ISO 27701 – Lauseke 6.4.2 – Työsuhteen aikana

ISO 27701:n lausekkeessa 6.4.2 hahmotellaan yksityisyyden suojatoimenpiteitä työsuhteen aikana. Siinä korostetaan johdon vastuita, työntekijöiden koulutusta ja kurinpitomenettelyjä, joilla varmistetaan tietosuojamääräysten noudattaminen ja henkilökohtaisten tunnistetietojen (PII) turvallinen käsittely.

Tarvitsemme meille antamiasi tietoja ottaaksemme sinuun yhteyttä palveluihimme liittyen.
Peruuta tilaus milloin tahansa. Lisätietoja saat tutustumalla Tietosuojakäytäntö.

kirjailija
Max Edwards
Päivitetty 25
LinkedIn Twitter Twitter

Miten ISO 27701 takaa yksityisyyden työsuhteen aikana: opas lausekkeeseen 6.4.2

Organisaatioilla on velvollisuus henkilöstöään kohtaan, mikä ulottuu siihen, että he tiedottavat henkilökunnalle siitä, mitä heiltä odotetaan yksityisyyden suojan ja henkilötietojen osalta – sekä yleisellä että aihekohtaisella tasolla.

Henkilötietojen rekisterinpitäjinä organisaatioiden olisi järjestettävä jatkuvaa koulutusta ja tiedotusohjelmia sekä noudatettava vankkaa kurinpitopolitiikkaa, joka asettaa selkeät odotukset molemmille osapuolille tietomurron sattuessa.

Mitä ISO 27701:n lauseke 6.4.2 kattaa

ISO 27701 6.4.2 sisältää kolme pääalalauseketta, jotka käsittelevät työpaikkakohtaisten yksityisyyden suojan eri näkökohtia.

Jokainen aihe sisältää ohjeita useista ISO 27002 -säätimistä, joka on esitetty organisaation tietosuojatietojen hallinnan ja henkilökohtaisten tunnistetietojen suojauksen yhteydessä:

  • ISO 27701 lauseke 6.4.2.1 – Johdon vastuut (viitteet ISO 27002 Control 5.4)
  • ISO 27701 lauseke 6.4.2.2 – Tietoturvatietoisuus, koulutus ja koulutus (viitteet ISO 27002 Control 6.3)
  • ISO 27701 lauseke 6.4.2.3 – Kurinpitomenettelyt (viitteet ISO 27002 Control 6.4)

Muita PIMS-kohtaisia ​​henkilökohtaisten tunnistetietojen käsittelyä koskevia ohjeita löytyy kohdasta 6.4.2.1, joka liittyy myös Yhdistyneen kuningaskunnan GDPR-lainsäädäntöön.

Huomaa, että GDPR-vertailut on tarkoitettu vain suuntaa-antava. Organisaatioiden tulee tutkia lainsäädäntöä ja tehdä omat arvionsa siitä, mitä lain osia niihin sovelletaan.



Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa

ISMS.online tukee yli 100 standardia
ja määräykset, mikä antaa sinulle yhden
alusta kaikkiin vaatimustenmukaisuustarpeisiisi.

Varaa demo


ISO 27701, lauseke 6.4.2.1 – Johdon vastuut

Viitteet ISO 27002 Control 5.4

Johdon rooli on avainasemassa yksityisyyden suojastandardien ylläpitämisessä – sekä hallinnollisesta näkökulmasta että sen varmistamisessa, että henkilökunta ymmärtää, mitä heiltä odotetaan, ja käyttäytyy sen mukaisesti.

Ylimmän johdon tulee varmistaa, että koko henkilöstö:

  • Tunnustavat henkilökohtaiset vastuunsa yksityisyyden tietojen hallintaa ja yksityisyyden suojaa kohtaan – sekä yleisesti että aihekohtaisesta näkökulmasta – ennen kuin he saavat olla vuorovaikutuksessa henkilökohtaisten tunnistetietojen ja niihin liittyvien resurssien kanssa (katso ISO 27002 6.3).
  • Heillä on selkeät ohjeet ja menettelytavat, jotka ohjaavat yksityisyyden suojaa heidän roolinsa puitteissa.
  • He saavat resurssit ja asianmukaiset valtuudet suunnitella projekteja/muutoksia ja noudattaa organisaation yleisiä ja aihekohtaisia ​​tietosuojakäytäntöjä.
  • Ymmärrä heidän työehtonsa yksityisyyden suojaan liittyen ja mitä ne käytännössä tarkoittavat.
  • Heille annetaan mahdollisuus kehittää ymmärrystään yksityisyyden suojasta sekä konseptina että jatkuvana toiminnallisena harkintana.
  • Ymmärrä, kuinka voit kertoa nimettömästi tietosuojakäytäntöjen rikkomuksista organisaatiossa (alias "whistleblowing"), ja sinulle tarjotaan keinot ilmoittaa anonyymisti tietosuojakäytäntöjen rikkomuksista.

