policy ISO 27701 PIMS Policy Pack

Duomenų tvarkytojų, subtvarkytojų ir trečiųjų šalių privatumo valdymo politika

Valdykite duomenų tvarkytojų, subtvarkytojų ir trečiųjų šalių PII santykius naudodami REG08 įrodymus, deramą patikrinimą, sutartis, stebėseną ir pasitraukimo kontrolės priemones.

Apžvalga

Ši politika reglamentuoja duomenų tvarkytojus, subtvarkytojus ir trečiąsias šalis, tvarkančias PII. Joje REG08 naudojamas kaip pagrindinis įrodymų registras ir apibrėžiami reikalavimai dėl vaidmenų klasifikavimo, deramo patikrinimo, sutarčių, kliento nurodymų, subtvarkytojų patvirtinimų, stebėsenos, incidentų sąsajų, perdavimo įrašų, pasitraukimo įrodymų ir korekcinių veiksmų.

Trečiųjų šalių gyvavimo ciklo kontrolė

Apibrėžia, kaip identifikuojami, patvirtinami, stebimi, keičiami ir užbaigiami duomenų tvarkytojai, subtvarkytojai ir PII tvarkančios trečiosios šalys.

Auditui tinkami REG08 įrodymai

REG08 naudojamas kaip pagrindinis registras, susiejant santykius su tvarkymo, rizikos, perdavimo, incidentų ir korekcinių veiksmų įrašais.

Aiški vaidmenų atskaitomybė

Pareigos priskiriamos privatumo, pirkimų, saugumo, procesų savininkų, sistemų savininkų, reagavimo į incidentus ir aukščiausiosios vadovybės funkcijoms.

