policy ISO 27701 PIMS Policy Pack

Darbuotojų privatumo politika

Darbuotojų privatumo politika PIMS: valdykite darbuotojų asmens duomenis, pranešimus, teises, stebėseną, personalo tiekėjus, incidentus ir įrodymų registrus.

Apžvalga

Ši Darbuotojų privatumo politika reglamentuoja darbo jėgos asmens duomenų rinkimą, naudojimą, pranešimus, teises, stebėseną, tiekėjus, saugojimo sąsajas, incidentus ir įrodymus. Ji užtikrina, kad darbuotojų privatumo įrodymai būtų laikomi REG02, REG04, REG06, REG07, REG08, REG10 ir REG12 registruose, o ne kuriami atskiri personalo privatumo registrai.

Įrodymais grindžiamas personalo privatumas

Susieja darbuotojų asmens duomenų tvarkymą su REG02, REG04, REG06, REG07, REG08, REG10 ir REG12, nekuriant dubliuojančių personalo registrų.

Darbo jėgos asmens duomenų aprėptis

Apima darbuotojus, kandidatus, buvusius darbuotojus, rangovus, praktikantus, komandiruotus darbuotojus ir kitus darbo jėgos dalyvius.

Stebėsenos ir tiekėjų kontrolės priemonės

Reikalauja dokumentuotų patvirtinimų dėl darbuotojų stebėsenos, personalo duomenų tvarkytojų, darbo užmokesčio, HRIS, naudų ir patikros tiekėjų.

