policy ISO 27701 PIMS Policy Pack

Polityka zbierania, wykorzystywania, ujawniania i udostępniania PII

Kontroluj zbieranie, wykorzystywanie, ujawnianie i udostępnianie PII z dowodami REG02/REG08, routingiem transferów i rozliczalnością gotową do audytu.

Przegląd

Ta polityka reguluje sposób zbierania, wykorzystywania, ujawniania i udostępniania PII w zakresie PIMS. Wymaga zatwierdzonych zapisów REG02 dla zbierania i wykorzystywania, dowodów REG08 dla ujawnień i udostępniania, routingu REG09 dla lokalizacji transferów oraz zapisów REG12 dla wyjątków, audytów i działań korygujących.

Zatwierdzone wykorzystywanie PII

Wymaga udokumentowanych celów zbierania, zatwierdzonych zasad wewnętrznego wykorzystywania oraz uzasadnień konieczności przed rozpoczęciem przetwarzania.

Dowody ujawnienia

Rejestruje ujawnienia zewnętrzne i cykliczne udostępnianie w REG08, w tym odbiorcę, cel, kategorie PII i częstotliwość.

Routing transferów

Łączy udostępnianie obejmujące nowe kraje, dostęp zdalny lub lokalizacje dalszego transferu z decyzjami routingowymi REG09 i PII13.

Czytaj pełny przegląd (click to expand)
Polityka zbierania, wykorzystywania, ujawniania i udostępniania PII definiuje wymagania operacyjne dotyczące sposobu zbierania, wykorzystywania, ujawniania i udostępniania informacji umożliwiających identyfikację osoby w zakresie PIMS. Jej wskazanym celem jest zapewnienie, aby PII były przetwarzane wyłącznie dla udokumentowanych, zatwierdzonych, ograniczonych i rozliczalnych celów. Polityka ma zastosowanie w kontekstach administratora, współadministratora, podmiotu przetwarzającego i podwykonawcy przetwarzania oraz obejmuje zbieranie za pośrednictwem kanałów bezpośrednich, pośrednich, zautomatyzowanych, ręcznych, wewnętrznych, zewnętrznych i stron trzecich. Obejmuje również zatwierdzone wewnętrzne wykorzystywanie przez procesy biznesowe, systemy i aplikacje, wtórne wykorzystywanie do nowych lub istotnie zmienionych celów, ujawnienie zewnętrzne odbiorcom i stronom trzecim, a także zarówno cykliczne uzgodnienia dotyczące udostępniania danych, jak i jednorazowe ujawnienia. Centralnym elementem polityki jest wykorzystanie rejestrów dowodowych do powiązania decyzji dotyczących prywatności z zapisami możliwymi do prześledzenia audytowo. REG02 służy do inwentarza przetwarzania PII, zatwierdzonych celów, zasad zbierania, zasad wykorzystywania oraz ocen zgodności celów dla wtórnego wykorzystywania. REG08 służy do zapisów dotyczących podmiotu przetwarzającego, podwykonawcy przetwarzania i udostępniania danych, w tym tożsamości odbiorcy, roli odbiorcy, celu ujawnienia, kategorii PII, częstotliwości udostępniania, lokalizacji przetwarzania i źródła upoważnienia. REG09 jest stosowany, gdy udostępnianie obejmuje nowy kraj, organizację międzynarodową, lokalizację dostępu zdalnego, lokalizację odbiorcy lub lokalizację dalszego transferu. REG12 służy do wyjątków, niezgodności, ustaleń z audytu, działań korygujących, kwestii blokujących wdrożenie oraz zapisów przeglądu polityki. Polityka ustanawia jasne punkty kontrolne przed rozpoczęciem przetwarzania. Właściciele procesów lub właściciele biznesowi muszą zapisać cele zbierania, źródła lub kanały, kategorie PII, kategorie osób, których dane dotyczą, oraz minimalne elementy danych w REG02 przed rozpoczęciem nowego zbierania lub istotnej zmiany. Muszą również udokumentować uzasadnienie konieczności dla każdego elementu danych PII przed zebraniem. Właściciele systemów lub właściciele aplikacji mogą wdrażać wyłącznie zatwierdzone pola zbierania, pola przepływu pracy, raporty, eksporty lub wyniki ujawnienia zgodne z zatwierdzeniem w REG02 lub REG08. W kontekstach podmiotu przetwarzającego zgodność z poleceniem klienta musi zostać zapisana przed zebraniem, wykorzystaniem lub ujawnieniem PII klienta. Wtórne wykorzystywanie jest traktowane jako decyzja objęta nadzorem, a nie jako nieformalna kontynuacja istniejącej czynności. Zanim PII zostaną wykorzystane do celu, który nie został jeszcze zatwierdzony w REG02, właściciel procesu lub właściciel biznesowy musi zapisać ocenę zgodności celów obejmującą pierwotny cel, proponowany cel, zależność od podstawy prawnej, kategorie PII, oczekiwania osób, których dane dotyczą, uzasadnienie minimalizacji, wpływ ujawnienia lub transferu oraz kierowanie do innych polityk PIMS, gdy jest to potrzebne. Osoba odpowiedzialna za prywatność lub menedżer PIMS musi zapisać zatwierdzenie albo odrzucenie przed rozpoczęciem wtórnego wykorzystywania. Gdy w grę wchodzi cykliczne udostępnianie szczególnych kategorii danych osobowych, wrażliwe osoby, których dane dotyczą, rekordy o istotnym wpływie lub istotnie zmienione oczekiwania, przed zatwierdzeniem należy zapisać poradę inspektora ochrony danych lub doradcy ds. prywatności. Ład zarządczy, pomiar i stosowanie polityki są wbudowane w jej wymagania. Osoba odpowiedzialna za prywatność lub menedżer PIMS przegląda zatwierdzone zasady wykorzystywania co najmniej raz w roku, uzgadnia zatwierdzone cele REG02 z aktywnymi zapisami udostępniania REG08 co najmniej raz w roku oraz zapisuje wyniki w REG12. Właściciele dostawców lub zakupów uzgadniają aktywne wpisy udostępniania REG08 z aktywnymi relacjami z podmiotami przetwarzającymi, podwykonawcami przetwarzania, odbiorcami oraz relacjami dotyczącymi udostępniania danych co najmniej raz na kwartał. Audyt wewnętrzny lub przeglądający ds. zgodności pobiera próbki dowodów REG02, REG08 i REG09 raz w roku oraz zapisuje wyniki w REG12. Niezatwierdzone zbieranie, wykorzystywanie, ujawnianie lub udostępnianie musi zostać zapisane jako niezgodność w ciągu pięciu dni roboczych, a przetwarzanie może zostać zawieszone w ciągu jednego dnia roboczego, jeżeli brak jest zatwierdzonych dowodów.

