policy ISO 27701 PIMS Policy Pack

Personu identificējošas informācijas (PII) glabāšanas, dzēšanas un likvidēšanas politika

Definē personu identificējošas informācijas (PII) glabāšanas, dzēšanas un likvidēšanas kontroles pasākumus ar pierādījumiem gatavu pārvaldību sistēmās, rezerves kopijās, pie apstrādātājiem un izņēmumos.

Pārskats

Šī politika nosaka, kā tiek pārvaldīta un pierādīta personu identificējošas informācijas (PII) glabāšana, dzēšana, anonimizācija, deidentifikācija, atdošana, nosūtīšana un likvidēšana. Tā piemērojama pārziņa, kopīgā pārziņa, apstrādātāja un apakšapstrādātāja kontekstā un aptver aktīvās sistēmas, rezerves kopijas, arhīvus, žurnālus, pagaidu datnes, papīra ierakstus un datu nesējus.

Glabāšanas noteikumi pirms izmantošanas

Pirms apstiprināšanas REG02 ir jānorāda dokumentēti termiņi, trigeri, īpašnieki, pamatojumi, galīgā apstrāde un pārskatīšanas datumi.

Kontrolēta galīgā apstrāde

Aptver dzēšanu, atdošanu, nosūtīšanu, anonimizāciju, deidentifikāciju un drošu likvidēšanu darbības vidē izmantotajos datos, arhīvos un rezerves kopijās.

Saskaņošana ar apstrādātājiem

Prasa klienta norādījumus, apakšapstrādātājiem tālāk nododamos pienākumus un galīgās apstrādes pierādījumus REG08.

Lasīt pilnu pārskatu (click to expand)
Personu identificējošas informācijas (PII) glabāšanas, dzēšanas un likvidēšanas politika nosaka organizācijas prasības personu identificējošas informācijas (PII) glabāšanas, dzēšanas, anonimizācijas, deidentifikācijas, atdošanas, nosūtīšanas un likvidēšanas definēšanai, pārskatīšanai, izpildei un pierādīšanai. Tās galvenais mērķis ir nodrošināt, ka personu identificējoša informācija (PII) tiek glabāta tikai apstiprinātiem nolūkiem un termiņiem, dzēsta vai citādi likvidēta, kad tā vairs nav nepieciešama, un pamatota ar gatavību auditam apliecinošiem pierādījumiem. Politika ir piemērojama pārziņa, kopīgā pārziņa, apstrādātāja un apakšapstrādātāja kontekstā, ņemot vērā, ka glabāšanas un galīgās apstrādes pienākumi var izrietēt no apstiprinātiem apstrādes nolūkiem, tiesiskā pamata ierakstiem, pārziņa norādījumiem, līgumiskām prasībām, datu subjekta dzēšanas pieprasījumu rezultātiem, pakalpojuma izbeigšanas, datu nesēju likvidēšanas un privātuma informācijas pārvaldības sistēmas uzraudzības konstatējumiem. Politikai ir operatīvs fokuss, un tā prasa glabāšanas pārvaldību iestrādāt kanoniskajos privātuma informācijas pārvaldības sistēmas pierādījumu ierakstos, nevis uzturēt atsevišķā dzēšanas reģistrā. Pārziņa apstrādes darbībām pirms apstrādes sākšanas REG02 ir jābūt piešķirtam dokumentētam glabāšanas noteikumam. Kopīgā pārziņa pienākumi tiek reģistrēti REG02 un REG08, savukārt apstrādātāja un apakšapstrādātāja glabāšanas, atdošanas, nosūtīšanas un dzēšanas norādījumi tiek uzturēti REG08. Apstiprinātajos glabāšanas noteikumos jāiekļauj glabāšanas termiņš, sākuma trigeris, īpašnieks, pamatojums, galīgā apstrāde un nākamās pārskatīšanas datums. Politika arī prasa datu aizsardzības speciālista vai privātuma konsultanta konsultāciju pirms tādu glabāšanas noteikumu apstiprināšanas, kas saistīti ar tiesisku konfliktu, augsta riska apstrādi, īpašu kategoriju personas datiem vai glabāšanu ārpus sākotnējā apstrādes nolūka. Izpildes prasības aptver pilnu personu identificējošas informācijas (PII) dzīves ciklu. Sistēmas īpašniekam / lietotnes īpašniekam jāizpilda vai jāieplāno apstiprināta dzēšana, atdošana, nosūtīšana, anonimizācija, deidentifikācija vai likvidēšana attiecīgajam glabāšanas noteikumam reģistrētajā dzēšanas logā. Politika nošķir aktīvās sistēmas, arhīvus, rezerves kopijas, replikas, žurnālus, sagatavošanas zonas un pagaidu datnes, prasot šīs glabātuves identificēt REG02 pirms nodošanas ražošanas vidē un ikgadējās glabāšanas pārskatīšanas laikā. Tā arī prasa dokumentēt rezerves kopiju glabāšanas logus un dzēšanas apstrādi atjaunošanas gadījumā, kā arī atkārtoti piemērot nokavētās dzēšanas vai ierobežošanas darbības atjaunotajiem rezerves kopiju datiem, pirms atjaunotā vide tiek nodota biznesa lietošanai. Pagaidu datnes un sagatavošanas kopijas, kas satur personu identificējošu informāciju (PII), ir jādzēš vai jālikvidē dokumentētajā REG02 termiņā pēc saistītā apstrādes uzdevuma beigām. Politika aptver arī drošu likvidēšanu, anonimizāciju, deidentifikāciju, izņēmumu kontroli un uzraudzību. Datu nesēju, kas satur vai var saturēt personu identificējošu informāciju (PII), likvidēšanas metožu klasēm pirms atkārtotas izmantošanas, nodošanas ekspluatācijā, iznīcināšanas vai ārējas likvidēšanas jābūt apstiprinātām REG12 no informācijas drošības vadītāja puses. Anonimizāciju vai deidentifikāciju var izmantot kā glabāšanas riska samazināšanas pasākumu vai galīgās apstrādes rezultātu, taču tā jādokumentē REG02 un jāapstiprina privātuma vadītājam / PIMS vadītājam, pirms identificējama personu identificējoša informācija (PII) tiek glabāta ilgāk par tās nolūku vai glabāšanas termiņu. Izņēmumi no apstiprinātajiem glabāšanas noteikumiem jāiesniedz un jāapstiprina REG12 pirms to aktivizēšanas, veicot ikmēneša pārskatīšanu līdz slēgšanai. Noteiktos intervālos tiek mērīti tādi rādītāji kā pilnīgi glabāšanas metadati, nokavētas pārskatīšanas, nokavētas dzīves cikla darbības un nokavēti galīgās apstrādes pierādījumi, savukārt neatbilstības, audita konstatējumi un korektīvās darbības tiek sasaistītas ar REG12, lai atbalstītu nepārtrauktu uzlabošanu.