Skaityti visą apžvalgą (click to expand)
Darbuotojų privatumo politika apibrėžia privatumo reikalavimus darbuotojų asmens duomenims privačios informacijos apsaugos valdymo sistemoje. Jos taikymo sritis apima darbuotojų asmens duomenų rinkimą, naudojimą, atskleidimą, saugojimo sąsają, pranešimus, teisių įgyvendinimą, stebėseną, duomenų tvarkytojų pagalbą ir įrodymų valdymą. Politika taikoma duomenų valdytojo ir bendro duomenų valdytojo kontekstuose, kai organizacija nustato darbuotojų asmens duomenų tvarkymo tikslus ir priemones, taip pat duomenų tvarkytojo ir subtvarkytojo kontekstuose, kai organizacija tvarko darbuotojų asmens duomenis pagal dokumentuotus nurodymus. Darbuotojų asmens duomenys apibrėžiami plačiai ir apima informaciją, susijusią su darbuotojais, kandidatais į darbą, buvusiais darbuotojais, rangovais, laikinuoju personalu, praktikantais, komandiruotais darbuotojais ir kitais darbo jėgos dalyviais, kai organizacija tvarko jų asmens duomenis darbo jėgos, atrankos, darbo santykių, pasitelkimo, atlygio, naudų, saugumo, atitikties, darbo vietos administravimo ar susijusiais verslo tikslais. Centrinė politikos dalis yra jos įrodymų modelis. Politika nesukuria atskiro personalo privatumo registro, darbuotojų privatumo registro, darbuotojų stebėsenos registro, personalo tiekėjų registro, darbuotojų teisių registro ar darbuotojų incidentų registro. Vietoje to ji reikalauja, kad darbuotojų duomenų tvarkymo įrodymai būtų palaikomi kanoniniuose PIMS registruose: REG02 – tvarkymo veiklos apskaitai ir saugojimo sąsajai, REG04 – privatumo rizikai ir DPIA inicijavimo pagrindams, REG06 – darbuotojų prašymams įgyvendinti teises, REG07 – darbuotojų privatumo pranešimams, REG08 – personalo duomenų tvarkytojams ir tiekėjams, REG10 – darbuotojų asmens duomenų incidentams, o REG12 – išimtims, neatitiktims, korekciniams veiksmams, stebėsenos ir tobulinimo įrodymams. Ši struktūra palaiko politikos tikslą: darbuotojų asmens duomenys turi būti tvarkomi tik dokumentuotais, patvirtintais, skaidriais, proporcingais ir atskaitomais darbo jėgos tikslais, vengiant dubliuojančio personalui skirto įrodymų sluoksnio. Politikos nuostatos nustato išsamias operacines kontrolės priemones darbuotojų duomenų gyvavimo ciklui. Prieš renkant, generuojant, importuojant, naudojant ar atskleidžiant darbuotojų asmens duomenis, proceso savininkas / verslo savininkas turi REG02 įrašyti darbuotojų duomenų tvarkymo veiklą, įskaitant asmens duomenų kategorijas, darbuotojų grupę, rinkimo šaltinį, tvarkymo tikslą, sistemas, vidaus ir išorės gavėjų kategorijas bei saugojimo sąsają. Darbuotojų privatumo pranešimai turi būti palaikomi REG07 prieš tiesioginį ar netiesioginį rinkimą nauju arba iš esmės pakeistu tikslu. Politika reikalauja, kad darbuotojų asmens duomenys būtų naudojami tik patvirtintais tikslais, įrašytais REG02, ir kad vidaus gavėjų kategorijos, verslo poreikio sąlygos bei pasikartojantys išoriniai atskleidimai būtų dokumentuoti prieš pradedant atskleidimą. Įtariamas neautorizuotas atskleidimas, prieiga, praradimas arba netinkamas stebėsenos duomenų naudojimas turi būti per vieną darbo dieną nuo identifikavimo nukreiptas į REG10. Darbuotojų teisėms, stebėsenai ir personalo tiekėjų valdysenai skiriamas konkretus dėmesys. Darbuotojų prašymai įgyvendinti teises turi būti įrašomi arba nukreipiami REG06 per dvi darbo dienas, o procesų savininkų įvestys turi būti pateiktos per penkias darbo dienas nuo priskyrimo. Sudėtingiems prašymams, susijusiems su stebėsenos įrašais, asmens patikimumo patikrinimo įrašais, specialių kategorijų asmens duomenimis, trečiųjų šalių darbuotojų asmens duomenimis, teisiniais apribojimais arba automatizuotu sprendimų priėmimu, prieš atsisakymą, termino pratęsimą, apribojimą ar sudėtingą tvarkymą reikia duomenų apsaugos pareigūno (DAP) / privatumo konsultanto patarimo. Darbuotojų stebėsena turi būti dokumentuota REG02 prieš įjungimą arba esminį pakeitimą, nukreipta per REG04 pirminiam privatumo rizikos vertinimui arba DPIA poreikio vertinimui, kai jis inicijuojamas, pagrįsta aktualiais REG07 pranešimo arba komunikacijos įrodymais ir, kai įtraukta į REG02, atrankiniu būdu tikrinama REG12 ne rečiau kaip kartą per metus. Personalo duomenų tvarkytojai, darbo užmokesčio, HRIS, naudų, asmens patikimumo patikrinimo ir išorės personalo paslaugų teikėjai turi būti įrašyti REG08 prieš darbuotojų asmens duomenis atskleidžiant paslaugų teikėjui, suteikiant jam prieigą arba tvarkant juos per paslaugų teikėją. Valdysenos nuostatos priskiria pasikartojančias priežiūros ir politikos laikymosi atsakomybes. Privatumo vadovas / PIMS vadovas turi kas ketvirtį atlikti darbuotojų privatumo įrodymų peržiūras REG02, REG04, REG06, REG07, REG08, REG10 ir REG12 registruose, o aukščiausioji vadovybė tvirtina esminius politikos pakeitimus ir didelės rizikos darbuotojų privatumo išimtis. Rodikliai apima darbuotojų duomenų tvarkymo veiklų, turinčių aktualius REG02 įrašus, procentą, darbuotojų privatumo pranešimų aktualumą, atvirus darbuotojų privatumo rizikos ir DPIA nukreipimo elementus, darbuotojų prašymų įgyvendinti teises savalaikiškumą, personalo tiekėjų peržiūrų užbaigimą ir darbuotojų asmens duomenų incidentų tendencijas, kai incidentai įvyksta. Išimtys turi būti įrašytos REG12 prieš nukrypimą, joms turi būti priskirta ne ilgesnė kaip 90 dienų galiojimo pabaigos data ir jos turi būti peržiūrėtos prieš galiojimo pabaigą. Politikos taikymas reikalauja registruoti neatitiktis REG12, kai trūksta privalomų darbuotojų privatumo įrodymų, neleidžia patvirtinti darbuotojų stebėsenos be reikalingų įrodymų ir leidžia sustabdyti naujus darbuotojų asmens duomenų atskleidimus personalo tiekėjams, kai trūksta duomenų tvarkytojo, subtvarkytojo, nurodymų ar pagalbos įrodymų.