Diagram polityki

Przepływ procesu pokazujący wniosek o zbieranie lub wykorzystywanie PII zapisany w REG02, przegląd prywatności, ocenę wtórnego wykorzystywania, zatwierdzenie ujawnienia w REG08, routing transferu w REG09, monitorowanie oraz wyjątki lub działania korygujące w REG12.

Kliknij diagram, aby wyświetlić w pełnym rozmiarze

Zawartość

Ograniczenie zbierania i zatwierdzenie REG02

Zatwierdzone kontrole wewnętrznego wykorzystywania

Oceny zgodności celów dla wtórnego wykorzystywania

Ujawnienie zewnętrzne i zapisy udostępniania REG08

Routing transferów międzynarodowych do REG09 i PII13

Wyjątki, audyt i działania korygujące w REG12

Zgodność z frameworkiem

🛡️ Obsługiwane standardy i frameworki

Ten produkt jest zgodny z następującymi frameworkami zgodności, ze szczegółowym mapowaniem klauzul i kontroli.

Framework Objęte klauzule / Kontrole
ISO/IEC 27701:2025
Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.1.2.2Annex A.1.2.9Annex A.1.2.3Annex A.1.2.8Annex A.1.4.2Annex A.1.4.3Annex A.1.4.5Annex A.1.5.2Annex A.1.5.3Annex A.1.5.4Annex A.1.5.5Annex A.2.2.2Annex A.2.2.3Annex A.2.2.7Annex A.2.5.2Annex A.2.5.3Annex A.2.5.4Annex A.2.5.5Annex A.2.5.6
EU GDPR
Article 5(1)(b)Article 5(1)(c)Article 5(2)Article 6Article 24Article 26Article 28Article 30
ISO/IEC 29100:2020
Clause 5.3Clause 5.4Clause 5.5Clause 5.6Clause 5.10Clause 5.12
ISO/IEC 29151:2022
Annex A.3Annex A.4Annex A.5Annex A.7

Powiązane polityki

Polityka transferów międzynarodowych

Powiązana, ponieważ udostępnianie obejmujące nowe lokalizacje transferu musi zostać skierowane do REG09 i PII13 przed zatwierdzeniem.

Polityka monitorowania, audytu i doskonalenia PIMS

Powiązana, ponieważ wyjątki, niezgodności, wyniki audytu, działania korygujące i zapisy doskonalenia są obsługiwane przez REG12.

