policy ISO 27701 PIMS Policy Pack

Politica privind colectarea, utilizarea, divulgarea și partajarea PII

Controlați colectarea, utilizarea, divulgarea și partajarea PII cu dovezi REG02/REG08, rutarea transferurilor și responsabilitate pregătită pentru audit.

Prezentare generală

Această politică guvernează modul în care PII sunt colectate, utilizate, divulgate și partajate în domeniul de aplicare al PIMS. Aceasta impune înregistrări REG02 aprobate pentru colectare și utilizare, dovezi REG08 pentru divulgări și partajare, rutare REG09 pentru locațiile de transfer și înregistrări REG12 pentru excepții, audituri și acțiuni corective.

Utilizare aprobată a PII

Impune scopuri de colectare documentate, reguli aprobate de utilizare internă și justificări ale necesității înainte de începerea prelucrării.

Dovezi privind divulgarea

Înregistrează divulgările externe și partajarea recurentă în REG08, inclusiv destinatarul, scopul, categoriile de PII și frecvența.

Rutarea transferurilor

Corelează partajarea care implică țări noi, acces la distanță sau locații de transfer ulterior cu REG09 și deciziile de rutare PII13.

Citește prezentarea completă (click to expand)
Politica privind colectarea, utilizarea, divulgarea și partajarea PII definește cerințele operaționale pentru modul în care informațiile de identificare personală sunt colectate, utilizate, divulgate și partajate în domeniul de aplicare al PIMS. Scopul declarat este de a asigura că PII sunt gestionate numai pentru scopuri documentate, aprobate, limitate și asumate responsabil. Politica se aplică în contexte de operator, operator asociat, persoană împuternicită și persoană subîmputernicită și acoperă colectarea prin canale directe, indirecte, automatizate, manuale, interne, externe și ale terților. Aceasta abordează, de asemenea, utilizarea internă aprobată de către procese de afaceri, sisteme și aplicații, utilizarea secundară pentru scopuri noi sau modificate semnificativ, divulgarea externă către destinatari și terți, precum și relațiile recurente de partajare a datelor și divulgările punctuale. O caracteristică centrală a politicii este utilizarea registrelor de dovezi pentru a corela deciziile privind confidențialitatea cu înregistrări care pot fi auditate. REG02 este utilizat pentru inventarul prelucrărilor PII, scopurile aprobate, regulile de colectare, regulile de utilizare și verificările compatibilității pentru utilizare secundară. REG08 este utilizat pentru înregistrările privind persoanele împuternicite, persoanele subîmputernicite și partajarea datelor, inclusiv identitatea destinatarului, rolul destinatarului, scopul divulgării, categoriile de PII, frecvența partajării, locația prelucrării și sursa autorității. REG09 este utilizat atunci când partajarea implică o țară nouă, o organizație internațională, o locație de acces la distanță, o locație a destinatarului sau o locație de transfer ulterior. REG12 este utilizat pentru excepții, neconformități, constatări de audit, acțiuni corective, probleme care blochează implementarea și înregistrări ale revizuirii politicii. Politica stabilește puncte de control clare înainte de începerea prelucrării. Proprietarii de proces sau proprietarii activității trebuie să înregistreze în REG02 scopurile colectării, sursele sau canalele, categoriile de PII, categoriile de persoane vizate și elementele minime de date înainte de începerea unei colectări noi sau a unei modificări semnificative. Aceștia trebuie, de asemenea, să documenteze o justificare a necesității pentru fiecare element de date PII înainte de colectare. Proprietarii de sistem sau proprietarii de aplicații pot implementa numai câmpuri de colectare, câmpuri de flux de lucru, rapoarte, exporturi sau rezultate de divulgare aprobate, care corespund aprobării REG02 sau REG08. În contexte de persoană împuternicită, alinierea la instrucțiunea clientului trebuie înregistrată înainte ca PII ale clientului să fie colectate, utilizate sau divulgate. Utilizarea secundară este tratată ca o decizie guvernată, nu ca o extindere informală a unei activități existente. Înainte ca PII să fie utilizate pentru un scop care nu este deja aprobat în REG02, Proprietarul de proces sau proprietarul activității trebuie să înregistreze o verificare a compatibilității care acoperă scopul inițial, scopul propus, dependența de temeiul juridic, categoriile de PII, așteptările persoanelor vizate, raționamentul de minimizare, impactul divulgării sau al transferului și rutarea către alte politici PIMS, acolo unde este necesar. Responsabilul pentru confidențialitate sau Managerul PIMS trebuie să înregistreze o aprobare sau o respingere înainte de începerea utilizării secundare. Atunci când sunt implicate partajări recurente sensibile, persoane vizate vulnerabile, înregistrări cu impact ridicat sau așteptări modificate semnificativ, opinia Responsabilului cu protecția datelor sau a consilierului pentru confidențialitate trebuie înregistrată înainte de aprobare. Guvernanța, măsurarea și aplicarea sunt integrate în politică. Responsabilul pentru confidențialitate sau Managerul PIMS revizuiește regulile de utilizare aprobată cel puțin anual, reconciliază scopurile aprobate din REG02 cu înregistrările active de partajare din REG08 cel puțin anual și înregistrează rezultatele în REG12. Responsabilii pentru furnizori sau achiziții reconciliază cel puțin trimestrial intrările active de partajare din REG08 cu relațiile active cu persoane împuternicite, persoane subîmputernicite, destinatari și relațiile de partajare a datelor. Auditorii interni sau revizorii de conformitate eșantionează anual dovezile REG02, REG08 și REG09 și înregistrează rezultatele în REG12. Colectarea, utilizarea, divulgarea sau partajarea neaprobată trebuie înregistrată ca neconformitate în termen de cinci zile lucrătoare, iar prelucrarea poate fi suspendată în termen de o zi lucrătoare atunci când lipsesc dovezile aprobate.