Politikos diagrama

Proceso srauto diagrama, rodanti darbuotojų asmens duomenų valdyseną nuo REG02 apskaitos ir REG07 pranešimų patikrų per REG04 rizikos / DPIA nukreipimą, REG08 personalo tiekėjų kontrolės priemones, REG06 teisių įgyvendinimą, REG10 incidentų nukreipimą ir REG12 stebėseną, išimtis bei tobulinimą.

Spustelėkite diagramą, kad peržiūrėtumėte visu dydžiu

Turinys

Darbuotojų duomenų tvarkymo veiklos apskaita ir personalo tikslų kontrolės priemonės

Darbuotojų privatumo pranešimų ir teisių įgyvendinimo reikalavimai

Darbuotojų stebėsenos ir didelio poveikio personalo duomenų tvarkymo taisyklės

Personalo duomenų tvarkytojų, darbo užmokesčio, HRIS, naudų ir patikros tiekėjų įrodymai

Saugojimo sąsaja, atskleidimas ir incidentų nukreipimas

Valdysenos, rodiklių, išimčių, politikos taikymo ir peržiūros reikalavimai

Sistemos atitiktis

🛡️ Palaikomi standartai ir sistemos

Šis produktas yra suderintas su šiomis atitikties sistemomis su išsamiu sąlygų ir kontrolės susiejimu.

Sistema Aptariamos sąlygos / Kontrolės
ISO/IEC 27701:2025
Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.1.2.2Annex A.1.2.3Annex A.1.2.6Annex A.1.2.8Annex A.1.2.9Annex A.1.2.7Annex A.2.2.2Annex A.2.2.3Annex A.2.2.6Annex A.2.2.7Annex A.1.3.2Annex A.1.3.6Annex A.1.3.7Annex A.1.3.10Annex A.1.3.11Annex A.1.4.2Annex A.1.4.3Annex A.1.4.5Annex A.1.4.8Annex A.1.4.9Annex A.1.5.4Annex A.1.5.5Annex A.2.5.4Annex A.2.5.5Annex A.2.5.6Annex A.3.14Annex A.3.25
EU GDPR
Article 5(1)(a)Article 5(1)(b)Article 5(1)(c)Article 5(1)(e)Article 5(2)Article 6Article 9Article 10Article 12Article 13Article 14Article 15Article 16Article 17Article 18Article 21Article 22Article 24Article 26Article 28Article 30Article 32Article 35Article 39
ISO/IEC 29100:2020
Clause 5.3Clause 5.4Clause 5.5Clause 5.6Clause 5.8Clause 5.9Clause 5.10Clause 5.11Clause 5.12
ISO/IEC 29151:2022
Annex A.3Annex A.4Annex A.5Annex A.7Annex A.10Clause 7.1.2Clause 7.1.3Clause 7.2.4Clause 7.3.2Clause 15.1.2Clause 15.2.2Clause 15.2.3
ISO/IEC 29134:2020
Clause 5.1Clause 6.2
ISO/IEC 27002:2022
Controls 5.34Controls 6.1Controls 6.2Controls 6.5Controls 6.6Controls 8.15Controls 8.16

Susijusios politikos

Tvarkymo veiklos apskaitos ir teisinio pagrindo politika

Darbuotojų duomenų tvarkymo veiklos, tikslai, asmens duomenų kategorijos, šaltiniai, sistemos, gavėjai ir saugojimo sąsaja pagal šią susijusią politiką įrašomi REG02.

Privatumo pranešimų ir skaidrumo politika

Darbuotojų privatumo pranešimai ir skaidrumo įrašai palaikomi REG07 prieš naują arba iš esmės pakeistą darbuotojų asmens duomenų rinkimą.

Duomenų subjektų teisių valdymo politika

Darbuotojų prašymai įgyvendinti teises nukreipiami per REG06 ir reikalauja pagrindžiančių įvesčių iš tvarkymo įrašų, sistemų, tiekėjų ir privatumo konsultantų.

Privatumo rizikos vertinimo ir DPIA politika

Didelio poveikio personalo duomenų tvarkymas, darbuotojų stebėsena ir jautrūs darbo jėgos duomenys nukreipiami per REG04 privatumo rizikos arba DPIA tvarkymui.

Duomenų tvarkytojų, subtvarkytojų ir trečiųjų šalių privatumo valdymo politika

Personalo duomenų tvarkytojai, darbo užmokesčio, HRIS, naudų, patikros ir išorės personalo paslaugos valdomos pagal REG08 tiekėjų įrodymų reikalavimus.

