policy ISO 27701 PIMS Policy Pack

Policy för barns integritet

Policy för barns integritet för PIMS: styr integritetsmeddelanden om personuppgifter om barn, samtycke, DPIA:er, rättigheter, personuppgiftsbiträden, incidenter och underlag för beredskap för revision.

Översikt

Denna policy definierar obligatoriska PIMS-kontroller för personuppgifter om barn, tjänster riktade till barn och behandling som barn kan få åtkomst till. Den omfattar identifiering, integritetsmeddelanden, samtycke, godkännande av vårdnadshavare, DPIA-styrning, hantering av rättighetsbegäranden, personuppgiftsbiträden, incidenter, undantag och underlag för beredskap för revision genom REG02, REG04, REG05, REG06, REG07, REG08, REG10 och REG12.

Förstärkta kontroller för personuppgifter om barn

Definierar obligatoriska skyddsåtgärder för behandling av personuppgifter som är riktad till barn, som barn kan få åtkomst till eller som rör barn inom PIMS-omfattningen.

Underlagsstyrd styrning

Styr integritetsmeddelanden, samtycke, DPIA:er, rättigheter, personuppgiftsbiträden, incidenter och korrigerande åtgärder genom definierade underlagsobjekt.

Tydlig ansvarsskyldighet per roll

Tilldelar ansvar till roller inom dataskydd, verksamhet, system, leverantörer, säkerhet, incidenthantering, revision och högsta ledningen.

Läs fullständig översikt (click to expand)
Policy för barns integritet definierar obligatoriska integritetskrav för behandling av personuppgifter som rör barn, tjänster riktade till barn, tjänster som sannolikt kan nås av barn och andra behandlingsaktiviteter där personuppgifter om barn kräver förstärkta skyddsåtgärder. Den gäller i kontexter där organisationen är personuppgiftsansvarig, gemensamt personuppgiftsansvarig, personuppgiftsbiträde eller underbiträde, inklusive webbplatser, applikationer, spel, utbildningstjänster, onlineplattformar, uppkopplade tjänster, kundportaler, lärmiljöer, communities och supportkanaler. Policyn är utformad för att säkerställa att personuppgifter om barn identifieras, styrs, minimeras, förklaras, skyddas och kan styrkas genom skyddsåtgärder som är lämpliga för behandling som är riktad till barn eller som barn kan få åtkomst till. En central del av policyn är att den använder befintliga PIMS-underlagsobjekt i stället för separata barnspecifika register. Policyn kräver att status som riktad till barn, sannolikhet att barn kan få åtkomst, ändamål, kategorier av personuppgifter, kategorier av registrerade, mottagare och bevarandereferenser dokumenteras i REG02. Screening av integritetsrisker och DPIA-beslut styrs genom REG04. Samtycke, godkännande av vårdnadshavare, väg för återkallelse och referenser till samtyckeskvitto registreras i REG05 när det är tillämpligt. Rättighetsbegäranden som rör barn hanteras genom REG06, versioner av barnanpassade integritetsmeddelanden genom REG07, begränsningar för personuppgiftsbiträden och datadelning genom REG08, incidentunderlag genom REG10 samt revisions-, korrigerande åtgärds- och förbättringsposter genom REG12. Policyn anger detaljerade operativa krav för barnanpassad transparens, samtycke, vårdnadshavares ansvar, minimering, bevarande, deltagande i rättighetsprocesser, integritetsskydd genom design och kontroll av utlämnande. Innan personuppgifter om barn samlas in ska processägare eller verksamhetsägare bekräfta att varje kategori av personuppgifter är nödvändig för det dokumenterade ändamålet och definiera de minsta uppgifterna för åldersbedömning som behövs. Tjänster riktade till barn ska använda integritetsskyddande standardinställningar för frivillig insamling, synlighet, delning, personalisering och kommunikation. När personuppgifter om barn omfattar särskilda kategorier, mycket känslig information, platsdata, biometriska uppgifter, beteendedata, kommunikation, utbildningsdata, hälsouppgifter eller säkerhetsrelaterad information krävs granskning av dataskyddsombud eller integritetsrådgivare, och granskningen ska registreras i REG04. Policyn behandlar även scenarier med högre risk, såsom profilering, beteendeanalys, personalisering med betydande effekter, automatiserade beslut, rekommendationsfunktioner, misstänkt missbruk, skadligt röjande, obehörig åtkomst, exploatering, groomingrelaterad risk och andra säkerhetsrelaterade integritetsrisker som rör barn. Dessa frågor styrs genom processer för integritetsgranskning, incidenthantering eller korrigerande åtgärder med användning av REG04, REG10 och REG12 när det är tillämpligt. För leverantörer, personuppgiftsbiträden, underbiträden och mottagare vid datadelning ska leverantörs-/upphandlingsägaren bekräfta dokumenterade barnrelaterade begränsningar, instruktioner, sekretess, förväntningar på återlämnande eller radering samt skyldigheter att bistå i REG08 innan behandling av personuppgifter om barn godkänns. Styrning och tillsyn definieras genom kvartalsvisa granskningar av underlag, beredskapskontroller inför lansering, årliga revisioner, undantagshantering, efterlevnad och tillämpning samt årlig policygranskning. Integritetsansvarig / PIMS-ansvarig samordnar underlagens fullständighet och eskalering i relevanta poster, medan högsta ledningen godkänner kontrollansatsen för barns integritet och granskar systematiska avvikelser. Policyn stödjer ansvarsskyldighet med beredskap för revision genom att kräva övervakningsmätetal för behandlingsaktiviteter riktade till barn, DPIA-screeningar, öppna frågor om integritetsmeddelanden eller samtycke, frågor om personuppgiftsbiträden och delning, återkommande avvikelser och korrigerande åtgärders effektivitet, allt registrerat i REG12 med källunderlag från tillämpliga register.

