policy ISO 27701 PIMS Policy Pack

Polityka prywatności dzieci

Polityka prywatności dzieci dla PIMS: zarządza klauzulami informacyjnymi dotyczącymi PII dzieci, zgodą, DPIA, prawami, podmiotami przetwarzającymi, incydentami i dowodami gotowymi do audytu.

Przegląd

Niniejsza polityka definiuje obowiązkowe kontrole PIMS dla PII dzieci, usług skierowanych do dzieci oraz przetwarzania dostępnego dla dzieci. Obejmuje identyfikację, klauzule informacyjne, zgodę, zgodę lub aprobatę osoby sprawującej władzę rodzicielską, kierowanie DPIA, obsługę wniosków o realizację praw, podmioty przetwarzające, incydenty, wyjątki i dowody gotowe do audytu w REG02, REG04, REG05, REG06, REG07, REG08, REG10 i REG12.

Wzmocnione kontrole PII dzieci

Definiuje obowiązkowe zabezpieczenia dla przetwarzania PII skierowanego do dzieci, dostępnego dla dzieci i dotyczącego dzieci w zakresie PIMS.

Ład zarządczy oparty na dowodach

Kieruje klauzulami informacyjnymi, zgodą, DPIA, wnioskami o realizację praw, podmiotami przetwarzającymi, incydentami i działaniami korygującymi przez zdefiniowane obiekty dowodowe.

Jasna rozliczalność ról

Przypisuje odpowiedzialność rolom z obszaru prywatności, biznesu, systemów, dostawców, bezpieczeństwa, reagowania na incydenty, audytu i najwyższego kierownictwa.

Czytaj pełny przegląd (click to expand)
Polityka prywatności dzieci definiuje obowiązkowe wymagania dotyczące prywatności dla przetwarzania PII dotyczącego dzieci, usług skierowanych do dzieci, usług, do których dzieci prawdopodobnie uzyskają dostęp, oraz innych czynności przetwarzania, w których PII dzieci wymaga wzmocnionych zabezpieczeń. Ma zastosowanie w kontekstach administratora, współadministratora, podmiotu przetwarzającego i podwykonawcy przetwarzania, w tym do stron internetowych, aplikacji, gier, usług edukacyjnych, platform internetowych, usług połączonych, portali klientów, środowisk nauczania, społeczności i kanałów wsparcia. Polityka ma zapewnić, aby PII dzieci było identyfikowane, objęte ładem zarządczym, minimalizowane, wyjaśniane, chronione i udokumentowane dowodowo przez zabezpieczenia odpowiednie dla przetwarzania skierowanego do dzieci i dostępnego dla dzieci. Centralnym elementem polityki jest wykorzystanie istniejących obiektów dowodowych PIMS zamiast odrębnych rejestrów specyficznych dla dzieci. Polityka wymaga, aby status usługi skierowanej do dzieci, prawdopodobieństwo dostępu dzieci, cele, kategorie PII, kategorie osób, których dane dotyczą, odbiorcy oraz odniesienia do retencji były ujmowane w REG02. Ocena ryzyka dla prywatności oraz decyzje dotyczące DPIA są kierowane przez REG04. Zgoda, zgoda lub aprobata osoby sprawującej władzę rodzicielską, ścieżka wycofania zgody oraz odniesienia do potwierdzenia udzielenia zgody są rejestrowane w REG05, jeżeli mają zastosowanie. Wnioski o realizację praw dotyczące dzieci są obsługiwane przez REG06, wersje klauzul informacyjnych przyjaznych dziecku przez REG07, ograniczenia dotyczące podmiotów przetwarzających i udostępniania danych przez REG08, dowody incydentów przez REG10, a zapisy audytu, działań korygujących i doskonalenia przez REG12. Polityka określa szczegółowe wymagania operacyjne dotyczące przejrzystości przyjaznej dziecku, zgody, odpowiedzialności rodzicielskiej, minimalizacji, retencji, udziału w realizacji praw, privacy by design oraz kontroli ujawniania. Przed gromadzeniem PII dzieci właściciele procesów lub właściciele biznesowi muszą potwierdzić, że każda kategoria PII jest niezbędna dla udokumentowanego celu, oraz muszą określić minimalny zakres danych potrzebnych do oceny wieku. Usługi skierowane do dzieci muszą stosować domyślne ustawienia chroniące prywatność dla opcjonalnego gromadzenia, widoczności, udostępniania, personalizacji i komunikacji. Gdy PII dzieci obejmuje szczególne kategorie danych, informacje o bardzo wysokiej wrażliwości, lokalizacji, dane biometryczne, behawioralne, komunikacyjne, edukacyjne, zdrowotne lub związane z bezpieczeństwem, wymagany jest przegląd Inspektora Ochrony Danych (IOD) lub doradcy ds. prywatności i jego odnotowanie w REG04. Polityka obejmuje również scenariusze podwyższonego ryzyka, takie jak profilowanie, analiza behawioralna, personalizacja o znaczących skutkach, zautomatyzowane decyzje, funkcje rekomendacyjne, podejrzenie niewłaściwego użycia, szkodliwe ujawnienie, nieuprawniony dostęp, wykorzystywanie, ryzyko związane z groomingiem oraz inne ryzyka PII dotyczące bezpieczeństwa dzieci. Sprawy te są kierowane przez procesy przeglądu prywatności, obsługi incydentów lub działań korygujących z użyciem odpowiednio REG04, REG10 i REG12. W odniesieniu do dostawców, podmiotów przetwarzających, podwykonawców przetwarzania oraz odbiorców udostępnianych danych właściciel ds. dostawców / zakupów musi potwierdzić w REG08 udokumentowane ograniczenia związane z dziećmi, polecenia, poufność, oczekiwania dotyczące zwrotu lub usunięcia oraz obowiązki wsparcia przed autoryzacją przetwarzania PII dzieci. Ład zarządczy i nadzór są określone przez kwartalne przeglądy dowodów, kontrole gotowości do uruchomienia, coroczne audyty, obsługę wyjątków, egzekwowanie postanowień polityki oraz coroczny przegląd polityki. Osoba odpowiedzialna za prywatność / Menedżer PIMS koordynuje kompletność dowodów i eskalację w odpowiednich zapisach, natomiast najwyższe kierownictwo zatwierdza podejście do kontroli prywatności dzieci i przegląda systemowe niezgodności. Polityka wspiera rozliczalność gotową do audytu, wymagając metryk monitorowania dla czynności przetwarzania skierowanych do dzieci, ocen potrzeby przeprowadzenia DPIA, otwartych kwestii dotyczących klauzul informacyjnych lub zgód, kwestii związanych z podmiotami przetwarzającymi i udostępnianiem, powtarzających się niezgodności oraz skuteczności działań korygujących, rejestrowanych w REG12 z dowodami źródłowymi z właściwych rejestrów.

