policy ISO 27701 PIMS Policy Pack

Politica de retenție, ștergere și eliminare a PII

Definește controale pentru retenția, ștergerea și eliminarea PII, cu guvernanță susținută de dovezi, la nivelul sistemelor, backup-urilor, persoanelor împuternicite și excepțiilor.

Prezentare generală

Această politică definește modul în care retenția, ștergerea, anonimizarea, dezidentificarea, returnarea, transferul și eliminarea PII sunt guvernate și susținute prin dovezi. Se aplică în contexte de operator de date, operator asociat, persoană împuternicită și persoană subîmputernicită și acoperă sisteme active, backup-uri, arhive, jurnale, fișiere temporare, înregistrări pe hârtie și medii de stocare.

Reguli de retenție înainte de utilizare

Impune perioade, declanșatoare, proprietari, justificări, dispunere finală și date de revizuire documentate în REG02 înainte de aprobare.

Dispunere finală controlată

Acoperă ștergerea, returnarea, transferul, anonimizarea, dezidentificarea și eliminarea securizată la nivelul datelor active, arhivelor și backup-urilor.

Alinierea persoanelor împuternicite

Impune instrucțiuni ale clientului, obligații transmise în lanț către persoanele subîmputernicite și dovezi privind dispunerea finală în REG08.

Citește prezentarea completă (click to expand)
Politica de retenție, ștergere și eliminare a PII stabilește cerințele organizației pentru definirea, revizuirea, executarea și documentarea prin dovezi a retenției, ștergerii, anonimizării, dezidentificării, returnării, transferului și eliminării PII. Scopul său central este de a asigura că PII sunt păstrate numai pentru scopuri și perioade aprobate, sunt șterse sau eliminate prin alte metode atunci când nu mai sunt necesare și sunt susținute de dovezi pregătite pentru audit. Politica se aplică în contexte de operator de date, operator asociat, persoană împuternicită și persoană subîmputernicită, reflectând faptul că obligațiile de retenție și de dispunere finală pot rezulta din scopuri de prelucrare aprobate, înregistrări privind temeiul juridic, instrucțiuni ale operatorului, cerințe contractuale, rezultate ale ștergerii solicitate de persoana vizată, ieșirea din serviciu, eliminarea mediilor de stocare și constatări din monitorizarea PIMS. Politica are o orientare operațională și impune ca guvernanța retenției să fie integrată în înregistrările canonice de dovezi ale PIMS, nu menținută într-un registru separat de ștergere. Activitățile de prelucrare ale operatorului de date trebuie să aibă o regulă de retenție documentată și atribuită în REG02 înainte de începerea prelucrării. Responsabilitățile operatorului asociat sunt consemnate în REG02 și REG08, iar instrucțiunile privind retenția, returnarea, transferul și ștergerea aplicabile persoanelor împuternicite și persoanelor subîmputernicite sunt menținute în REG08. Regulile de retenție aprobate trebuie să includă perioada de retenție, declanșatorul de început, proprietarul, justificarea, dispunerea finală și data următoarei revizuiri. Politica impune, de asemenea, consultarea Responsabilului cu protecția datelor sau a Consilierului pentru confidențialitate înainte de aprobarea regulilor de retenție care implică un conflict juridic, prelucrare cu risc ridicat, PII din categorii speciale sau retenție peste scopul inițial al prelucrării. Cerințele de executare acoperă întregul ciclu de viață al PII. Proprietarul de sistem / proprietarul de aplicație trebuie să execute sau să programeze ștergerea, returnarea, transferul, anonimizarea, dezidentificarea sau eliminarea aprobată în intervalul de ștergere consemnat pentru regula de retenție aplicabilă. Politica distinge între sisteme active, arhive, copii de rezervă, replici, jurnale, zone de staging și fișiere temporare, impunând ca aceste spații de stocare să fie identificate în REG02 înainte de intrarea în producție și în timpul revizuirii anuale a retenției. De asemenea, impune documentarea intervalelor de retenție pentru backup-uri și a gestionării ștergerii la restaurare, precum și reaplicarea acțiunilor de ștergere sau restricționare expirate asupra datelor restaurate din backup înainte ca mediul restaurat să fie pus la dispoziție pentru activitățile organizației. Fișierele temporare și copiile de staging care conțin PII trebuie șterse sau eliminate în perioada documentată în REG02 după încheierea sarcinii de prelucrare aferente. Politica tratează, de asemenea, eliminarea securizată, anonimizarea, dezidentificarea, controlul excepțiilor și monitorizarea. Clasele metodelor de eliminare pentru mediile de stocare care conțin sau pot conține PII trebuie aprobate de responsabilul cu securitatea informației în REG12 înainte de reutilizare, eliberare, distrugere sau eliminare externă. Anonimizarea sau dezidentificarea poate fi utilizată ca măsură de reducere a riscului de retenție sau ca rezultat de dispunere finală, dar trebuie documentată în REG02 și aprobată de responsabilul cu confidențialitatea / Managerul PIMS înainte ca PII identificabile să fie păstrate peste scopul sau perioada de retenție. Excepțiile de la regulile de retenție aprobate trebuie depuse și aprobate în REG12 înainte de a deveni active, cu revizuire lunară până la închidere. Metrici precum metadatele complete de retenție, revizuirile restante, acțiunile restante din ciclul de viață și dovezile restante privind dispunerea finală sunt măsurate la intervale definite, iar neconformitățile, constatările de audit și acțiunile corective sunt legate de REG12 pentru a susține îmbunătățirea continuă.

