policy ISO 27701 PIMS Policy Pack

Privātuma risku izvērtēšanas un datu aizsardzības ietekmes novērtējuma (DPIA) politika

Ar ISO 27701 saskaņota privātuma risku izvērtēšanas un DPIA politika sākotnējai izvērtēšanai, apstrādei, atlikušā riska apstiprināšanai un REG04 pierādījumiem.

Pārskats

Šī politika nosaka, kā privātuma risku izvērtējumi un DPIA tiek sākotnēji izvērtēti, veikti, apstrādāti, apstiprināti, pārskatīti un pierādīti. Tā koncentrē pierādījumus REG04, sasaista tos ar atbalsta reģistriem un nosaka prasības augsta riska pārziņa apstrādei, apstrādātāja DPIA atbalstam, atlikušā riska apstiprināšanai, iepriekšējai konsultācijai, uzraudzībai, izņēmumiem un politikas ievērošanai.

Uz risku balstīta DPIA kontrole

Nosaka sākotnējo izvērtēšanu, pilna DPIA trigerus, riska apstrādi, atlikušā riska apstiprināšanu un konsultāciju lēmumus pirms augsta riska apstrādes uzsākšanas.

Uz pierādījumiem balstīta pārvaldība

Prasa REG04 privātuma riska un DPIA ierakstus, kas sasaistīti ar REG02, REG03, REG08, REG10, REG11 un REG12 pierādījumiem.

Skaidra lomu pārskatatbildība

Piešķir darbības biznesa, privātuma, drošības, sistēmu, piegādātāju, audita, DPO vai privātuma konsultanta un Augstākās vadības lomām.

Lasīt pilnu pārskatu (click to expand)
Privātuma risku izvērtēšanas un DPIA politika nosaka, kā organizācija identificē, novērtē, apstrādā, apstiprina, pārskata un pierāda privātuma riskus PIMS darbības jomā. Tās mērķis ir nodrošināt, ka privātuma riski un DPIA pienākumi tiek risināti pirms personas datu apstrāde rada nepieņemamu risku datu subjektiem vai PIMS. Politika attiecas uz jaunām un būtiski mainītām personas datu apstrādes darbībām pārziņa, kopīga pārziņa, apstrādātāja un apakšapstrādātāja kontekstos. Tā aptver arī sistēmas, lietojumprogrammas, pakalpojumus, biznesa procesus, piegādātājus, apstrādātājus, apakšapstrādātājus, starptautiskas nosūtīšanas un datu koplietošanas kārtību, kas ietekmē personas datu apstrādi. Politikas centrālais elements ir uz REG04 balstīts darbības modelis. Privātuma riska sākotnējā izvērtēšana, DPIA sākotnējā izvērtēšana, risku izvērtēšana, riska apstrādes plāni, atlikušā riska pieņemšana, konsultāciju lēmumi, apstiprinājumi un pārskatīšanas statuss tiek dokumentēti REG04, sasaistot atbalsta pierādījumus ar REG02, REG03, REG08, REG09, REG10, REG11 un REG12. Politika nepārprotami izvairās no atsevišķu DPIA, risku vai konsultāciju reģistru izveides ārpus REG04. Tas palīdz saglabāt vienotu pierādījumu pēdu sākotnējās izvērtēšanas rezultātiem, pilna DPIA lēmumiem, riska vērtējumiem, riska apstrādes īpašniekiem, noteiktajiem termiņiem, atlikušajam riskam, apstiprinājuma statusam un pārskatīšanas datumiem. Politika nosaka obligātus trigerus privātuma riska sākotnējai izvērtēšanai un pilna DPIA noteikšanai. Procesu īpašniekiem / uzņēmuma īpašniekiem jāuzsāk REG04 sākotnējā izvērtēšana pirms tiek sākta jauna vai būtiski mainīta apstrāde, kas reģistrēta REG02. Pārziņa apstrādei, kas, visticamāk, radīs augstu risku, pirms apstrādes sākšanas nepieciešams pilns DPIA. Politika nosaka, ka apstrāde, kas ietver liela mēroga darbību, sistemātisku uzraudzību, profilēšanu, automatizētus lēmumus, īpašu kategoriju personas datus, datus par sodāmību vai pārkāpumiem, ievainojamus datu subjektus, inovatīvu tehnoloģiju un būtiskas izmaiņas apstrādē, pirms apstrādes sākšanas jānodod Privātuma vadītājam / PIMS vadītājam. Tā prasa arī atkārtotu sākotnējo izvērtēšanu pirms personas datu izmantošanas jaunam nolūkam, jauna saņēmēja pievienošanas, jauna apstrādātāja vai apakšapstrādātāja ieviešanas, sistēmas arhitektūras maiņas vai jaunas starptautiskas nosūtīšanas uzsākšanas. Riska apstrāde un eskalācija arī ir skaidri noteiktas. Ja privātuma risks pārsniedz apstiprināto pieņemšanas slieksni, Procesa īpašniekam / uzņēmuma īpašniekam pirms apstrādes turpināšanas jāreģistrē riska apstrādes plāns REG04. Drošības, sistēmas dizaina, piegādātāju, līgumiskās un apliecinājuma darbības tiek piešķirtas attiecīgajai lomai, un tās jāievieš pirms nodošanas ražošanas vidē, ievadīšanas, atjaunošanas vai apstiprinātā noteiktā termiņa. Augsts atlikušais privātuma risks pārziņa apstrādei prasa Augstākās vadības apstiprinājumu pirms apstrādes sākšanas vai turpināšanas. Ja pēc riska apstrādes saglabājas augsts atlikušais risks, Privātuma vadītājs / PIMS vadītājs reģistrē iepriekšējas konsultācijas lēmumu REG04, un Augstākā vadība apstiprina turpināšanu, apturēšanu, pārprojektēšanu vai konsultāciju darbības pirms apstrādes turpināšanas. Pārvaldības, uzraudzības un politikas ievērošanas prasības nodrošina, ka process paliek aktīvs arī pēc sākotnējā apstiprinājuma. Privātuma vadītājs / PIMS vadītājs katru mēnesi pārskata atvērtos privātuma riskus un kavētās riska apstrādes darbības, reizi ceturksnī un pirms vadības pārskatīšanas ziņo par privātuma riska un DPIA statusu, kā arī salīdzina aktīvos REG04 riska ierakstus ar REG02 apstrādes uzskaites ierakstiem. Politika nosaka metriku sākotnējās izvērtēšanas pārklājumam, aktīvajiem pilnajiem DPIA, kavētajām pārskatīšanām, augstiem atlikušajiem riskiem, riska apstrādes darbību statusam, vidējam slēgšanas laikam, piegādātāju darbībām, drošības riska apstrādes darbībām, incidentu ierosinātai atkārtotai izvērtēšanai un audita konstatējumiem. Izņēmumi jāpieprasa pirms atkāpes, jāizvērtē pēc ietekmes uz privātumu, juridiskajiem aspektiem, sertifikāciju, darbību un datu subjektiem, un tiem jānosaka beigu datums, kas nepārsniedz 90 dienas. Trūkstoši, neprecīzi, nepilnīgi, kavēti vai neapstiprināti REG04 pierādījumi tiek uzskatīti par neatbilstību REG12.