Diagram polityki

Schemat przepływu procesu pokazujący przetwarzanie PII dzieci od przyjęcia i ustalenia, czy usługa jest skierowana do dzieci, przez inwentarz REG02, klauzulę informacyjną REG07, zgodę lub zgodę albo aprobatę osoby sprawującej władzę rodzicielską REG05, ocenę potrzeby przeprowadzenia DPIA REG04, obsługę wniosków o realizację praw REG06, kontrole podmiotów przetwarzających i udostępniania REG08, eskalację incydentów REG10 oraz monitorowanie, audyt i działania korygujące REG12.

Kliknij diagram, aby wyświetlić w pełnym rozmiarze

Zawartość

Identyfikacja i autoryzacja przetwarzania skierowanego do dzieci

Przejrzystość i klauzule informacyjne przyjazne dziecku

Zgoda, odpowiedzialność rodzicielska i wycofanie zgody

Minimalizacja, ustawienia domyślne i retencja

Wnioski o realizację praw, DPIA, profilowanie i eskalacja bezpieczeństwa

Kontrole ujawniania, podmiotów przetwarzających, podwykonawców przetwarzania i dowodów

Zgodność z frameworkiem

🛡️ Obsługiwane standardy i frameworki

Ten produkt jest zgodny z następującymi frameworkami zgodności, ze szczegółowym mapowaniem klauzul i kontroli.

Framework Objęte klauzule / Kontrole
ISO/IEC 27701:2025
Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.1.2.2Annex A.1.2.3Annex A.1.2.4Annex A.1.2.5Annex A.1.2.6Annex A.1.2.9Annex A.1.2.7Annex A.1.2.8Annex A.1.3.2Annex A.1.3.3Annex A.1.3.4Annex A.1.3.5Annex A.1.3.6Annex A.1.3.7Annex A.1.3.10Annex A.1.3.11Annex A.1.4.2Annex A.1.4.3Annex A.1.4.5Annex A.1.4.8Annex A.1.4.9Annex A.1.5.4Annex A.1.5.5Annex A.2.2.2Annex A.2.2.3Annex A.2.2.6Annex A.2.2.7Annex A.2.3.2Annex A.2.5.4Annex A.2.5.5Annex A.2.5.6Annex A.3.14Annex A.3.25
EU GDPR
Article 5(1)(a)Article 5(1)(b)Article 5(1)(c)Article 5(1)(e)Article 5(2)Article 6Article 7Article 8Article 9Article 12Article 13Article 14Article 15Article 16Article 17Article 18Article 21Article 22Article 24Article 25Article 26Article 28Article 30Article 32Article 35Article 39
ISO/IEC 29100:2020
Clause 5.1Clause 5.8Clause 5.9Clause 5.3Clause 5.4Clause 5.5Clause 5.6Clause 5.10Clause 5.11Clause 5.12
ISO/IEC 29134:2020
Clause 5.1Clause 6.2Clause 6.3
ISO/IEC 29151:2022
Annex A.3Annex A.4Annex A.5Annex A.7Annex A.10
ISO/IEC TS 27560:2023
Clause 5.2Clause 5.3Clause 6.2Clause 6.4

Powiązane polityki

Polityka inwentarza przetwarzania i podstaw prawnych

Status usługi skierowanej do dzieci, cele, podstawa prawna, kategorie danych i odniesienia do retencji są rejestrowane w inwentarzu przetwarzania.

