policy ISO 27701 PIMS Policy Pack

Darbinieku privātuma politika

Darbinieku privātuma politika PIMS vajadzībām: pārvalda personāla personas datus, paziņojumus, tiesības, uzraudzību, personālvadības piegādātājus, incidentus un pierādījumu reģistrus.

Pārskats

Šī Darbinieku privātuma politika pārvalda personāla personas datus visā vākšanas, izmantošanas, paziņojumu, tiesību, uzraudzības, piegādātāju, glabāšanas sasaistes, incidentu un pierādījumu jomā. Tā saglabā darbinieku privātuma pierādījumus REG02, REG04, REG06, REG07, REG08, REG10 un REG12, nevis veido atsevišķus personālvadības privātuma reģistrus.

Uz pierādījumiem balstīta personālvadības privātuma pārvaldība

Sasaista darbinieku personas datu apstrādi ar REG02, REG04, REG06, REG07, REG08, REG10 un REG12, neveidojot dublējošus personālvadības reģistrus.

Personāla personas datu tvērums

Aptver darbiniekus, kandidātus, bijušos darbiniekus, līgumslēdzējus, praktikantus, norīkotus darbiniekus un citus darba vidē iesaistītus dalībniekus.

Uzraudzības un piegādātāju kontroles pasākumi

Prasa dokumentētus apstiprinājumus darbinieku uzraudzībai, personālvadības apstrādātājiem, darba samaksas, HRIS, labumu un pārbaudes pakalpojumu piegādātājiem.

