policy ISO 27701 PIMS Policy Pack

Privatumo rizikos vertinimo ir DPIA politika

Su ISO 27701 suderinta Privatumo rizikos vertinimo ir DPIA politika, skirta pirminiam vertinimui, rizikos tvarkymui, liekamosios rizikos patvirtinimui ir REG04 įrodymams.

Apžvalga

Ši politika apibrėžia, kaip atliekamas pirminis privatumo rizikos vertinimas ir DPIA poreikio vertinimas, kaip vykdomi, tvarkomi, tvirtinami, peržiūrimi ir pagrindžiami DPIA. Joje įrodymai sutelkiami REG04, susiejami su pagalbiniais registrais ir nustatomi reikalavimai didelės rizikos duomenų valdytojo atliekamam tvarkymui, duomenų tvarkytojo pagalbai atliekant DPIA, liekamosios rizikos patvirtinimui, išankstinei konsultacijai, stebėsenai, išimtims ir politikos taikymui.

Rizika grindžiama DPIA kontrolė

Apibrėžia pirminį vertinimą, išsamaus DPIA paleidiklius, rizikos tvarkymą, liekamosios rizikos patvirtinimą ir sprendimus dėl išankstinės konsultacijos prieš pradedant didelės rizikos tvarkymą.

Įrodymais grindžiama valdysena

Reikalauja REG04 privatumo rizikos ir DPIA įrašų, susietų su REG02, REG03, REG08, REG10, REG11 ir REG12 įrodymais.

Aiški vaidmenų atskaitomybė

Priskiria veiksmus verslo, privatumo, saugumo, sistemos, tiekėjų, audito, DAP arba privatumo konsultanto ir aukščiausiosios vadovybės vaidmenims.