Incidentų ir pažeidimų valdymo politika

Įtariama neautorizuota prieiga prie darbuotojų asmens duomenų, jų atskleidimas, praradimas, kompromitavimas arba netinkamas stebėsenos duomenų naudojimas nukreipiamas į REG10 incidentų tvarkymui.

Apie Clarysec politikas - Darbuotojų privatumo politika

Privatumo valdysena nepavyksta, kai ji traktuojama kaip atskirų pranešimų, formų ir teisinių pareiškimų rinkinys. Veiksmingam ISO/IEC 27701 įgyvendinimui reikalinga privačios informacijos apsaugos valdymo sistema, kuri susieja asmens duomenų tvarkymą, teisinį pagrindą, duomenų valdytojo ir duomenų tvarkytojo vaidmenis, privatumo riziką, poveikio duomenų apsaugai vertinimus (DPIA), įrodymus, stebėseną ir nuolatinį tobulinimą. Šis politikų rinkinys sukurtas kaip operacinė privatumo sistema, o ne bendras dokumentacijos paketas. Jis apibrėžia aiškią PIMS atskaitomybę per praktinius įmonės vaidmenis, tokius kaip aukščiausioji vadovybė, Privatumo vadovas / PIMS vadovas, procesų savininkai, sistemų savininkai, tiekėjų / pirkimų savininkai, informacijos saugumas ir nepriklausomi peržiūrą atliekantys asmenys. Kiekvienas reikalavimas parašytas kaip unikaliai sunumeruota, audituojama nuostata ir susietas su apibrėžtais įrodymų objektais, tokiais kaip REG01, REG02, REG03, REG04, REG08, REG11 ir REG12. Struktūra palaiko duomenų valdytojo, bendro duomenų valdytojo, duomenų tvarkytojo ir subtvarkytojo kontekstus, padėdama organizacijoms parodyti atskaitingą, rizika grindžiamą ir įrodymais pagrįstą asmens duomenų tvarkymo valdymą per visą PIMS gyvavimo ciklą.

Kanoninis įrodymų modelis

Darbuotojų privatumo įrodymai laikomi esamuose PIMS registruose, o ne atskiruose personalui skirtuose registruose.

Stebėsenos apsaugos priemonės

Darbuotojų stebėsena reikalauja dokumentuoto tikslo, rizikos nukreipimo, pranešimo įrodymų ir metinės atrankinės patikros, kai patenka į taikymo sritį.

Plati darbo jėgos taikymo sritis

Taikoma darbuotojams, kandidatams, rangovams, praktikantams, komandiruotiems darbuotojams ir kitiems darbo jėgos dalyviams.

Tiekėjų įrodymų kontrolės priemonės

Personalo duomenų tvarkytojai, darbo užmokesčio, HRIS, naudų ir patikros teikėjai turi būti dokumentuoti REG08.

Dažniausiai užduodami klausimai

Sukurta lyderiams, lyderių

Šią politiką parengė saugumo lyderis, turintis daugiau nei 25 metų patirtį diegiant ir audituojant ISMS sistemas tarptautinėse organizacijose. Ji sukurta ne tik kaip dokumentas, bet kaip pagrįsta sistema, atlaikanti auditoriaus vertinimą.

Parengė ekspertas, turintis šias kvalifikacijas:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Aprėptis ir temos

🏢 Tiksliniai skyriai

privatumas teisė atitiktis žmogiškieji ištekliai DAP biuras

🏷️ Teminė aprėptis

privačios informacijos apsaugos valdymas asmens duomenų tvarkymas duomenų subjektų teisių valdymas poveikio privatumui vertinimas tvarkymo veiklos įrašai trečiųjų šalių valdymas duomenų saugojimas ir sunaikinimas
€49

Vienkartinis pirkimas

Momentinis atsisiuntimas
Visą gyvenimą trunkantys atnaujinimai

Ši politika yra 1 iš 25 visame ISO/IEC 27701 PIMS rinkinyje

Sutaupykite 52%

Gaukite visas 25 PIMS politikas, pilną registrų rinkinį ir išsamų įgyvendinimo planą už €799 vietoj €1 675 perkant atskirai.

Žiūrėti visą 27701 rinkinį →
Employee Privacy Policy

Produkto informacija

Tipas: policy
Kategorija: ISO 27701 PIMS Policy Pack
Standartai: 6