Polityka inwentarza przetwarzania i podstawy prawnej

Powiązana, ponieważ zapisy przetwarzania REG02 i aktualizacje podstawy prawnej są wymagane dla decyzji dotyczących zbierania, zatwierdzonego wykorzystywania i wtórnego wykorzystywania.

Polityka klauzul informacyjnych i przejrzystości

Powiązana, ponieważ kontrole zbierania i wykorzystywania działają równolegle z treścią klauzuli informacyjnej, publikacją i kontrolą wersji.

Polityka oceny ryzyka dla prywatności i DPIA

Powiązana, ponieważ wtórne wykorzystywanie może wymagać weryfikacji PII07, gdy ocena zgodności celów identyfikuje istotną zmianę ryzyka dla prywatności.

Polityka zarządzania prywatnością podmiotów przetwarzających, podwykonawców przetwarzania i stron trzecich

Powiązana, ponieważ ujawnienia i udostępnianie podmiotom przetwarzającym, podwykonawcom przetwarzania, dostawcom i stronom trzecim są rejestrowane i zarządzane przez REG08.

O politykach Clarysec - Polityka zbierania, wykorzystywania, ujawniania i udostępniania PII

Ta polityka operacjonalizuje rozliczalne zbieranie, wykorzystywanie, ujawnianie i udostępnianie PII w kontekstach administratora, współadministratora, podmiotu przetwarzającego i podwykonawcy przetwarzania. Łączy reguły biznesowe i zatwierdzenia z zapisami przetwarzania REG02, dowodami ujawniania i udostępniania REG08, routingiem transferów międzynarodowych REG09 oraz zapisami audytu, wyjątków i działań korygujących REG12. Polityka określa, kiedy należy sfinalizować zasady zbierania, zatwierdzone zasady wykorzystywania, oceny zgodności celów dla wtórnego wykorzystywania, zatwierdzenia ujawnienia zewnętrznego i przeglądy cyklicznego udostępniania, oraz przypisuje odpowiedzialności osobie odpowiedzialnej za prywatność / menedżerowi PIMS, właścicielowi procesu / właścicielowi biznesowemu, właścicielowi systemu / właścicielowi aplikacji, właścicielowi dostawcy / zakupów, najwyższemu kierownictwu oraz audytowi wewnętrznemu / przeglądającemu ds. zgodności.

Zasady zatwierdzania REG02

Wymaga udokumentowanych celów, kategorii, minimalnych elementów danych i zatwierdzonych zasad wewnętrznego wykorzystywania przed rozpoczęciem przetwarzania.

Dowody udostępniania REG08

Obejmuje tożsamość odbiorcy, rolę, cel, kategorie PII, częstotliwość udostępniania, lokalizację i upoważnienie dla ujawnień.

Oceny wtórnego wykorzystywania

Wymaga ocen zgodności celów i zatwierdzenia przed wykorzystaniem PII w celu, który nie został jeszcze zapisany w REG02.

Routing lokalizacji transferów

Kieruje nowe kraje, dostęp zdalny i lokalizacje dalszego transferu do REG09 i PII13 przed zatwierdzeniem udostępniania.

Nadzór gotowy do audytu

Wykorzystuje REG12 do wyjątków, niezgodności, ustaleń z audytu, działań korygujących, przeglądów i wyników monitorowania.

Często zadawane pytania

Stworzone dla liderów, przez liderów

Niniejsza polityka została opracowana przez lidera ds. bezpieczeństwa z ponad 25-letnim doświadczeniem w zakresie wdrażania i audytowania systemów ISMS w globalnych organizacjach. Została zaprojektowana nie tylko jako dokument, lecz jako obronne ramy, które wytrzymują kontrolę audytora.

Opracowane przez eksperta posiadającego:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Zasięg i tematy

🏢 Docelowe działy

Prywatność Zgodność Prawo Zakupy Biuro IOD

🏷️ Zakres tematyczny

Przetwarzanie danych osobowych Rejestry przetwarzania Międzynarodowe transfery danych Odpowiedzialności administratora i podmiotu przetwarzającego Zarządzanie stronami trzecimi Zgoda i podstawa prawna Zarządzanie zgodnością
€79

Jednorazowy zakup

Natychmiastowe pobieranie
Dożywotnie aktualizacje

Ta polityka to 1 z 25 w pełnym pakiecie ISO/IEC 27701 PIMS

Oszczędź 52%

Zdobądź wszystkie 25 polityk PIMS, pełen zestaw rejestrów i szczegółowy plan wdrożenia za €799, zamiast €1.675 przy zakupie pojedynczym.

Zobacz pełny pakiet 27701 →
PII Collection, Use, Disclosure and Sharing Policy

Szczegóły produktu

Typ: policy
Kategoria: ISO 27701 PIMS Policy Pack
Standardy: 4