Policydiagram

Processflödesschema som visar behandling av personuppgifter om barn från mottagning och bedömning av om behandlingen är riktad till barn, via REG02-förteckning, REG07-integritetsmeddelande, REG05-samtycke eller godkännande av vårdnadshavare, REG04-DPIA-screening, REG06-hantering av rättighetsbegäranden, REG08-kontroller för personuppgiftsbiträden och delning, REG10-incidenteskalering samt REG12-övervakning, revision och korrigerande åtgärd.

Klicka på diagrammet för att visa i full storlek

Innehåll

Identifiering och godkännande av behandling riktad till barn

Barnanpassad transparens och integritetsmeddelanden

Samtycke, vårdnadshavares ansvar och återkallelse

Minimering, standardinställningar och bevarande

Rättigheter, DPIA, profilering och säkerhetseskalering

Kontroller för utlämnande, personuppgiftsbiträden, underbiträden och underlag

Ramverksefterlevnad

🛡️ Stödda standarder & ramverk

Den här produkten är anpassad till följande efterlevnadsramverk, med detaljerade klausul- och kontrollmappningar.

Ramverk Täckta klausuler / Kontroller
ISO/IEC 27701:2025
Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.1.2.2Annex A.1.2.3Annex A.1.2.4Annex A.1.2.5Annex A.1.2.6Annex A.1.2.9Annex A.1.2.7Annex A.1.2.8Annex A.1.3.2Annex A.1.3.3Annex A.1.3.4Annex A.1.3.5Annex A.1.3.6Annex A.1.3.7Annex A.1.3.10Annex A.1.3.11Annex A.1.4.2Annex A.1.4.3Annex A.1.4.5Annex A.1.4.8Annex A.1.4.9Annex A.1.5.4Annex A.1.5.5Annex A.2.2.2Annex A.2.2.3Annex A.2.2.6Annex A.2.2.7Annex A.2.3.2Annex A.2.5.4Annex A.2.5.5Annex A.2.5.6Annex A.3.14Annex A.3.25
EU GDPR
Article 5(1)(a)Article 5(1)(b)Article 5(1)(c)Article 5(1)(e)Article 5(2)Article 6Article 7Article 8Article 9Article 12Article 13Article 14Article 15Article 16Article 17Article 18Article 21Article 22Article 24Article 25Article 26Article 28Article 30Article 32Article 35Article 39
ISO/IEC 29100:2020
Clause 5.1Clause 5.8Clause 5.9Clause 5.3Clause 5.4Clause 5.5Clause 5.6Clause 5.10Clause 5.11Clause 5.12
ISO/IEC 29134:2020
Clause 5.1Clause 6.2Clause 6.3
ISO/IEC 29151:2022
Annex A.3Annex A.4Annex A.5Annex A.7Annex A.10
ISO/IEC TS 27560:2023
Clause 5.2Clause 5.3Clause 6.2Clause 6.4

Relaterade policyer

Policy för behandlingsförteckning och rättslig grund

Status som riktad till barn, ändamål, rättslig grund, datakategorier och bevarandereferenser registreras i behandlingsförteckningen.