Lasīt pilnu pārskatu (click to expand)
Darbinieku privātuma politika nosaka privātuma prasības darbinieku personas datiem privātuma informācijas pārvaldības sistēmā. Tās piemērošanas joma ietver darbinieku personas datu vākšanu, izmantošanu, izpaušanu, glabāšanas sasaisti, paziņojumus, tiesību pieprasījumu apstrādi, uzraudzību, apstrādātāju atbalstu un pierādījumu pārvaldību. Politika attiecas uz pārziņa un kopīgā pārziņa kontekstiem, kuros organizācija nosaka darbinieku personas datu apstrādes nolūkus un līdzekļus, kā arī uz apstrādātāja un apakšapstrādātāja kontekstiem, kuros organizācija apstrādā darbinieku personas datus saskaņā ar dokumentētiem norādījumiem. Darbinieku personas dati tiek definēti plaši, ietverot informāciju par darbiniekiem, amata kandidātiem, bijušajiem darbiniekiem, līgumslēdzējiem, pagaidu personālu, praktikantiem, norīkotiem darbiniekiem un citiem darba vidē iesaistītiem dalībniekiem, ja organizācija apstrādā viņu personas datus personāla, atlases, nodarbinātības, iesaistes, atlīdzības, labumu, drošības, atbilstības, darba vietas administrēšanas vai saistītiem darbības nolūkiem. Politikas centrālais elements ir tās pierādījumu modelis. Politika neveido atsevišķu personālvadības privātuma reģistru, darbinieku privātuma reģistru, darbinieku uzraudzības reģistru, personālvadības piegādātāju reģistru, darbinieku tiesību reģistru vai darbinieku incidentu reģistru. Tā vietā politika prasa darbinieku apstrādes pierādījumus uzturēt kanoniskajos PIMS reģistros: REG02 — apstrādes uzskaitei un glabāšanas sasaistei, REG04 — privātuma risku un DPIA trigeriem, REG06 — darbinieku tiesību pieprasījumiem, REG07 — darbinieku privātuma paziņojumiem, REG08 — personālvadības apstrādātājiem un piegādātājiem, REG10 — darbinieku personas datu incidentiem, un REG12 — izņēmumiem, neatbilstībām, korektīvajām darbībām, uzraudzībai un uzlabošanas pierādījumiem. Šī struktūra atbalsta politikas mērķi: darbinieku personas dati ir jāapstrādā tikai dokumentētiem, apstiprinātiem, pārredzamiem, samērīgiem un pārskatatbildīgiem personāla nolūkiem, vienlaikus izvairoties no dublējoša, personālvadībai specifiska pierādījumu slāņa. Politikas noteikumi nosaka detalizētus darbības kontroles pasākumus darbinieku datu dzīves ciklam. Pirms darbinieku personas dati tiek vākti, ģenerēti, importēti, izmantoti vai izpausti, Procesa īpašniekam / uzņēmuma īpašniekam REG02 jāreģistrē darbinieku apstrādes darbība, tostarp personas datu kategorijas, darbinieku populācija, vākšanas avots, apstrādes nolūks, sistēmas, iekšējo un ārējo saņēmēju kategorijas un glabāšanas sasaiste. Darbinieku privātuma paziņojumi jāuztur REG07 pirms tiešas vai netiešas vākšanas jaunam vai būtiski mainītam nolūkam. Politika prasa darbinieku personas datus izmantot tikai apstiprinātiem nolūkiem, kas reģistrēti REG02, un prasa pirms izpaušanas sākšanas dokumentēt iekšējo saņēmēju kategorijas, ar darbības vajadzību saistītos nosacījumus un atkārtotas ārējas izpaušanas. Aizdomas par nesankcionētu izpaušanu, piekļuvi, zudumu vai uzraudzības datu nepareizu lietošanu jāvirza uz REG10 vienas darba dienas laikā pēc identificēšanas. Īpaša uzmanība tiek pievērsta darbinieku tiesībām, uzraudzībai un personālvadības piegādātāju pārvaldībai. Darbinieku tiesību pieprasījumi divu darba dienu laikā jāreģistrē REG06 vai jāvirza uz REG06, un procesu īpašnieku ievaddati jāsniedz piecu darba dienu laikā pēc piešķiršanas. Sarežģītiem pieprasījumiem, kas ietver uzraudzības ierakstus, fona pārbaudes ierakstus, īpašu kategoriju personas datus, trešo pušu darbinieku personas datus, tiesiskus ierobežojumus vai automatizētu lēmumu pieņemšanu, pirms atteikuma, termiņa pagarinājuma, ierobežojuma vai sarežģītas apstrādes ir nepieciešams Datu aizsardzības speciālista / privātuma konsultanta padoms. Darbinieku uzraudzība pirms aktivizēšanas vai būtisku izmaiņu veikšanas jādokumentē REG02, jāvirza caur REG04 privātuma riska vai DPIA sākotnējai izvērtēšanai, ja tā tiek ierosināta, jāatbalsta ar aktuāliem REG07 paziņojuma vai komunikācijas pierādījumiem, un, ja tā iekļauta REG02, vismaz reizi gadā jāveic izlases pārbaude REG12. Personālvadības apstrādātāji, darba samaksas pakalpojumu sniedzēji, HRIS pakalpojumu sniedzēji, labumu pakalpojumu sniedzēji, fona pārbaudes pakalpojumu sniedzēji un ārpakalpojuma personālvadības pakalpojumu sniedzēji jāreģistrē REG08, pirms darbinieku personas dati tiek izpausti pakalpojumu sniedzējam, tiem piekļūst pakalpojumu sniedzējs vai tie tiek apstrādāti ar pakalpojumu sniedzēja starpniecību. Pārvaldības noteikumi piešķir atkārtotas pārraudzības un politikas ievērošanas pienākumus. Privātuma vadītājam / PIMS vadītājam reizi ceturksnī jāveic darbinieku privātuma pierādījumu pārskatīšana REG02, REG04, REG06, REG07, REG08, REG10 un REG12 ietvaros, savukārt Augstākā vadība apstiprina būtiskas politikas izmaiņas un augsta riska darbinieku privātuma izņēmumus. Metrikās ietilpst to darbinieku apstrādes darbību īpatsvars, kurām ir aktuāli REG02 ieraksti, darbinieku privātuma paziņojumu aktualitāte, atvērtie darbinieku privātuma riska un DPIA virzīšanas vienumi, darbinieku tiesību pieprasījumu savlaicīgums, personālvadības piegādātāju pārskatīšanas pabeigšana un darbinieku personas datu incidentu tendences, ja incidenti notiek. Izņēmumi pirms atkāpes jāreģistrē REG12, tiem jāpiešķir beigu datums, kas nepārsniedz 90 dienas, un tie jāpārskata pirms termiņa beigām. Politikas ievērošana prasa REG12 reģistrēt neatbilstības, ja trūkst nepieciešamo darbinieku privātuma pierādījumu, nepieļauj darbinieku uzraudzības apstiprināšanu bez nepieciešamajiem pierādījumiem un ļauj apturēt jaunu darbinieku personas datu izpaušanu personālvadības piegādātājiem, ja trūkst apstrādātāja, apakšapstrādātāja, norādījumu vai atbalsta pierādījumu.