Skaityti visą apžvalgą (click to expand)
Duomenų tvarkytojų, subtvarkytojų ir trečiųjų šalių privatumo valdymo politika apibrėžia, kaip organizacija valdo išorės šalis, kurios tvarko, pasiekia, gauna, saugo, perduoda, palaiko ar kitaip tvarko PII privatumo informacijos valdymo sistemos taikymo srityje. Ji taikoma, kai organizacija veikia kaip PII duomenų valdytoja, pasitelkianti duomenų tvarkytojus, kaip bendra duomenų valdytoja, kuriai būtinas vaidmenų klasifikavimas, kaip duomenų tvarkytoja, pasitelkianti subtvarkytojus ar subtiekėjus, ir kaip subtvarkytoja, gaunanti kliento nurodymus. Politika taip pat apima santykius su trečiosiomis šalimis, kuriems reikalingas privatumo deramas patikrinimas, sutarčių kontrolės priemonės, dokumentuoti nurodymai, subtvarkytojų patvirtinimas, stebėsena, patikinimas, incidentų sąsaja, perdavimo sąsaja ir grąžinimo, ištrynimo arba pasitraukimo įrodymai. Pagrindinė politikos savybė yra REG08 — Duomenų tvarkytojų, subtvarkytojų ir dalijimosi duomenimis registro — naudojimas kaip pagrindinio įrodymų objekto duomenų tvarkytojų, subtvarkytojų ir trečiųjų šalių privatumo valdymui. Politikoje reikalaujama, kad privatumo vadovas / PIMS vadovas apibrėžtų minimalius REG08 laukus ir prieš sutarties patvirtinimą arba prieš pradedant PII tvarkymą klasifikuotų privatumo santykius su trečiąja šalimi kaip duomenų valdytojo, bendro duomenų valdytojo, duomenų tvarkytojo, subtvarkytojo arba kitus santykius su trečiąja šalimi. Joje taip pat reikalaujama, kad tiekėjo / pirkimų savininkas blokuotų tiekėjų įtraukimą, atnaujinimą ar išplėtimą, kol REG08 bus užpildytas ir susietas su tokiais įrašais kaip REG02, REG04, REG09 ar REG10, kai šie įrodymų objektai inicijuojami. Taip sukuriama dokumentuota sąsaja tarp santykių valdysenos, tvarkymo veiklos apskaitos, rizikos ir DPIA įrašų, tarptautinio perdavimo įrodymų, incidentų įrašų ir korekcinių veiksmų. Politikoje nustatomi išsamūs deramo patikrinimo, rizikos vertinimo ir sutartinės kontrolės reikalavimai. Privatumo deramas patikrinimas turi būti atliktas prieš pasirenkant, atnaujinant arba iš esmės keičiant duomenų tvarkytojo, subtvarkytojo ar trečiosios šalies santykius, kai tvarkoma arba pasiekiama PII. Prieš patvirtinimą informacijos saugumo vadovas turi peržiūrėti saugumo patikinimo įrodymus, o didelės rizikos santykiai su duomenų tvarkytoju arba esminiai privatumo santykių su trečiąja šalimi pakeitimai inicijuoja privatumo rizikos ir pirminį DPIA poreikio vertinimą REG04. Sutarties ir dokumentuotų nurodymų kontrolės priemonės atskiriamos duomenų valdytojo ir duomenų tvarkytojo kontekstuose. Veikdama kaip duomenų valdytoja, organizacija turi užregistruoti rašytinę duomenų tvarkytojo sutartį arba lygiavertį privalomą susitarimą prieš duomenų tvarkytojui tvarkant PII. Organizacijai veikiant kaip duomenų tvarkytojai, klientų sutartys arba dokumentuoti kliento nurodymai turi apibrėžti autorizuotą tvarkymo taikymo sritį prieš tvarkant kliento PII. Politikoje taip pat reikalaujama sutartyse apimti pagalbą, saugumo patikinimą, incidentų sąsają per PII15, grąžinimą arba ištrynimą per PII10, perdavimo sąsają per PII13 ir bendradarbiavimą audito ar patikinimo srityje. Subtvarkytojų ir subtiekėjų valdysena reglamentuojama konkrečiais patvirtinimo, pranešimo, toliau perduodamų prievolių ir stebėsenos reikalavimais. Tiekėjo / pirkimų savininkas turi REG08 palaikyti subtvarkytojų ir subtiekėjų sąrašą, prieš pasitelkimą patikrinti kliento leidimą, pagal taikomą susitarimą pranešti klientams apie numatomus naujus ar pakeičiančius subtvarkytojus ir užtikrinti toliau perduodamas privatumo, saugumo, pagalbos, grąžinimo, ištrynimo, incidentų sąsajos ir perdavimo sąsajos prievoles prieš bet kuriam subtvarkytojui tvarkant PII. Duomenų valdytojo pusėje subtvarkytojo pakeitimo pranešimai taip pat turi būti sekami, o patvirtinimo, prieštaravimo arba eskalavimo sprendimai turi būti įrašomi REG08 per sutartyje nustatytą prieštaravimo laikotarpį arba per 10 darbo dienų nuo pranešimo gavimo, atsižvelgiant į tai, kuris terminas trumpesnis. Politika užbaigia gyvavimo ciklą nuolatine stebėsena, pagalbos tvarkymu, atskleidimo registravimu, incidentų sąsaja, perdavimo sąsaja, pasitraukimo įrodymais, išimtimis, įgyvendinimu ir peržiūra. Didelės rizikos santykiai su duomenų tvarkytojais ir subtvarkytojais stebimi kas ketvirtį, o kiti aktyvūs PII duomenų tvarkytojų ir subtvarkytojų santykiai stebimi kasmet. Pagalbos prašymai dėl duomenų subjektų teisių, DPIA, saugumo įrodymų, auditų ar klientų patikinimo turi būti koordinuojami per REG08 ir, kai taikoma, susiejami su REG06, REG04 arba REG12. Su tiekėjais susiję privatumo incidentų pranešimai per vieną darbo dieną nukreipiami į REG10 pagal PII15, o grąžinimo, ištrynimo, sunaikinimo ar perėjimo įrodymai turi būti gauti per 30 dienų po nutraukimo, galiojimo pabaigos, kliento nurodymo ar patvirtinto pasitraukimo įvykio, nebent taikomas trumpesnis sutartinis laikotarpis. Išimtys yra terminuotos, reikalauja privatumo poveikio vertinimo ir gali reikalauti aukščiausiosios vadovybės patvirtinimo, kai paveikiamas didelės rizikos tvarkymas, trūkstami sutarties įrodymai, perdavimo sąsajos spragos arba sertifikavimo taikymo sritis.