Asiaankuuluvat säätimet

  • ISO 27002 6.3

ISO 27701 lauseke 6.4.2.2 – Tietoturvatietoisuus, koulutus ja koulutus

Viitteet ISO 27002 Control 6.3

koulutus

Jatkuvalla työpaikkakoulutuksella varmistetaan, että henkilöstö pysyy ajan tasalla organisaation yksityisyydensuojakäytännöistä (yleiset ja aihekohtaiset), PII-lainsäädännön muutoksista ja alakohtaisista sääntelyohjeista.

Yleisenä lähestymistapana organisaatioiden tulisi toteuttaa määräajoin henkilöstön koulutusohjelmia (mukaan lukien käyttöönottovaiheen aikana), jotka ovat nimenomaan omien yleisten ja aihekohtaisten yksityisyyden suojakäytäntöjen ja PIMS-vaatimusten mukaisia.

Koulutusmuodot voivat sisältää:

  • eLearning.
  • Henkilökohtainen konsultointi.
  • Henkilökunnan jäsenet varjostavat toisiaan.
  • Aihekohtaisten tai yleisten yksityisyyden suojan asiantuntijoiden järjestämät koulutusseminaarit.
  • Työpaikan mentorointi.

Henkilöstön, jolla on erityistehtävä yksityisyyden suojaan – esimerkiksi tieto- ja viestintätekniikan huoltohenkilöstön – tulisi hyötyä erityiskoulutussuunnitelmista, joissa otetaan huomioon heidän keskeinen roolinsa henkilötietojen suojaamisessa.

Koulutussuunnitelmien/istuntojen tulee päättyä arviointiin, joka tarjoaa organisaatiolle ylhäältä alas näkymän pätevyyden tasoista työntekijäkohtaisesti.

Tietoisuusohjelmat

Työpaikkakoulutuksen täydentämiseksi organisaatioiden tulisi myös ottaa käyttöön yksityisyyden suojan tiedotusohjelmia, jotka tarjoavat henkilöstölle erilaisia ​​materiaaleja, jotka toimivat tietopisteinä henkilökohtaisista tunnisteista ja organisaation yksityisyyden suojasta.

Tietoisuusohjelmat voivat sisältää:

  1. esitteitä.
  2. esitteitä.
  3. toimiston julisteita.
  4. omistettuja verkkosivustoja.
  5. tiimin tiedotustilaisuudet.

Tietoisuuden lisäämispyrkimykset olisi keskitettävä:

  • Miten johto aikoo ylläpitää yksityisyyden suojan noudattamista koko organisaatiossa ja ketkä ovat tärkeimmät yhteyshenkilöt henkilötietoihin liittyvissä asioissa.
  • Mitkä ovat organisaation vaatimustenmukaisuusvaatimukset lait, määräykset, sopimusvelvoitteet ja toimittajasopimukset huomioon ottaen.
  • Korostetaan henkilökohtaisen vastuuvelvollisuuden tarvetta henkilökohtaisten tunnistetietojen suojaamisessa ja mitä seurauksia on tahattomista tai tarkoituksellisista menettelytaparikkomuksista.
  • ICT-turvallisuuden perusperiaatteet, kuten salasanasuojaus ja tapahtumaraportointi.
  • Miten henkilöstö voi saada tietoa yksityisyyden suojan hienoimmista puolista (lisätietoja, resurssiluettelot jne.).

Muita PIMS-kohtaisia ​​ohjeita

Henkilökohtaisia ​​tunnistetietoja tulee käsitellä omana erillisenä aiheensa yksityisyyden suojan koulutusohjelmissa.

Henkilökunta on saatava tarkasti tietoiseksi erityisistä oikeudellisista, kaupallisista, maineeseen liittyvistä ja kurinpidollisista seurauksista, jotka johtuvat henkilökohtaisten tunnistetietojen väärinkäytöstä ja/tai väärinkäytöstä.