Politikas diagramma

Procesa plūsmas shēma, kas parāda darbinieku personas datu pārvaldību no REG02 uzskaites un REG07 paziņojumu pārbaudēm līdz REG04 riska/DPIA virzīšanai, REG08 personālvadības piegādātāju kontroles pasākumiem, REG06 tiesību pieprasījumu apstrādei, REG10 incidentu virzīšanai un REG12 uzraudzībai, izņēmumiem un uzlabošanai.

Noklikšķiniet uz diagrammas, lai skatītu pilnā izmērā

Saturs

Darbinieku apstrādes uzskaite un personālvadības nolūku kontroles pasākumi

Darbinieku privātuma paziņojumu un tiesību pieprasījumu apstrādes prasības

Darbinieku uzraudzības un augstas ietekmes personālvadības apstrādes noteikumi

Personālvadības apstrādātāju, darba samaksas, HRIS, labumu un pārbaudes piegādātāju pierādījumi

Glabāšanas sasaiste, izpaušana un incidentu virzīšana

Pārvaldības, metrikas, izņēmumu, politikas ievērošanas un pārskatīšanas prasības

Atbilstība ietvaram

🛡️ Atbalstītie standarti un ietvari

Šis produkts ir saskaņots ar šādiem atbilstības ietvariem ar detalizētu klauzulu un kontroles kartēšanu.

Ietvars Aplūkotās klauzulas / Kontroles
ISO/IEC 27701:2025
Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.1.2.2Annex A.1.2.3Annex A.1.2.6Annex A.1.2.8Annex A.1.2.9Annex A.1.2.7Annex A.2.2.2Annex A.2.2.3Annex A.2.2.6Annex A.2.2.7Annex A.1.3.2Annex A.1.3.6Annex A.1.3.7Annex A.1.3.10Annex A.1.3.11Annex A.1.4.2Annex A.1.4.3Annex A.1.4.5Annex A.1.4.8Annex A.1.4.9Annex A.1.5.4Annex A.1.5.5Annex A.2.5.4Annex A.2.5.5Annex A.2.5.6Annex A.3.14Annex A.3.25
EU GDPR
Article 5(1)(a)Article 5(1)(b)Article 5(1)(c)Article 5(1)(e)Article 5(2)Article 6Article 9Article 10Article 12Article 13Article 14Article 15Article 16Article 17Article 18Article 21Article 22Article 24Article 26Article 28Article 30Article 32Article 35Article 39
ISO/IEC 29100:2020
Clause 5.3Clause 5.4Clause 5.5Clause 5.6Clause 5.8Clause 5.9Clause 5.10Clause 5.11Clause 5.12
ISO/IEC 29151:2022
Annex A.3Annex A.4Annex A.5Annex A.7Annex A.10Clause 7.1.2Clause 7.1.3Clause 7.2.4Clause 7.3.2Clause 15.1.2Clause 15.2.2Clause 15.2.3
ISO/IEC 29134:2020
Clause 5.1Clause 6.2
ISO/IEC 27002:2022
Controls 5.34Controls 6.1Controls 6.2Controls 6.5Controls 6.6Controls 8.15Controls 8.16

Saistītās politikas

Apstrādes uzskaites un tiesiskā pamata politika

Darbinieku apstrādes darbības, nolūki, personas datu kategorijas, avoti, sistēmas, saņēmēji un glabāšanas sasaiste tiek reģistrēti REG02 saskaņā ar šo saistīto politiku.

Privātuma paziņojumu un pārredzamības politika

Darbinieku privātuma paziņojumi un pārredzamības ieraksti tiek uzturēti REG07 pirms jaunas vai būtiski mainītas darbinieku personas datu vākšanas.

Datu subjektu tiesību pārvaldības politika

Darbinieku tiesību pieprasījumi tiek virzīti caur REG06, un tiem nepieciešami atbalstoši ievaddati no apstrādes ierakstiem, sistēmām, piegādātājiem un privātuma konsultantiem.

Privātuma risku izvērtēšanas un DPIA politika

Augstas ietekmes darbinieku apstrāde, darbinieku uzraudzība un sensitīvi personāla dati tiek virzīti caur REG04 privātuma riska vai DPIA apstrādei.

Apstrādātāju, apakšapstrādātāju un trešo pušu privātuma pārvaldības politika

Personālvadības apstrādātāji, darba samaksas, HRIS, labumu, pārbaudes un ārpakalpojuma personālvadības pakalpojumi tiek pārvaldīti, izmantojot REG08 piegādātāju pierādījumu prasības.