Politikos diagrama

Proceso srauto schema, rodanti santykių su PII tvarkančia trečiąja šalimi identifikavimą REG08, vaidmenų klasifikavimą, deramą patikrinimą ir saugumo patikinimą, sutarties arba nurodymų patvirtinimą, subtvarkytojų kontrolės priemones, stebėseną, incidentų ir perdavimo sąsajas, pasitraukimo įrodymus ir korekcinius veiksmus.

Spustelėkite diagramą, kad peržiūrėtumėte visu dydžiu

Turinys

REG08 santykių klasifikavimo ir įrodymų reikalavimai

Privatumo deramas patikrinimas ir saugumo patikinimas

Duomenų tvarkytojų sutartys ir dokumentuoti kliento nurodymai

Subtvarkytojų patvirtinimo, pranešimo ir toliau perduodamų prievolių reikalavimai

Nuolatinė stebėsena, incidentų sąsaja ir perdavimo įrašai

Pasitraukimo, grąžinimo, ištrynimo ir korekcinių veiksmų įrodymai

Sistemos atitiktis

🛡️ Palaikomi standartai ir sistemos

Šis produktas yra suderintas su šiomis atitikties sistemomis su išsamiu sąlygų ir kontrolės susiejimu.

Sistema Aptariamos sąlygos / Kontrolės
ISO/IEC 27701:2025
Clause 4.1Clause 6.1.2Clause 8.2Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.1.2.7Annex A.1.2.9Annex A.2.2.2Annex A.2.2.3Annex A.2.2.5Annex A.2.2.6Annex A.2.2.7Annex A.2.3.2Annex A.2.4.3Annex A.2.5.4Annex A.2.5.5Annex A.2.5.6Annex A.2.5.7Annex A.2.5.8Annex A.2.5.9
EU GDPR
Article 5(2)Article 24Article 26Article 28Article 30Article 32
ISO/IEC 29100:2020
Clause 5.10Clause 5.11Clause 5.12
ISO/IEC 29151:2022
Clause 15.1.2Clause 15.2.2Clause 15.2.3
ISO/IEC 27002:2022
Control 5.19Control 5.20Control 5.21Control 5.22Control 5.23
ISO/IEC 27018:2020
Annex A.2.1Annex A.3.1Annex A.6.1Annex A.6.2Annex A.8.1Annex A.10.1Annex A.10.3Annex A.11.11Annex A.11.12Annex A.12.1
ISO/IEC 27036-2:2022
Clause 6.1.1Clause 6.1.2Clause 7.1Clause 7.2Clause 7.3Clause 7.4Clause 7.5

Susijusios politikos

Tvarkymo veiklos apskaitos ir teisinio pagrindo politika

REG08 santykių įrašai, kai taikoma, turi būti susieti su REG02 tvarkymo veiklos apskaitos ir teisinio pagrindo įrašais.

Privatumo rizikos vertinimo ir DPIA politika

Didelės rizikos santykiai su duomenų tvarkytoju ir esminiai privatumo santykių su trečiąja šalimi pakeitimai inicijuoja privatumo rizikos ir pirminį DPIA poreikio vertinimą REG04.

Saugojimo, ištrynimo ir sunaikinimo politika

Duomenų tvarkytojų ir subtvarkytojų sutartyse bei pasitraukimo veiksmuose turi būti aptariami grąžinimo, ištrynimo, sunaikinimo ir perėjimo įrodymai per PII10.

Tarptautinio perdavimo politika

Tvarkymo vietos, prieglobos vietos ir perdavimo indikatoriai REG08 turi būti susieti su taikomais REG09 perdavimo įrodymais.