Diagramă politică

Diagramă de flux de proces care prezintă guvernanța retenției PII, de la atribuirea regulii de retenție în REG02, revizuirea anuală și aplicarea tehnică, până la ștergere, returnare, transfer, anonimizare sau eliminare, cu dovezi privind persoanele împuternicite în REG08, excepții și acțiuni corective în REG12 și escaladarea incidentelor în REG10 atunci când eșecurile îndeplinesc criteriile de incident PII.

Faceți clic pe diagramă pentru a vizualiza dimensiunea completă

Conținut

Deținerea regulilor de retenție și metadatele obligatorii

Executarea ștergerii, returnării, transferului și eliminării

Backup-uri, arhive, replici, jurnale și fișiere temporare

Anonimizare, dezidentificare și minimizarea retenției

Excepții, neconformități și acțiune corectivă

Metrici, eșantionare de audit și întreținerea politicii

Conformitate cu cadrul

🛡️ Standarde și cadre suportate

Acest produs este aliniat cu următoarele cadre de conformitate, cu mapări detaliate ale clauzelor și controalelor.

Cadru Clauze / Controale acoperite
ISO/IEC 29100:2020
Clause 5.5Clause 5.6Clause 5.10
ISO/IEC 29151:2022
Annex A.7Annex A.7.2
EU GDPR
Article 5(1)(e)Article 5(2)Article 17Article 24Article 26Article 28Article 30Article 32
ISO/IEC 27701:2025
Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.1.2.8Annex A.1.2.9Annex A.1.3.7Annex A.1.3.8Annex A.1.4.6Annex A.1.4.7Annex A.1.4.8Annex A.1.4.9Annex A.2.2.2Annex A.2.2.3Annex A.2.2.7Annex A.2.3.2Annex A.2.4.2Annex A.2.4.3Annex A.3.20Annex A.3.21Annex A.3.24
ISO/IEC 27555:2025
Clause 5.1Clause 5.2Clause 5.3Clause 5.4Clause 5.5Clause 5.6Clause 5.8Clause 7.2Clause 7.3Clause 8.3Clause 9.1Clause 9.2Clause 9.3Clause 9.4Clause 9.5Clause 9.6Clause 9.7Clause 10.1Clause 10.2Clause 10.3
ISO/IEC 27557:2022
Clause 4Clause 5.2Clause 5.3Clause 5.4.1
ISO/IEC 27002:2022
Control 7.14Control 8.10

Politici conexe

Politica de management al drepturilor persoanei vizate

Cererile de ștergere aprobate declanșează evaluarea ștergerii în REG06 și REG02 în cadrul acestei politici de retenție.

Politica de management al confidențialității privind persoanele împuternicite, persoanele subîmputernicite și terții

Dovezile privind returnarea, transferul, ștergerea și eliminarea aplicabile persoanelor împuternicite, persoanelor subîmputernicite și terților sunt gestionate prin REG08.