GDPR-ohjeet

  • 39 artikla – 1 kohdan b alakohta


Vaatimustenmukaisuuden ei tarvitse olla monimutkaista.

Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.

Varaa demo


ISO 27701, lauseke 6.4.2.3 – Kurinpitomenettelyt

Viitteet ISO 27002 Control 6.4

Organisaatioiden tulee kehittää kurinpidollisia menettelyjä, jotka koskevat henkilöitä, jotka ovat rikkoneet yleisiä tai aihekohtaisia ​​yksityisyyden suojakäytäntöjä.

Ennen kurinpidollisiin toimiin ryhtymistä on tärkeää, että organisaatio vahvistaa, että käytäntörikkomus on todella tapahtunut (katso ISO 27002 5.28).

Kurinpitomenettelyissä tulee ottaa huomioon:

  • Tietoturvaloukkauksen taustalla oleva luonne ja sen erilaiset seuraukset.
  • Asianomaisen henkilön motiivit ja oliko loukkaus tahallinen vai ei.
  • Kuinka monta kertaa henkilö on rikkonut tietosuojakäytäntöä.
  • Jos henkilö on saanut riittävän koulutuksen asiaan liittyvistä yksityisyyden suojan näkökohdista.
  • Mikä tahansa henkilökohtainen oikeus nimettömään kurinpitoprosessin ajan.

Kurinpitotoimia vahvistetuissa rikkomuksissa tulisi käyttää pelotteena samankaltaiselle toiminnalle, ja niissä olisi otettava huomioon organisaation velvollisuudet henkilökohtaisten tunnistetietojen rekisterinpitäjänä ja käsittelijänä sekä kaikki asiaankuuluvat lait, sääntelyohjeet ja sopimusvelvoitteet.

Asiaankuuluvat säätimet

  • ISO 27002 5.28

Tuetut ohjaimet ISO 27002:sta ja GDPR:stä

ISO 27701 -lausekkeen tunnisteISO 27701 -lausekkeen nimiISO 27002 -vaatimusAsiaan liittyvät GDPR-artikkelit
6.4.2.1Johtamisvastuut
5.4 – ISO 27002:n hallintovastuut
Ei eristetty
6.4.2.2Tietoturvatietoisuus, koulutus ja koulutus
6.3 – Tietoturvatietoisuus, koulutus ja koulutus ISO 27002:ta varten
 Artikkeli (39)
6.4.2.3Kurinpitomenettelyt
6.4 – ISO 27002 -standardin kurinpitomenettely
Ei eristetty

Miten ISMS.online auttaa

Meillä on sinut peitetty.

Jos jostain syystä koet itseluottamuksen, kyvyn tai halun puuttua matkallasi kohti ISO 27701 -standardia, voimme tarjota oman asiantuntijatiimimme saataville tai suositella jotakin luotetuista kumppaneistamme tehostamaan työtäsi.

Täältä saat apua, kun sitä tarvitset.

Lisätietoja: varata demo.

Hyppää aiheeseen

Max Edwards

Max toimii osana ISMS.online-markkinointitiimiä ja varmistaa, että verkkosivustomme päivitetään hyödyllisellä sisällöllä ja tiedolla kaikesta ISO 27001, 27002 ja vaatimustenmukaisuudesta.

ISMS Platform Tour

Oletko kiinnostunut ISMS.online-alustakierroksesta?

Aloita ilmainen 2 minuutin interaktiivinen demo nyt ja koe ISMS.onlinen taika toiminnassa!

Kokeile ilmaiseksi

Olemme alamme johtaja

Käyttäjät rakastavat meitä
Leader Winter 2025
Leader Winter 2025 Iso-Britannia
Paras ROI-talvi 2025
Nopein käyttöönotto talvi 2025
Toteutettavin talvi 2025

"ISMS.Online, erinomainen työkalu sääntelyn noudattamiseen"

-Jim M.

"Tekee ulkoisista tarkastuksista helppoa ja yhdistää kaikki ISMS:si osat saumattomasti yhteen"

-Karen C.

"Innovatiivinen ratkaisu ISO- ja muiden akkreditointien hallintaan"

-Ben H.

DORA on täällä! Paranna digitaalista kestävyyttäsi tänään tehokkaalla uudella ratkaisullamme!