Politikas diagramma

Procesa plūsmas diagramma, kas parāda personu identificējošas informācijas (PII) glabāšanas pārvaldību no glabāšanas noteikuma piešķiršanas REG02, ikgadējās pārskatīšanas un tehniskās piemērošanas līdz dzēšanai, atdošanai, nosūtīšanai, anonimizācijai vai likvidēšanai, iekļaujot REG08 apstrādātāja pierādījumus, REG12 izņēmumus un korektīvās darbības, kā arī REG10 incidentu eskalāciju, ja kļūmes atbilst personas datu incidenta kritērijiem.

Noklikšķiniet uz diagrammas, lai skatītu pilnā izmērā

Saturs

Glabāšanas noteikumu īpašumtiesības un obligātie metadati

Dzēšanas, atdošanas, nosūtīšanas un likvidēšanas izpilde

Rezerves kopijas, arhīvi, replikas, žurnāli un pagaidu datnes

Anonimizācija, deidentifikācija un glabāšanas minimizēšana

Izņēmumi, neatbilstības un korektīvā darbība

Metrikas, audita izlase un politikas uzturēšana

Atbilstība ietvaram

🛡️ Atbalstītie standarti un ietvari

Šis produkts ir saskaņots ar šādiem atbilstības ietvariem ar detalizētu klauzulu un kontroles kartēšanu.

Ietvars Aplūkotās klauzulas / Kontroles
ISO/IEC 29100:2020
Clause 5.5Clause 5.6Clause 5.10
ISO/IEC 29151:2022
Annex A.7Annex A.7.2
EU GDPR
Article 5(1)(e)Article 5(2)Article 17Article 24Article 26Article 28Article 30Article 32
ISO/IEC 27701:2025
Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.1.2.8Annex A.1.2.9Annex A.1.3.7Annex A.1.3.8Annex A.1.4.6Annex A.1.4.7Annex A.1.4.8Annex A.1.4.9Annex A.2.2.2Annex A.2.2.3Annex A.2.2.7Annex A.2.3.2Annex A.2.4.2Annex A.2.4.3Annex A.3.20Annex A.3.21Annex A.3.24
ISO/IEC 27555:2025
Clause 5.1Clause 5.2Clause 5.3Clause 5.4Clause 5.5Clause 5.6Clause 5.8Clause 7.2Clause 7.3Clause 8.3Clause 9.1Clause 9.2Clause 9.3Clause 9.4Clause 9.5Clause 9.6Clause 9.7Clause 10.1Clause 10.2Clause 10.3
ISO/IEC 27557:2022
Clause 4Clause 5.2Clause 5.3Clause 5.4.1
ISO/IEC 27002:2022
Control 7.14Control 8.10

Saistītās politikas

Datu subjekta tiesību pārvaldības politika

Apstiprināti dzēšanas pieprasījumi izraisa dzēšanas izvērtēšanu REG06 un REG02 saskaņā ar šo glabāšanas politiku.