Skaityti visą apžvalgą (click to expand)
Privatumo rizikos vertinimo ir DPIA politika apibrėžia, kaip organizacija identifikuoja, vertina, tvarko, tvirtina, peržiūri ir dokumentuoja privatumo rizikas PIMS taikymo srityje. Jos tikslas – užtikrinti, kad privatumo rizikos ir DPIA įpareigojimai būtų įvertinti prieš tai, kai AII tvarkymas sukuria nepriimtiną riziką duomenų subjektams arba PIMS. Politika taikoma naujoms ir iš esmės pakeistoms AII tvarkymo veikloms duomenų valdytojo, bendrojo duomenų valdytojo, duomenų tvarkytojo ir subtvarkytojo kontekstuose. Ji taip pat apima sistemas, taikomąsias programas, paslaugas, verslo procesus, tiekėjus, duomenų tvarkytojus, subtvarkytojus, tarptautinius perdavimus ir duomenų bendrinimo susitarimus, kurie daro poveikį AII tvarkymui. Centrinė politikos dalis yra REG04 grindžiamas veiklos modelis. Pirminis privatumo rizikos vertinimas, pirminis DPIA poreikio vertinimas, rizikos vertinimas, rizikos tvarkymo planai, liekamosios rizikos priėmimas, sprendimai dėl konsultacijos, patvirtinimai ir peržiūros būsena dokumentuojami REG04, o pagalbiniai įrodymai susiejami su REG02, REG03, REG08, REG09, REG10, REG11 ir REG12. Politika aiškiai vengia atskirų DPIA, rizikos arba konsultacijų registrų kūrimo už REG04 ribų. Tai padeda išlaikyti vieną įrodymų pėdsaką pirminio vertinimo rezultatams, išsamaus DPIA sprendimams, rizikos lygiams, rizikos tvarkymo savininkams, įvykdymo terminams, liekamajai rizikai, patvirtinimo būsenai ir peržiūros datoms. Politikoje nustatomi privalomi pirminio privatumo rizikos vertinimo ir išsamaus DPIA nustatymo paleidikliai. Procesų savininkai / verslo savininkai turi inicijuoti REG04 pirminį vertinimą prieš pradedant naują arba iš esmės pakeistą tvarkymą, įrašytą REG02. Duomenų valdytojo atliekamam tvarkymui, kuris, tikėtina, sukels didelę riziką, prieš pradedant tvarkymą reikalingas išsamus poveikio duomenų apsaugai vertinimas (DPIA). Politikoje nurodoma, kad tvarkymas, susijęs su didelio masto veikla, sistemine stebėsena, profiliavimu, automatizuotais sprendimais, specialiųjų kategorijų AII, duomenimis apie apkaltinamuosius nuosprendžius ar nusikalstamas veikas, pažeidžiamais duomenų subjektais, inovatyviomis technologijomis ir esminiu tvarkymo pakeitimu, turi būti perduotas privatumo vadovui / PIMS vadovui prieš pradedant tvarkymą. Taip pat reikalaujama pakartotinio pirminio vertinimo prieš naudojant AII naujam tikslui, pridedant naują gavėją, įtraukiant naują duomenų tvarkytoją arba subtvarkytoją, keičiant sistemos architektūrą arba pradedant naują tarptautinį perdavimą. Rizikos tvarkymas ir eskalavimas taip pat aiškiai apibrėžti. Kai privatumo rizika viršija patvirtintą priėmimo slenkstį, proceso savininkas / verslo savininkas turi REG04 įrašyti rizikos tvarkymo planą prieš tęsiant tvarkymą. Saugumo, sistemos projektavimo, tiekėjų, sutartiniai ir patikinimo veiksmai priskiriami atitinkamam vaidmeniui ir turi būti įgyvendinti prieš paleidimą gamybinėje aplinkoje, tiekėjų įtraukimą, atnaujinimą arba patvirtintą įvykdymo terminą. Didelė liekamoji privatumo rizika duomenų valdytojo atliekamo tvarkymo atveju reikalauja aukščiausiosios vadovybės patvirtinimo prieš pradedant arba tęsiant tvarkymą. Kai po rizikos tvarkymo išlieka didelė liekamoji rizika, privatumo vadovas / PIMS vadovas įrašo sprendimą dėl išankstinės konsultacijos REG04, o aukščiausioji vadovybė patvirtina tęsimą, sustabdymą, perprojektavimą arba konsultacijos veiksmus prieš tęsiant tvarkymą. Valdysenos, stebėsenos ir politikos taikymo reikalavimai užtikrina, kad procesas išliktų aktyvus po pradinio patvirtinimo. Privatumo vadovas / PIMS vadovas kas mėnesį peržiūri atviras privatumo rizikas ir vėluojančius rizikos tvarkymo veiksmus, kas ketvirtį ir prieš vadovybės peržiūrą teikia ataskaitas apie privatumo rizikų ir DPIA būseną, taip pat sulygina aktyvius REG04 rizikos įrašus su REG02 tvarkymo veiklos apskaitos įrašais. Politika apibrėžia pirminio vertinimo aprėpties, aktyvių išsamių DPIA, vėluojančių peržiūrų, didelių liekamųjų rizikų, rizikos tvarkymo veiksmų būsenos, vidutinio uždarymo laiko, tiekėjų veiksmų, saugumo rizikos tvarkymo veiksmų, incidentų inicijuoto pakartotinio vertinimo ir audito išvadų rodiklius. Išimtys turi būti prašomos prieš nukrypimą, įvertinamos pagal privatumo, teisės, sertifikavimo, operacinį ir duomenų subjektų poveikį, ir joms turi būti nustatyta galiojimo pabaigos data, neviršijanti 90 dienų. Trūkstami, netikslūs, neišsamūs, vėluojantys arba nepatvirtinti REG04 įrodymai laikomi neatitiktimi REG12.