Incidentu un pārkāpumu pārvaldības politika

Aizdomas par nesankcionētu piekļuvi darbinieku personas datiem, to izpaušanu, zudumu, kompromitēšanu vai uzraudzības datu nepareizu lietošanu tiek virzītas uz REG10 incidentu apstrādei.

Par Clarysec politikām - Darbinieku privātuma politika

Privātuma pārvaldība neizdodas, ja to traktē kā savstarpēji nesaistītu paziņojumu, veidlapu un juridisku paziņojumu kopumu. Efektīvai ISO/IEC 27701 ieviešanai nepieciešama privātuma informācijas pārvaldības sistēma, kas sasaista personas datu apstrādi, tiesisko pamatu, pārziņa un apstrādātāja lomas, privātuma risku, DPIA, pierādījumus, uzraudzību un nepārtrauktu uzlabošanu. Šis politiku kopums ir veidots kā darbības privātuma ietvars, nevis vispārīga dokumentācijas pakete. Tas nosaka skaidru PIMS pārskatatbildību praktiskās uzņēmuma lomās, piemēram, Augstākā vadība, Privātuma vadītājs / PIMS vadītājs, Procesu īpašnieki, Sistēmu īpašnieki, Piegādātāju / iepirkumu īpašnieki, Informācijas drošība un neatkarīgie pārskatītāji. Katra prasība ir formulēta kā unikāli numurēts, auditējams punkts un sasaistīta ar definētiem pierādījumu objektiem, piemēram, REG01, REG02, REG03, REG04, REG08, REG11 un REG12. Struktūra atbalsta pārziņa, kopīga pārziņa, apstrādātāja un apakšapstrādātāja kontekstus, palīdzot organizācijām pierādīt pārskatatbildīgu, uz risku balstītu un uz pierādījumiem balstītu personas datu apstrādes pārvaldību visā PIMS dzīves ciklā.

Kanoniskais pierādījumu modelis

Darbinieku privātuma pierādījumi tiek glabāti esošajos PIMS reģistros, nevis atsevišķos personālvadībai specifiskos reģistros.

Uzraudzības aizsardzības pasākumi

Darbinieku uzraudzībai nepieciešams dokumentēts nolūks, riska virzīšana, paziņojuma pierādījumi un ikgadēja izlases pārbaude, ja tā ietilpst piemērošanas jomā.

Plaša personāla piemērošanas joma

Attiecas uz darbiniekiem, kandidātiem, līgumslēdzējiem, praktikantiem, norīkotiem darbiniekiem un citiem darba vidē iesaistītiem dalībniekiem.

Piegādātāju pierādījumu kontroles pasākumi

Personālvadības apstrādātāji, darba samaksas, HRIS, labumu un pārbaudes pakalpojumu sniedzēji jādokumentē REG08.

Biežāk uzdotie jautājumi

Izstrādāts līderiem, līderu veidots

Šo politiku ir izstrādājis drošības līderis ar vairāk nekā 25 gadu pieredzi ISMS ietvaru ieviešanā un auditēšanā globālos uzņēmumos. Tā ir paredzēta ne tikai kā dokuments, bet kā aizstāvams ietvars, kas iztur auditoru pārbaudi.

Izstrādājis eksperts ar šādām kvalifikācijām:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Pārklājums un tēmas

🏢 Mērķa departamenti

Privātums Juridiskās lietas Atbilstība Personāla nodaļa Datu aizsardzības speciālista birojs

🏷️ Tematiskais pārklājums

Privātuma informācijas pārvaldība Personas datu apstrāde Datu subjektu tiesību pārvaldība Datu aizsardzības ietekmes novērtējums Apstrādes darbību ieraksti Trešo pušu pārvaldība Datu glabāšana un likvidēšana
€49

Vienreizējs pirkums

Tūlītēja lejupielāde
Mūža atjauninājumi

Šī politika ir 1 no 25 pilnajā ISO/IEC 27701 PIMS komplektā

Ietaupiet 52%

Saņemiet visas 25 PIMS politikas, pilnu reģistru komplektu un detalizētu ieviešanas plānu par €799, nevis €1 675, iegādājoties atsevišķi.

Skatīt pilno 27701 komplektu →
Employee Privacy Policy

Produkta informācija

Veids: policy
Kategorija: ISO 27701 PIMS Policy Pack
Standarti: 6