Apstrādātāju, apakšapstrādātāju un trešo pušu privātuma pārvaldības politika

Apstrādātāju, apakšapstrādātāju un trešo pušu atdošanas, nosūtīšanas, dzēšanas un likvidēšanas pierādījumi tiek pārvaldīti caur REG08.

Drošības un piekļuves kontroles politika

Drošas likvidēšanas metožu klases, datu nesēju apstrāde un tehniskā piemērošana ir atkarīga no drošības kontroles pasākumiem.

Incidentu un pārkāpumu pārvaldības politika

Glabāšanas, dzēšanas vai likvidēšanas kļūmēm, kas atbilst personas datu incidenta kritērijiem, nepieciešama REG10 apstrāde.

PIMS uzraudzības, audita un uzlabošanas politika

Glabāšanas metrikas, pierādījumu izlase, neatbilstības un korektīvās darbības ir integrētas uzraudzībā un uzlabošanā.

Apstrādes uzskaites un tiesiskā pamata politika

Glabāšanas noteikumi un galīgās apstrādes metadati tiek reģistrēti PII apstrādes uzskaitē / RoPA.

Par Clarysec politikām - Personu identificējošas informācijas (PII) glabāšanas, dzēšanas un likvidēšanas politika

Personu identificējošas informācijas (PII) glabāšanas, dzēšanas un likvidēšanas politika pārvērš glabāšanas ierobežojumu auditējamā darbības modelī. Tā prasa glabāšanas noteikumus definēt pirms apstrādes sākšanas, reģistrēt REG02, saskaņot ar pārziņa vai klienta norādījumiem un pārskatīt vismaz reizi gadā vai pēc būtiskām izmaiņām. Politika aptver dzēšanu, atdošanu, nosūtīšanu, anonimizāciju, deidentifikāciju un drošu likvidēšanu aktīvās sistēmās, arhīvos, rezerves kopijās, replikās, žurnālos, sagatavošanas zonās, pagaidu datnēs, papīra ierakstos un datu nesējos. Tā arī nosaka pārvaldības lomas, apstrādātāju un apakšapstrādātāju pierādījumu prasības, izņēmumu pārvaldību REG12, incidentu eskalāciju caur REG10, ja piemērojams, un uz metrikām balstītu uzraudzību nepārtrauktai uzlabošanai.

Definēti glabāšanas metadati

Pirms apstiprināšanas jānorāda termiņš, trigeris, īpašnieks, pamatojums, galīgā apstrāde un nākamās pārskatīšanas datums.

Drošas likvidēšanas kontroles pasākumi

Pirms personu identificējošas informācijas (PII) datu nesēju atkārtotas izmantošanas, nodošanas ekspluatācijā, iznīcināšanas vai ārējas likvidēšanas jāapstiprina likvidēšanas metožu klases.

Rezerves kopiju un arhīvu apstrāde

Piemēro glabāšanas noteikumus arhīviem un dokumentē rezerves kopiju logus, atjaunošanas apstrādi un tehniskos ierobežojumus.

Piegādātāju pierādījumi

Prasa apstrādātāju, apakšapstrādātāju un ārējo pakalpojumu pierādījumus par atdošanas, nosūtīšanas, dzēšanas un likvidēšanas darbībām.

Izņēmumu pārvaldība

Prasa laikā ierobežotus apstiprinātus izņēmumus ar īpašniekiem, beigu datumiem, kompensējošiem kontroles pasākumiem un ikmēneša pārskatīšanu.

Biežāk uzdotie jautājumi

Izstrādāts līderiem, līderu veidots

Šo politiku ir izstrādājis drošības līderis ar vairāk nekā 25 gadu pieredzi ISMS ietvaru ieviešanā un auditēšanā globālos uzņēmumos. Tā ir paredzēta ne tikai kā dokuments, bet kā aizstāvams ietvars, kas iztur auditoru pārbaudi.

Izstrādājis eksperts ar šādām kvalifikācijām:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Pārklājums un tēmas

🏢 Mērķa departamenti

Privātums Juridiskais dienests Atbilstība IT drošība Datu aizsardzības speciālista birojs

🏷️ Tematiskais pārklājums

Datu glabāšana un likvidēšana Apstrādes ieraksti Datu subjektu tiesību pārvaldība Pārziņa un apstrādātāja pienākumi Trešo pušu pārvaldība Atbilstības pārvaldība Risku pārvaldība
€79

Vienreizējs pirkums

Tūlītēja lejupielāde
Mūža atjauninājumi

Šī politika ir 1 no 25 pilnajā ISO/IEC 27701 PIMS komplektā

Ietaupiet 52%

Saņemiet visas 25 PIMS politikas, pilnu reģistru komplektu un detalizētu ieviešanas plānu par €799, nevis €1 675, iegādājoties atsevišķi.

Skatīt pilno 27701 komplektu →
PII Retention, Deletion and Disposal Policy

Produkta informācija

Veids: policy
Kategorija: ISO 27701 PIMS Policy Pack
Standarti: 7