Saugumo ir prieigos kontrolės politika

Saugumo patikinimas, prieigos kontrolės įrodymai, tiekėjų prieiga ir darbo santykių nutraukimo proceso kontrolės priemonės palaiko trečiųjų šalių PII valdyseną.

Incidentų ir pažeidimų valdymo politika

Su tiekėjais susiję privatumo incidentų pranešimai ir pagalbos prašymai nukreipiami į REG10 pagal PII15 su REG08 sąsaja.

Apie Clarysec politikas - Duomenų tvarkytojų, subtvarkytojų ir trečiųjų šalių privatumo valdymo politika

Ši politika nustato operacinę privatumo valdyseną duomenų tvarkytojams, subtvarkytojams, pagal subrangą pasitelktiems PII tvarkytojams, tiekėjams, paslaugų teikėjams, debesijos paslaugų teikėjams ir kitoms trečiosioms šalims, kurios tvarko PII arba daro jai poveikį PIMS taikymo srityje. Joje apibrėžiama, kaip santykiai klasifikuojami, vertinami, patvirtinami, įforminami sutartimis, instruktuojami, stebimi, keičiami ir užbaigiami, REG08 naudojant kaip pagrindinį įrodymų objektą ir, kai taikoma, reikalaujant sąsajų su tvarkymo veiklos apskaita, rizikos, perdavimo, incidentų, komunikacijos, dokumentuotos informacijos ir korekcinių veiksmų įrašais.

Apibrėžta santykių taikymo sritis

Apima duomenų tvarkytojus, subtvarkytojus, subtiekėjus, tiekėjus, paslaugų teikėjus, debesijos paslaugų teikėjus ir kitas PII tvarkančias trečiąsias šalis.

Deramas patikrinimas prieš patvirtinimą

Reikalauja privatumo deramo patikrinimo, saugumo patikinimo ir, kai inicijuojama, rizikos arba pirminio DPIA poreikio vertinimo prieš patvirtinimą.

Sutarčių ir nurodymų kontrolės priemonės

REG08 dokumentuojamos duomenų tvarkytojų sutartys, kliento nurodymai, toliau perduodamos prievolės ir patvirtinti pakeitimai.

Stebėsena ir įgyvendinimas

Nustatomi peržiūros dažniai, išimčių tvarkymas, blokavimo taisyklės, neatitikčių inicijavimo sąlygos ir korekcinių veiksmų įrodymai.

Dažniausiai užduodami klausimai

Sukurta lyderiams, lyderių

Šią politiką parengė saugumo lyderis, turintis daugiau nei 25 metų patirtį diegiant ir audituojant ISMS sistemas tarptautinėse organizacijose. Ji sukurta ne tik kaip dokumentas, bet kaip pagrįsta sistema, atlaikanti auditoriaus vertinimą.

Parengė ekspertas, turintis šias kvalifikacijas:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Aprėptis ir temos

🏢 Tiksliniai skyriai

Privatumas Teisė Atitiktis IT saugumas Pirkimai

🏷️ Teminė aprėptis

Trečiųjų šalių valdymas Duomenų valdytojo ir duomenų tvarkytojo atsakomybės Asmens duomenų tvarkymas Tvarkymo veiklos įrašai Tarptautiniai duomenų perdavimai Rizikos valdymas Atitikties valdymas
€89

Vienkartinis pirkimas

Momentinis atsisiuntimas
Visą gyvenimą trunkantys atnaujinimai

Ši politika yra 1 iš 25 visame ISO/IEC 27701 PIMS rinkinyje

Sutaupykite 52%

Gaukite visas 25 PIMS politikas, pilną registrų rinkinį ir išsamų įgyvendinimo planą už €799 vietoj €1 675 perkant atskirai.

Žiūrėti visą 27701 rinkinį →
Processor, Subprocessor and Third-Party Privacy Management Policy

Produkto informacija

Tipas: policy
Kategorija: ISO 27701 PIMS Policy Pack
Standartai: 7