Politikos diagrama

Proceso srauto schema, rodanti, kaip REG02 tvarkymo veiklos apskaita inicijuoja REG04 pirminį privatumo rizikos vertinimą, DPIA sprendimą, vertinimo įvestis, rizikos tvarkymo veiksmus, liekamosios rizikos patvirtinimą, išankstinę konsultaciją, REG12 ataskaitų teikimą, audito peržiūrą ir nuolatinį pakartotinį vertinimą.

Spustelėkite diagramą, kad peržiūrėtumėte visu dydžiu

Turinys

Pirminio privatumo rizikos vertinimo kriterijai ir DPIA paleidikliai

Išsamaus DPIA vykdymo ir patvirtinimo reikalavimai

Rizikos tvarkymo planai ir liekamosios rizikos priėmimas

Sprendimo dėl išankstinės konsultacijos ir eskalavimo procesas

REG04 įrodymų valdymas ir pagalbiniai registrai

Stebėsena, rodikliai, išimtys ir politikos taikymas

Sistemos atitiktis

🛡️ Palaikomi standartai ir sistemos

Šis produktas yra suderintas su šiomis atitikties sistemomis su išsamiu sąlygų ir kontrolės susiejimu.

Sistema Aptariamos sąlygos / Kontrolės
ISO/IEC 27701:2025
Clause 6.1.1Clause 6.1.2Clause 6.1.3Clause 6.3Clause 7.5Clause 8.1Clause 8.2Clause 8.3Clause 9.1Clause 9.3Clause 10.2Annex A.1.2.6Annex A.1.2.9Annex A.2.2.2Annex A.2.2.6
EU GDPR
Article 5(2)Article 24Article 25Article 28Article 30Article 32Article 35Article 36Article 39
ISO/IEC 29100:2020
Clause 4.7Clause 5.11Clause 5.12
ISO/IEC 29134:2020
Clause 1Clause 5.1Clause 6.2Clause 6.3
ISO/IEC 29151:2022
Clause 4.1Clause 4.2
ISO/IEC 27557:2022
Clause 4Clause 5.2Clause 5.3Clause 6.4Clause 6.5Clause 6.6Clause 6.7

Susijusios politikos

Tvarkymo veiklos apskaitos ir teisinio pagrindo politika

REG02 tvarkymo veiklos apskaitos įrašai pateikia reikalingus įvesties duomenis REG04 privatumo rizikos vertinimui ir DPIA įrodymams.

Privatumo pagal projektavimą ir pagal numatytuosius nustatymus politika

Privatumo pagal projektavimą ir privatumo pagal numatytuosius nustatymus įvesties duomenys reikalingi prieš patvirtinant paleidimą gamybinėje aplinkoje sistemoms, tvarkančioms AII.

Duomenų tvarkytojų, subtvarkytojų ir trečiųjų šalių privatumo valdymo politika

Tiekėjų, duomenų tvarkytojų, subtvarkytojų, duomenų bendrinimo ir klientų DPIA pagalbos įrodymai palaikomi per REG08 ir REG04.

Tarptautinio perdavimo politika

Nauji tarptautiniai perdavimai yra esminiai pakeitimai, kuriems prieš pradžią reikalingas pakartotinis pirminis privatumo rizikos vertinimas REG04.

Saugumo ir prieigos kontrolės politika

AII saugumo kontrolės priemonių įvesties duomenys ir rizikos tvarkymo būsena REG03 palaiko privatumo rizikos tvarkymo patvirtinimą ir stebėseną.

PIMS stebėsenos, audito ir tobulinimo politika

Privatumo rizika, DPIA įrodymai, audito išvados, korekciniai veiksmai ir vadovybės peržiūros rezultatai pateikiami ir peržiūrimi REG12.