Diagramă politică

Flux de proces care arată o solicitare de colectare sau utilizare a PII înregistrată în REG02, revizuirea privind confidențialitatea, verificarea utilizării secundare, aprobarea divulgării în REG08, rutarea transferului în REG09, monitorizarea și excepțiile sau acțiunile corective din REG12.

Faceți clic pe diagramă pentru a vizualiza dimensiunea completă

Conținut

Limitarea colectării și aprobarea REG02

Controale pentru utilizarea internă aprobată

Verificări ale compatibilității pentru utilizare secundară

Divulgare externă și înregistrări REG08 privind partajarea

Rutarea transferurilor internaționale către REG09 și PII13

Excepții, audit și acțiuni corective prin REG12

Conformitate cu cadrul

🛡️ Standarde și cadre suportate

Acest produs este aliniat cu următoarele cadre de conformitate, cu mapări detaliate ale clauzelor și controalelor.

Cadru Clauze / Controale acoperite
ISO/IEC 27701:2025
Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.1.2.2Annex A.1.2.9Annex A.1.2.3Annex A.1.2.8Annex A.1.4.2Annex A.1.4.3Annex A.1.4.5Annex A.1.5.2Annex A.1.5.3Annex A.1.5.4Annex A.1.5.5Annex A.2.2.2Annex A.2.2.3Annex A.2.2.7Annex A.2.5.2Annex A.2.5.3Annex A.2.5.4Annex A.2.5.5Annex A.2.5.6
EU GDPR
Article 5(1)(b)Article 5(1)(c)Article 5(2)Article 6Article 24Article 26Article 28Article 30
ISO/IEC 29100:2020
Clause 5.3Clause 5.4Clause 5.5Clause 5.6Clause 5.10Clause 5.12
ISO/IEC 29151:2022
Annex A.3Annex A.4Annex A.5Annex A.7

Politici conexe

Politica privind transferurile internaționale

Are legătură deoarece partajarea care implică locații noi de transfer trebuie rutată către REG09 și PII13 înainte de aprobare.

Politica de monitorizare, audit și îmbunătățire PIMS

Are legătură deoarece excepțiile, neconformitățile, rezultatele auditului, acțiunile corective și înregistrările de îmbunătățire sunt gestionate prin REG12.