Politikas diagramma

Procesa plūsmas diagramma, kurā redzams, kā REG02 apstrādes uzskaite ierosina REG04 privātuma riska sākotnējo izvērtēšanu, DPIA lēmumu, izvērtēšanas ievaddatus, riska apstrādes darbības, atlikušā riska apstiprināšanu, iepriekšēju konsultāciju, REG12 ziņošanu, audita pārskatīšanu un nepārtrauktu atkārtotu izvērtēšanu.

Noklikšķiniet uz diagrammas, lai skatītu pilnā izmērā

Saturs

Privātuma riska sākotnējās izvērtēšanas kritēriji un DPIA trigeri

Pilna DPIA izpildes un apstiprināšanas prasības

Riska apstrādes plāni un atlikušā riska pieņemšana

Iepriekšējas konsultācijas lēmums un eskalācijas process

REG04 pierādījumu pārvaldība un atbalsta reģistri

Uzraudzība, metrika, izņēmumi un politikas ievērošana

Atbilstība ietvaram

🛡️ Atbalstītie standarti un ietvari

Šis produkts ir saskaņots ar šādiem atbilstības ietvariem ar detalizētu klauzulu un kontroles kartēšanu.

Ietvars Aplūkotās klauzulas / Kontroles
ISO/IEC 27701:2025
Clause 6.1.1Clause 6.1.2Clause 6.1.3Clause 6.3Clause 7.5Clause 8.1Clause 8.2Clause 8.3Clause 9.1Clause 9.3Clause 10.2Annex A.1.2.6Annex A.1.2.9Annex A.2.2.2Annex A.2.2.6
EU GDPR
Article 5(2)Article 24Article 25Article 28Article 30Article 32Article 35Article 36Article 39
ISO/IEC 29100:2020
Clause 4.7Clause 5.11Clause 5.12
ISO/IEC 29134:2020
Clause 1Clause 5.1Clause 6.2Clause 6.3
ISO/IEC 29151:2022
Clause 4.1Clause 4.2
ISO/IEC 27557:2022
Clause 4Clause 5.2Clause 5.3Clause 6.4Clause 6.5Clause 6.6Clause 6.7

Saistītās politikas

Apstrādes uzskaites un tiesiskā pamata politika

REG02 apstrādes uzskaites ieraksti nodrošina nepieciešamos ievaddatus REG04 privātuma risku izvērtēšanai un DPIA pierādījumiem.

Datu aizsardzības pēc projektēšanas un pēc noklusējuma politika

Datu aizsardzība pēc projektēšanas un datu aizsardzība pēc noklusējuma ievaddati ir nepieciešami sistēmu, kas apstrādā personas datus, nodošanas ražošanas vidē apstiprināšanai.

Apstrādātāja, apakšapstrādātāja un trešo pušu privātuma pārvaldības politika

Piegādātāju, apstrādātāju, apakšapstrādātāju, datu koplietošanas un klientu DPIA atbalsta pierādījumi tiek uzturēti, izmantojot REG08 un REG04.