Politica de securitate și control al accesului

Clasele metodelor de eliminare securizată, gestionarea mediilor de stocare și aplicarea tehnică depind de controalele de securitate.

Politica de management al incidentelor și al încălcărilor securității datelor

Eșecurile de retenție, ștergere sau eliminare care îndeplinesc criteriile de incident PII necesită gestionarea prin REG10.

Politica de monitorizare, audit și îmbunătățire a PIMS

Metricile de retenție, eșantionarea dovezilor, neconformitățile și acțiunile corective sunt integrate cu monitorizarea și îmbunătățirea.

Politica privind inventarul prelucrărilor și temeiurile juridice

Regulile de retenție și metadatele privind dispunerea finală sunt consemnate în Inventarul prelucrărilor PII / ROPA.

Despre politicile Clarysec - Politica de retenție, ștergere și eliminare a PII

Politica de retenție, ștergere și eliminare a PII transformă limitarea stocării într-un model operațional verificabil. Aceasta impune ca regulile de retenție să fie definite înainte de începerea prelucrării, consemnate în REG02, aliniate cu instrucțiunile operatorului de date sau ale clientului și revizuite cel puțin anual sau după o modificare semnificativă. Politica acoperă ștergerea, returnarea, transferul, anonimizarea, dezidentificarea și eliminarea securizată la nivelul sistemelor active, arhivelor, copiilor de rezervă, replicilor, jurnalelor, zonelor de staging, fișierelor temporare, înregistrărilor pe hârtie și mediilor de stocare. De asemenea, definește roluri de guvernanță, cerințe privind dovezile pentru persoanele împuternicite și persoanele subîmputernicite, gestionarea excepțiilor în REG12, escaladarea incidentelor prin REG10 atunci când este aplicabil și monitorizarea bazată pe metrici pentru îmbunătățirea continuă.

Metadate de retenție definite

Impune perioada, declanșatorul, proprietarul, justificarea, dispunerea finală și data următoarei revizuiri înainte de aprobare.

Controale de eliminare securizată

Impune clase aprobate ale metodelor de eliminare înainte de reutilizarea, eliberarea, distrugerea sau eliminarea externă a mediilor care conțin PII.

Gestionarea backup-urilor și arhivelor

Aplică regulile de retenție arhivelor și documentează intervalele de backup, gestionarea restaurării și constrângerile tehnice.

Dovezi ale furnizorilor

Impune dovezi din partea persoanelor împuternicite, persoanelor subîmputernicite și serviciilor externe pentru acțiunile de returnare, transfer, ștergere și eliminare.

Guvernanța excepțiilor

Impune excepții aprobate și limitate în timp, cu proprietari, date de expirare, controale compensatorii și revizuire lunară.

Întrebări frecvente

Conceput pentru lideri, de către lideri

Această politică a fost elaborată de un lider în securitate cu peste 25 de ani de experiență în implementarea și auditarea cadrelor ISMS pentru organizații globale. Este concepută nu doar ca un document, ci ca un cadru defensibil, care rezistă analizei unui auditor.

Elaborat de un expert care deține:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Acoperire și subiecte

🏢 Departamente țintă

Confidențialitate Juridic Conformitate Securitate IT Biroul DPO

🏷️ Acoperire tematică

Retenția și eliminarea datelor Evidențe ale activităților de prelucrare Managementul drepturilor persoanelor vizate Responsabilitățile operatorului de date și ale persoanei împuternicite Managementul terților Managementul conformității Managementul riscurilor
€79

Achiziție unică

Descărcare instantanee
Actualizări pe viață

Această politică este 1 din 25 în Pachetul PIMS ISO/IEC 27701 complet

Economisiți 52%

Obțineți toate cele 25 de politici PIMS, setul complet de registre și un plan detaliat de implementare pentru €799, în loc de €1.675 individual.

Vezi Pachetul 27701 complet →
PII Retention, Deletion and Disposal Policy

Detalii produs

Tip: policy
Categorie: ISO 27701 PIMS Policy Pack
Standarde: 7