Politica privind inventarul prelucrărilor și temeiul juridic

Are legătură deoarece înregistrările de prelucrare REG02 și actualizările temeiului juridic sunt necesare pentru deciziile privind colectarea, utilizarea aprobată și utilizarea secundară.

Politica privind notele de informare privind confidențialitatea și transparența

Are legătură deoarece controalele privind colectarea și utilizarea funcționează împreună cu conținutul notelor de informare privind confidențialitatea, publicarea și controlul versiunilor.

Politica privind evaluarea riscurilor privind confidențialitatea și DPIA

Are legătură deoarece utilizarea secundară poate necesita evaluare preliminară PII07 atunci când o verificare a compatibilității identifică o modificare semnificativă a riscului privind confidențialitatea.

Politica de management al confidențialității pentru persoane împuternicite, persoane subîmputernicite și terți

Are legătură deoarece divulgările și partajarea cu persoane împuternicite, persoane subîmputernicite, furnizori și terți sunt înregistrate și guvernate prin REG08.

Despre politicile Clarysec - Politica privind colectarea, utilizarea, divulgarea și partajarea PII

Această politică operaționalizează colectarea, utilizarea, divulgarea și partajarea responsabilă a PII în contexte de operator, operator asociat, persoană împuternicită și persoană subîmputernicită. Aceasta corelează regulile și aprobările activităților organizației cu înregistrările de prelucrare REG02, dovezile REG08 privind divulgarea și partajarea, rutarea transferurilor internaționale REG09 și înregistrările REG12 privind auditul, excepțiile și acțiunile corective. Politica definește când trebuie finalizate regulile de colectare, regulile de utilizare aprobată, verificările compatibilității pentru utilizare secundară, aprobările pentru divulgare externă și revizuirile partajărilor recurente și atribuie responsabilități Responsabilului pentru confidențialitate / Managerului PIMS, Proprietarului de proces / proprietarului activității, Proprietarului de sistem / Proprietarului de aplicație, responsabilului pentru furnizori / achiziții, conducerii de vârf și revizorului de audit intern / conformitate.

Reguli de aprobare REG02

Impune scopuri, categorii, elemente minime de date și reguli de utilizare internă aprobată documentate înainte de începerea prelucrării.

Dovezi REG08 privind partajarea

Captează identitatea destinatarului, rolul, scopul, categoriile de PII, frecvența partajării, locația și autorizarea pentru divulgări.

Verificări ale utilizării secundare

Impune verificări ale compatibilității și aprobare înainte ca PII să fie utilizate pentru un scop care nu este deja înregistrat în REG02.

Rutarea locațiilor de transfer

Rutează țările noi, accesul la distanță și locațiile de transfer ulterior către REG09 și PII13 înainte de aprobarea partajării.

Supraveghere pregătită pentru audit

Utilizează REG12 pentru excepții, neconformități, constatări de audit, acțiuni corective, revizuiri și rezultate ale monitorizării.

Întrebări frecvente

Conceput pentru lideri, de către lideri

Această politică a fost elaborată de un lider în securitate cu peste 25 de ani de experiență în implementarea și auditarea cadrelor ISMS pentru organizații globale. Este concepută nu doar ca un document, ci ca un cadru defensibil, care rezistă analizei unui auditor.

Elaborat de un expert care deține:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Acoperire și subiecte

🏢 Departamente țintă

Confidențialitate Conformitate Juridic Achiziții Biroul DPO

🏷️ Acoperire tematică

Prelucrarea datelor cu caracter personal Evidențe ale activităților de prelucrare Transferuri internaționale de date Responsabilități ale operatorului și ale persoanei împuternicite Managementul terților Consimțământ și temei juridic Managementul conformității
€79

Achiziție unică

Descărcare instantanee
Actualizări pe viață

Această politică este 1 din 25 în Pachetul PIMS ISO/IEC 27701 complet

Economisiți 52%

Obțineți toate cele 25 de politici PIMS, setul complet de registre și un plan detaliat de implementare pentru €799, în loc de €1.675 individual.

Vezi Pachetul 27701 complet →
PII Collection, Use, Disclosure and Sharing Policy

Detalii produs

Tip: policy
Categorie: ISO 27701 PIMS Policy Pack
Standarde: 4