebe za DPIA-om, procjena rizika, planovi obrade rizika, prihvaćanje preostalog rizika, odluke o savjetovanju, odobrenja i status pregleda dokumentiraju se u REG04, uz prateće dokaze povezane s REG02, REG03, REG08, REG09, REG10, REG11 i REG12. Politika izričito izbjegava uspostavu zasebnih registara za DPIA-u, rizik ili savjetovanje izvan REG04. Time se pomaže očuvati jedinstven revizijski trag dokaza za ishode provjere, odluke o cjelovitoj DPIA-i, ocjene rizika, vlasnike obrade rizika, krajnje rokove, preostali rizik, status odobrenja i datume pregleda. Politika utvrđuje obvezne okidače za provjeru rizika za privatnost i određivanje potrebe za cjelovitom DPIA-om. Vlasnici procesa / vlasnici poslovanja moraju pokrenuti provjeru u REG04 prije početka nove ili značajno izmijenjene obrade evidentirane u REG02. Obrada koju provodi voditelj obrade i koja će vjerojatno dovesti do visokog rizika zahtijeva cjelovitu DPIA-u prije početka obrade. Politika posebno navodi aktivnosti obrade koje uključuju aktivnosti velikog opsega, sustavno praćenje, profiliranje, automatizirane odluke, posebne kategorije osobnih podataka, podatke o kaznenim osudama ili kažnjivim djelima, ranjive ispitanike, inovativnu tehnologiju i značajnu promjenu obrade kao pitanja koja se moraju uputiti voditelju privatnosti / voditelju PIMS-a prije početka obrade. Također zahtijeva ponovnu provjeru prije uporabe osobnih podataka za novu svrhu, dodavanja novog primatelja, uvođenja novog izvršitelja obrade ili podizvršitelja obrade, promjene arhitekture sustava ili početka novog međunarodnog prijenosa. Obrada rizika i eskalacija također su jasno definirane. Kada rizik za privatnost premašuje odobreni prag prihvaćanja, vlasnik procesa / vlasnik poslovanja mora evidentirati plan obrade rizika u REG04 prije nastavka obrade. Radnje povezane sa sigurnošću, dizajnom sustava, dobavljačima, ugovorima i osiguranjem dodjeljuju se odgovarajućoj ulozi i moraju se provesti prije puštanja u produkcijski rad, uvođenja dobavljača, obnove ili odobrenog krajnjeg roka. Visok preostali rizik za privatnost kod obrade koju provodi voditelj obrade zahtijeva odobrenje najvišeg rukovodstva prije početka ili nastavka obrade. Kada visok preostali rizik ostane nakon obrade rizika, voditelj privatnosti / voditelj PIMS-a evidentira odluku o prethodnom savjetovanju u REG04, a najviše rukovodstvo odobrava nastavak, obustavu, redizajn ili savjetodavne radnje prije nastavka obrade. Zahtjevi upravljanja, praćenja i provedbe osiguravaju da proces ostane aktivan nakon početnog odobrenja. Voditelj privatnosti / voditelj PIMS-a mjesečno pregledava otvorene rizike za privatnost i zakašnjele radnje obrade rizika, tromjesečno i prije preispitivanja od strane uprave izvješćuje o statusu rizika za privatnost i DPIA-a te usklađuje aktivne zapise o riziku iz REG04 sa zapisima popisa aktivnosti obrade iz REG02. Politika definira metrike za obuhvat provjere, aktivne cjelovite DPIA-e, zakašnjele preglede, visoke preostale rizike, status radnji obrade rizika, prosječno vrijeme zatvaranja, radnje dobavljača, sigurnosne radnje obrade rizika, ponovnu procjenu potaknutu incidentom i nalaze revizije. Iznimke se moraju zatražiti prije odstupanja, procijeniti s obzirom na utjecaj na privatnost, pravne zahtjeve, certifikaciju, operacije i ispitanike te im se mora dodijeliti datum isteka koji ne prelazi 90 dana. Nedostajući, netočni, nepotpuni, zakašnjeli ili neodobreni dokazi REG04 smatraju se nesukladnošću u REG12.

Dijagram politike

Dijagram toka procesa koji prikazuje kako popis aktivnosti obrade REG02 pokreće provjeru rizika za privatnost u REG04, odluku o DPIA-i, ulazne podatke procjene, radnje obrade rizika, odobrenje preostalog rizika, prethodno savjetovanje, izvješćivanje REG12, revizijski pregled i kontinuiranu ponovnu procjenu.

Kliknite na dijagram za prikaz u punoj veličini

Sadržaj

Kriteriji provjere rizika za privatnost i okidači za DPIA-u

Zahtjevi za provedbu i odobrenje cjelovite DPIA-e

Planovi obrade rizika i prihvaćanje preostalog rizika

Odluka o prethodnom savjetovanju i proces eskalacije

Upravljanje dokazima REG04 i prateći registri

Praćenje, metrike, iznimke i provedba

Usklađenost s okvirom

🛡️ Podržani standardi i okviri

Ovaj je proizvod usklađen sa sljedećim okvirima usklađenosti s detaljnim mapiranjem klauzula i kontrola.

Okvir Pokrivene klauzule / Kontrole
ISO/IEC 27701:2025
Clause 6.1.1Clause 6.1.2Clause 6.1.3Clause 6.3Clause 7.5Clause 8.1Clause 8.2Clause 8.3Clause 9.1Clause 9.3Clause 10.2Annex A.1.2.6Annex A.1.2.9Annex A.2.2.2Annex A.2.2.6
EU GDPR
Article 5(2)Article 24Article 25Article 28Article 30Article 32Article 35Article 36Article 39
ISO/IEC 29100:2020
Clause 4.7Clause 5.11Clause 5.12
ISO/IEC 29134:2020
Clause 1Clause 5.1Clause 6.2Clause 6.3
ISO/IEC 29151:2022
Clause 4.1Clause 4.2
ISO/IEC 27557:2022
Clause 4Clause 5.2Clause 5.3Clause 6.4Clause 6.5Clause 6.6Clause 6.7

Povezane politike

Politika popisa aktivnosti obrade i pravne osnove

Zapisi popisa aktivnosti obrade REG02 pružaju potrebne ulazne podatke za procjenu rizika za privatnost i dokaze o DPIA-i u REG04.