Policy för integritetsmeddelanden och transparens

Innehåll i integritetsmeddelanden för barn och föräldrar eller vårdnadshavare ska registreras, versionshanteras och uppdateras innan relevanta ändringar genomförs.

Policy för samtyckes- och preferenshantering

Policyn för barns integritet är beroende av samtycke, godkännande av vårdnadshavare, styrning av återkallelse och underlag för kvitto när det är tillämpligt.

Policy för hantering av registrerades rättigheter

Begäranden från barn, föräldrar, vårdnadshavare eller behöriga företrädare styrs genom processen för rättighetshantering.

Policy för bedömning av integritetsrisker och DPIA

Barnspecifik screening av integritetsrisker, DPIA-beslut och granskningar av högriskbehandling är kärnkrav i policyn.

Policy för integritetshantering av personuppgiftsbiträden, underbiträden och tredje parter

Behandling av personuppgifter om barn hos personuppgiftsbiträden, underbiträden, leverantörer och mottagare vid delning kräver dokumenterade begränsningar och säkerhetsunderlag.

Om Clarysecs policyer - Policy för barns integritet

Denna policy för barns integritet är en operativ PIMS-policy för behandling som rör barn, tjänster riktade till barn, tjänster som sannolikt kan nås av barn och andra personuppgifter om barn som kräver förstärkta skyddsåtgärder. Den definierar ansvarsskyldighet mellan roller, inklusive högsta ledningen, integritetsansvarig / PIMS-ansvarig, processägare, systemägare, leverantörs-/upphandlingsägare, informationssäkerhet, incidenthantering och internrevision / granskare av regelefterlevnad. Policyn kräver att underlag bevaras i kanoniska underlagsobjekt såsom REG02, REG04, REG05, REG06, REG07, REG08, REG10 och REG12, i stället för i ett separat register för barns integritet.

Omfattning riktad till barn

Omfattar tjänster riktade till barn, behandling som barn kan få åtkomst till och aktiviteter där personuppgifter om barn behöver förstärkta skyddsåtgärder.

Kanoniska underlag

Använder REG02, REG04, REG05, REG06, REG07, REG08, REG10 och REG12 i stället för ett separat register för barns integritet.

Rollbaserat ägarskap

Tilldelar specifika skyldigheter till roller inom dataskydd, verksamhet, system, leverantörer, säkerhet, incidenthantering, revision och högsta ledningen.

Kvartalsvis tillsyn

Kräver kvartalsvisa granskningar och mätningar för underlag om barns integritet, DPIA:er, frågor och luckor hos personuppgiftsbiträden eller vid delning.

Vanliga frågor

Byggd för ledare, av ledare

Denna policy har utarbetats av en säkerhetsledare med över 25 års erfarenhet av att implementera och revidera ISMS-ramverk för globala företag. Den är utformad inte bara som ett dokument, utan som ett robust ramverk som håller för granskning av revisorer.

Författad av en expert med följande meriter:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Täckning & Ämnen

🏢 Målavdelningar

Dataskydd juridik regelefterlevnad IT-säkerhet DPO-kontor

🏷️ Ämnestäckning

Ledningssystem för hantering av integritetsinformation behandling av personuppgifter hantering av registrerades rättigheter konsekvensbedömning avseende dataskydd integritetsskydd genom design samtycke och rättslig grund hantering av tredje parter
€99

Engångsköp

Omedelbar nedladdning
Livstidsuppdateringar

Denna policy är 1 av 25 i det fullständiga ISO/IEC 27701 PIMS-paketet

Spara 52%

Få alla 25 PIMS-policyer, en komplett uppsättning register och en detaljerad implementeringsplan för €799, istället för €1 675 om du köper separat.

Visa fullständigt 27701-paket →
Children's Privacy Policy

Produktdetaljer

Typ: policy
Kategori: ISO 27701 PIMS Policy Pack
Standarder: 6