Starptautisko personas datu nosūtīšanas politika

Jaunas starptautiskas nosūtīšanas ir būtiskas izmaiņas, kurām pirms uzsākšanas nepieciešama privātuma riska atkārtota sākotnējā izvērtēšana REG04.

Drošības un piekļuves kontroles politika

Personas datu drošības kontroles pasākumu ievaddati un riska apstrādes statuss REG03 atbalsta privātuma riska apstrādes apstiprināšanu un uzraudzību.

PIMS uzraudzības, audita un uzlabošanas politika

Privātuma risks, DPIA pierādījumi, audita konstatējumi, korektīvās darbības un vadības pārskatīšanas rezultāti tiek ziņoti un pārskatīti REG12.

Par Clarysec politikām - Privātuma risku izvērtēšanas un datu aizsardzības ietekmes novērtējuma (DPIA) politika

Privātuma pārvaldība nedarbojas, ja tā tiek uztverta kā savstarpēji nesaistītu paziņojumu, veidlapu un juridisku paziņojumu kopums. Efektīvai ISO/IEC 27701 ieviešanai ir nepieciešama privātuma informācijas pārvaldības sistēma, kas sasaista personas datu apstrādi, tiesisko pamatu, pārziņa un apstrādātāja lomas, privātuma risku, DPIA, pierādījumus, uzraudzību un nepārtrauktu uzlabošanu. Šī politika nosaka operacionālu procesu privātuma risku izvērtēšanai un DPIA pārvaldībai. Tā prasa sākotnējo izvērtēšanu pirms jaunas vai būtiski mainītas personas datu apstrādes, pilnus DPIA augsta riska pārziņa apstrādei, dokumentētu apstrādātāja DPIA atbalstu, ja tas nepieciešams, riska apstrādes plānošanu, atlikušā riska pieņemšanu, iepriekšējas konsultācijas lēmumus un regulāru pārskatīšanu. Katra prasība ir formulēta kā numurēts, auditējams punkts un sasaistīta ar pierādījumu objektiem, piemēram, REG02, REG03, REG04, REG08, REG10, REG11 un REG12. Struktūra atbalsta pārziņa, kopīga pārziņa, apstrādātāja un apakšapstrādātāja kontekstus, palīdzot organizācijām pierādīt pārskatatbildīgu, uz risku balstītu un uz pierādījumiem balstītu personas datu apstrādes pārvaldību visā PIMS dzīves ciklā.

Sākotnējā izvērtēšana pirms apstrādes

Prasa REG04 sākotnējo izvērtēšanu pirms tiek sākta jauna vai būtiski mainīta personas datu apstrāde, kas reģistrēta REG02.

DPIA lēmuma pierādījumi

Dokumentē pilna DPIA lēmumus, pārziņa augsta riska apstrādes pamatojumu un DPO vai privātuma konsultanta ieteikumus REG04.

Noteikti īpašnieki

Piešķir privātuma, biznesa, drošības, sistēmu, piegādātāju, incidentu, audita un Augstākās vadības atbildību.

Atlikušā riska pārraudzība

Prasa Augstākās vadības apstiprinājumu pirms augsta atlikušā privātuma riska apstrādes sākšanas vai turpināšanas.

Uzraudzība un pārskatīšana

Nosaka ikmēneša, ceturkšņa, gada, audita un vadības pārskatīšanas kontrolpunktus riskiem, DPIA un riska apstrādes darbībām.

Biežāk uzdotie jautājumi

Izstrādāts līderiem, līderu veidots

Šo politiku ir izstrādājis drošības līderis ar vairāk nekā 25 gadu pieredzi ISMS ietvaru ieviešanā un auditēšanā globālos uzņēmumos. Tā ir paredzēta ne tikai kā dokuments, bet kā aizstāvams ietvars, kas iztur auditoru pārbaudi.

Izstrādājis eksperts ar šādām kvalifikācijām:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Pārklājums un tēmas

🏢 Mērķa departamenti

Privātums Juridiskais dienests Atbilstība IT drošība DPO birojs

🏷️ Tematiskais pārklājums

Privātuma informācijas pārvaldība Privātuma ietekmes novērtējums Risku pārvaldība Datu aizsardzība pēc projektēšanas Trešo pušu pārvaldība Starptautiska datu nosūtīšana Uzraudzība un mērīšana
€79

Vienreizējs pirkums

Tūlītēja lejupielāde
Mūža atjauninājumi

Šī politika ir 1 no 25 pilnajā ISO/IEC 27701 PIMS komplektā

Ietaupiet 52%

Saņemiet visas 25 PIMS politikas, pilnu reģistru komplektu un detalizētu ieviešanas plānu par €799, nevis €1 675, iegādājoties atsevišķi.

Skatīt pilno 27701 komplektu →
Privacy Risk Assessment and DPIA Policy

Produkta informācija

Veids: policy
Kategorija: ISO 27701 PIMS Policy Pack
Standarti: 6