Politika ugrađene i zadane zaštite privatnosti

Ulazni podaci za ugrađenu zaštitu privatnosti i zaštitu privatnosti prema zadanim postavkama potrebni su prije odobrenja puštanja u produkcijski rad za sustave koji obrađuju osobne podatke (PII).

Politika upravljanja privatnošću izvršitelja obrade, podizvršitelja obrade i trećih strana

Dokazi o dobavljačima, izvršiteljima obrade, podizvršiteljima obrade, dijeljenju podataka i pomoći klijentima pri DPIA-i održavaju se putem REG08 i REG04.

Politika međunarodnih prijenosa

Novi međunarodni prijenosi značajne su promjene koje zahtijevaju ponovnu provjeru rizika za privatnost u REG04 prije početka.

Politika sigurnosti i kontrole pristupa

Ulazni podaci o sigurnosnim kontrolama osobnih podataka (PII) i status obrade rizika u REG03 podržavaju odobrenje i praćenje obrade rizika za privatnost.

Politika praćenja, revizije i poboljšanja PIMS-a

Rizik za privatnost, dokazi DPIA-e, nalazi revizije, korektivne radnje i izlazni rezultati preispitivanja od strane uprave izvješćuju se i pregledavaju u REG12.

O Clarysec politikama - Politika procjene rizika za privatnost i DPIA-e

Upravljanje privatnošću ne uspijeva kada se tretira kao skup nepovezanih obavijesti, obrazaca i pravnih izjava. Učinkovita implementacija ISO/IEC 27701 zahtijeva sustav upravljanja informacijama o privatnosti koji povezuje obradu osobnih podataka (PII), pravnu osnovu, uloge voditelja obrade i izvršitelja obrade, rizik za privatnost, DPIA-e, dokaze, praćenje i kontinuirano poboljšanje. Ova politika definira operativni proces za procjenu rizika za privatnost i upravljanje DPIA-om. Zahtijeva provjeru prije nove ili značajno izmijenjene obrade osobnih podataka, cjelovite DPIA-e za obradu visokog rizika koju provodi voditelj obrade, dokumentiranu pomoć izvršitelja obrade pri DPIA-i kada je potrebna, planiranje obrade rizika, prihvaćanje preostalog rizika, odluke o prethodnom savjetovanju i ponavljajući pregled. Svaki zahtjev napisan je kao numerirana, revizijski provjerljiva odredba i povezan s objektima dokaza kao što su REG02, REG03, REG04, REG08, REG10, REG11 i REG12. Struktura podržava kontekste voditelja obrade, zajedničkog voditelja obrade, izvršitelja obrade i podizvršitelja obrade te pomaže organizacijama dokazati odgovorno, na riziku utemeljeno i dokazima vođeno upravljanje obradom osobnih podataka tijekom životnog ciklusa PIMS-a.

Provjera prije obrade

Zahtijeva provjeru REG04 prije početka nove ili značajno izmijenjene obrade osobnih podataka (PII) evidentirane u REG02.

Dokazi o odluci o DPIA-i

Dokumentira odluke o cjelovitoj DPIA-i, obrazloženje visokorizične obrade koju provodi voditelj obrade te savjete DPO-a ili savjetnika za privatnost u REG04.

Definirani vlasnici

Dodjeljuje odgovornosti za privatnost, poslovanje, sigurnost, sustave, dobavljače, incidente, reviziju i najviše rukovodstvo.

Nadzor preostalog rizika

Zahtijeva odobrenje najvišeg rukovodstva prije nego što obrada s visokim preostalim rizikom za privatnost započne ili se nastavi.

Praćenje i pregled

Utvrđuje mjesečne, tromjesečne, godišnje, revizijske i upravljačke kontrolne točke za rizike, DPIA-e i radnje obrade rizika.

Često postavljana pitanja

Izrađeno za lidere, od lidera

Ovu politiku izradio je sigurnosni lider s više od 25 godina iskustva u implementaciji i auditiranju ISMS okvira u globalnim organizacijama. Osmišljena je ne samo kao dokument, već kao obrambeni okvir koji izdržava revizorski nadzor.

Izradio stručnjak s sljedećim kvalifikacijama:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Pokrivenost i teme

🏢 Ciljni odjeli

Privatnost pravni poslovi usklađenost IT sigurnost ured službenika za zaštitu podataka

🏷️ Tematska pokrivenost

Upravljanje informacijama o privatnosti procjena učinka na privatnost upravljanje rizicima ugrađena zaštita privatnosti upravljanje trećim stranama međunarodni prijenosi podataka praćenje i mjerenje
€79

Jednokratna kupnja

Trenutno preuzimanje
Doživotna ažuriranja

Ova politika je 1 od 25 u kompletnom ISO/IEC 27701 PIMS paketu

Uštedite 52%

Nabavite svih 25 PIMS politika, kompletan set registara i detaljan plan implementacije za €799, umjesto €1.675 pojedinačno.

Pogledaj kompletni 27701 paket →
Privacy Risk Assessment and DPIA Policy

Pojedinosti o proizvodu

Vrsta: policy
Kategorija: ISO 27701 PIMS Policy Pack
Standardi: 6