Polityka klauzul informacyjnych i przejrzystości

Treści klauzul informacyjnych odpowiednie dla dzieci oraz rodziców lub opiekunów muszą być rejestrowane, objęte kontrolą wersji i aktualizowane przed odpowiednimi zmianami.

Polityka zarządzania zgodą i preferencjami

Polityka prywatności dzieci opiera się na zgodzie, zgodzie lub aprobacie osoby sprawującej władzę rodzicielską, kierowaniu wycofania zgody oraz dowodach potwierdzenia udzielenia zgody, jeżeli mają zastosowanie.

Polityka zarządzania prawami osób, których dane dotyczą

Wnioski od dzieci, rodziców, opiekunów lub umocowanych przedstawicieli są kierowane przez proces zarządzania prawami.

Polityka oceny ryzyka dla prywatności i DPIA

Ocena ryzyka dla prywatności specyficzna dla dzieci, decyzje dotyczące DPIA oraz przeglądy przetwarzania wysokiego ryzyka stanowią podstawowe wymagania polityki.

Polityka zarządzania prywatnością podmiotów przetwarzających, podwykonawców przetwarzania i stron trzecich

Przetwarzanie PII dzieci przez podmioty przetwarzające, podwykonawców przetwarzania, dostawców i odbiorców udostępnianych danych wymaga udokumentowanych ograniczeń oraz dowodów zapewnienia.

O politykach Clarysec - Polityka prywatności dzieci

Niniejsza Polityka prywatności dzieci jest operacyjną polityką PIMS dotyczącą przetwarzania obejmującego dzieci, usług skierowanych do dzieci, usług, do których dzieci prawdopodobnie uzyskają dostęp, oraz innych danych PII dzieci wymagających wzmocnionych zabezpieczeń. Definiuje rozliczalność między rolami, w tym najwyższym kierownictwem, osobą odpowiedzialną za prywatność / Menedżerem PIMS, właścicielami procesów, właścicielami systemów, właścicielami ds. dostawców / zakupów, bezpieczeństwem informacji, reagowaniem na incydenty oraz audytorami wewnętrznymi / przeglądającymi zgodność. Polityka wymaga utrzymywania dowodów w kanonicznych obiektach dowodowych, takich jak REG02, REG04, REG05, REG06, REG07, REG08, REG10 i REG12, a nie w odrębnym rejestrze prywatności dzieci.

Zakres skierowany do dzieci

Obejmuje usługi skierowane do dzieci, przetwarzanie dostępne dla dzieci oraz czynności, w których PII dzieci wymaga wzmocnionych zabezpieczeń.

Kanoniczne dowody

Wykorzystuje REG02, REG04, REG05, REG06, REG07, REG08, REG10 i REG12 zamiast odrębnego rejestru prywatności dzieci.

Odpowiedzialność oparta na rolach

Przypisuje konkretne obowiązki rolom z obszaru prywatności, biznesu, systemów, dostawców, bezpieczeństwa, reagowania na incydenty, audytu i najwyższego kierownictwa.

Kwartalny nadzór

Wymaga kwartalnych przeglądów i miar dotyczących dowodów prywatności dzieci, DPIA, kwestii otwartych oraz luk dotyczących podmiotów przetwarzających lub udostępniania.

Często zadawane pytania

Stworzone dla liderów, przez liderów

Niniejsza polityka została opracowana przez lidera ds. bezpieczeństwa z ponad 25-letnim doświadczeniem w zakresie wdrażania i audytowania systemów ISMS w globalnych organizacjach. Została zaprojektowana nie tylko jako dokument, lecz jako obronne ramy, które wytrzymują kontrolę audytora.

Opracowane przez eksperta posiadającego:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Zasięg i tematy

🏢 Docelowe działy

Prywatność Dział prawny Zgodność Bezpieczeństwo IT Biuro IOD

🏷️ Zakres tematyczny

Zarządzanie informacjami o prywatności przetwarzanie danych osobowych zarządzanie prawami osób, których dane dotyczą ocena skutków dla prywatności privacy by design zgoda i podstawa prawna zarządzanie stronami trzecimi
€99

Jednorazowy zakup

Natychmiastowe pobieranie
Dożywotnie aktualizacje

Ta polityka to 1 z 25 w pełnym pakiecie ISO/IEC 27701 PIMS

Oszczędź 52%

Zdobądź wszystkie 25 polityk PIMS, pełen zestaw rejestrów i szczegółowy plan wdrożenia za €799, zamiast €1.675 przy zakupie pojedynczym.

Zobacz pełny pakiet 27701 →
Children's Privacy Policy

Szczegóły produktu

Typ: policy
Kategoria: ISO 27701 PIMS Policy Pack
Standardy: 6