Apie Clarysec politikas - Privatumo rizikos vertinimo ir DPIA politika

Privatumo valdysena neveikia, kai ji traktuojama kaip nesusijusių pranešimų, formų ir teisinių pareiškimų rinkinys. Veiksmingas ISO/IEC 27701 įgyvendinimas reikalauja privačios informacijos apsaugos valdymo sistemos, kuri susietų AII tvarkymą, teisinį pagrindą, duomenų valdytojo ir duomenų tvarkytojo vaidmenis, privatumo riziką, DPIA, įrodymus, stebėseną ir nuolatinį tobulinimą. Ši politika apibrėžia operacinį privatumo rizikos vertinimo ir DPIA valdymo procesą. Ji reikalauja pirminio vertinimo prieš naują arba iš esmės pakeistą AII tvarkymą, išsamių DPIA dėl didelės rizikos duomenų valdytojo atliekamo tvarkymo, dokumentuotos duomenų tvarkytojo pagalbos atliekant DPIA, kai to reikia, rizikos tvarkymo planavimo, liekamosios rizikos priėmimo, sprendimų dėl išankstinės konsultacijos ir periodinės peržiūros. Kiekvienas reikalavimas parašytas kaip numeruota, audituojama nuostata ir susietas su įrodymų objektais, tokiais kaip REG02, REG03, REG04, REG08, REG10, REG11 ir REG12. Struktūra palaiko duomenų valdytojo, bendrojo duomenų valdytojo, duomenų tvarkytojo ir subtvarkytojo kontekstus, padėdama organizacijoms įrodyti atskaitingą, rizika grindžiamą ir įrodymais pagrįstą AII tvarkymo valdymą per visą PIMS gyvavimo ciklą.

Pirminis vertinimas prieš tvarkymą

Reikalauja REG04 pirminio vertinimo prieš pradedant naują arba iš esmės pakeistą AII tvarkymą, įrašytą REG02.

DPIA sprendimo įrodymai

REG04 dokumentuoja išsamaus DPIA sprendimus, duomenų valdytojo didelės rizikos tvarkymo pagrindimą ir DAP arba privatumo konsultanto patarimą.

Apibrėžti savininkai

Priskiria privatumo, verslo, saugumo, sistemos, tiekėjų, incidentų, audito ir aukščiausiosios vadovybės atsakomybes.

Liekamosios rizikos priežiūra

Reikalauja aukščiausiosios vadovybės patvirtinimo prieš pradedant arba tęsiant tvarkymą, kai išlieka didelė liekamoji privatumo rizika.

Stebėsena ir peržiūra

Nustato mėnesinius, ketvirtinius, metinius, audito ir vadovybės peržiūros kontrolinius taškus rizikoms, DPIA ir rizikos tvarkymo veiksmams.

Dažniausiai užduodami klausimai

Sukurta lyderiams, lyderių

Šią politiką parengė saugumo lyderis, turintis daugiau nei 25 metų patirtį diegiant ir audituojant ISMS sistemas tarptautinėse organizacijose. Ji sukurta ne tik kaip dokumentas, bet kaip pagrįsta sistema, atlaikanti auditoriaus vertinimą.

Parengė ekspertas, turintis šias kvalifikacijas:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Aprėptis ir temos

🏢 Tiksliniai skyriai

Privatumas Teisė Atitiktis IT saugumas DAP biuras

🏷️ Teminė aprėptis

Privačios informacijos apsaugos valdymas poveikio privatumui vertinimas rizikos valdymas privatumas pagal projektavimą trečiųjų šalių valdymas tarptautiniai duomenų perdavimai stebėsena ir matavimas
€79

Vienkartinis pirkimas

Momentinis atsisiuntimas
Visą gyvenimą trunkantys atnaujinimai

Ši politika yra 1 iš 25 visame ISO/IEC 27701 PIMS rinkinyje

Sutaupykite 52%

Gaukite visas 25 PIMS politikas, pilną registrų rinkinį ir išsamų įgyvendinimo planą už €799 vietoj €1 675 perkant atskirai.

Žiūrėti visą 27701 rinkinį →
Privacy Risk Assessment and DPIA Policy

Produkto informacija

Tipas: policy
Kategorija: ISO 27701 PIMS Policy Pack
Standartai: 6