Sisältökirjasto
ISO 27001
5.34: Tietosuoja ja henkilötietojen suojaaminen

Vaatimuksen kuvaus

Organisaation on tunnistettava ja täytettävä tietosuojan säilyttämiseen ja henkilötietojen suojaamiseen liittyvät vaatimukset sovellettavien lakien, määräysten ja sopimusvelvoitteiden mukaisesti. Tämä on ratkaisevan tärkeää henkilötietojen suojaamiseen liittyvien tietoturvavaatimusten noudattamiseksi.

Kuinka täyttää vaatimus

ISO 27001 (2022): Täysi

5.34: Tietosuoja ja henkilötietojen suojaaminen

Tehtävän nimi
Prioriteetti
Tila
Teema
Politiikka
Muut vaatimukset

Henkilötietojen käyttötarkoitusten dokumentointi tietovarannoille

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Tietosuoja
Käsittelyperiaatteet ja osoitusvelvollisuus
20
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
6. Käsittelyn lainmukaisuus
GDPR
30. Seloste käsittelytoimista
GDPR
18.1.4: Tietosuoja ja henkilötietojen suojaaminen
ISO 27001
A.7.2.2: Identify lawful basis
ISO 27701
A.7.2.8: Records related to processing PII
ISO 27701
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Henkilötietojen käyttötarkoitusten dokumentointi tietovarannoille
1. Tehtävän vaatimuskuvaus

Henkilötietojen käsittely on lainmukaista ainoastaan, mikäli jokin tietosuoja-asetuksen määrittämistä oikeusperusteista toteutuu. Organisaation on pystyttävä viestimään käsittelyn tarkoitus ja oikeusperuste rekisteröidylle sekä tarvittaessa valvontaviranomaiselle.

Dokumentaation on sisällettävä vähintään:

  • käsittelyn oikeusperuste sekä tarvittavat lisätiedot
  • tahot, joille käsittelyä on ulkoistettu
  • liittyvät tietoaineistot

Tietosuojavastaavan nimittäminen, tehtävät ja asema

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Tietosuoja
Käsittelyn turvallisuus ja vastuut
14
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
37. Tietosuojavastaavan nimittäminen
GDPR
38. Tietosuojavastaavan asema
GDPR
39. Tietosuojavastaavan tehtävät
GDPR
18.1.4: Tietosuoja ja henkilötietojen suojaaminen
ISO 27001
6.6: Yleiset
Omavalvontasuunnitelma
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Tietosuojavastaavan nimittäminen, tehtävät ja asema
1. Tehtävän vaatimuskuvaus

Organisaatiomme on määritellyt, tuleeko tietosuojavastaava nimittää, ja tarvittaessa tehnyt nimityksen.

Tietosuojavastaava on nimitettävä, jos:

  • organisaatio käsittelee laajamittaisesti arkaluontoisia tietoja
  • organisaatio seuraa ihmisiä laajamittaisesti, säännöllisesti ja järjestelmällisesti
  • organisaatio on julkishallinnon toimija

Nimittämisen lisäksi oleellista on säännöllisesti arvioida, toimiiko tietosuojavastaava tietosuoja-asetuksen määräämässä asemassa ja toteuttaen asetuksen määräämiä tehtäviä.

Tietosuojaselosteet-raportin julkaisu ja ylläpito

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Tietosuoja
Informointi ja tietopyynnöt
18
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
12. Läpinäkyvä informointi, viestintä ja yksityiskohtaiset säännöt rekisteröidyn oikeuksien käyttöä varten
GDPR
13. Toimitettavat tiedot, kun henkilötietoja kerätään rekisteröidyltä
GDPR
14. Toimitettavat henkilötiedot, kun tietoja ei ole saatu rekisteröidyltä
GDPR
18.1.4: Tietosuoja ja henkilötietojen suojaaminen
ISO 27001
ID.GV-3: Legal and regulatory requirements
NIST
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Tietosuojaselosteet-raportin julkaisu ja ylläpito
1. Tehtävän vaatimuskuvaus

Henkilötietojen käsittelystä on toimitettava rekisteröidylle tietosuoja-asetuksen määrittelemät tiedot tiiviissä, ymmärrettävässä ja helposti saatavilla olevassa muodossa. Usein tämä toteutetaan joko rekisterikohtaisina tai muuten koottuina tietosuojaselosteina, jotka julkaistaan esimerkiksi organisaation verkkosivulla.

Tietosuojan vastuuhenkilö varmistaa, että selosteissa on viestitty tietosuoja-asetuksen (artikla 13) vaatimat asiat. Kun henkilötietoja eri ole kerätty rekisteröidyltä itseltään, selosteissa on kerrottava perussisällön lisäksi:

  • mistä tiedot on saatu
  • mitä henkilötietoryhmiä käsittely koskee

Ohjeistukset henkilötietojen ja muun luottamuksellisen tiedon käsittelyyn liittyen

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Tietosuoja
Käsittelyperiaatteet ja osoitusvelvollisuus
29
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
29. Tietojenkäsittely rekisterinpitäjän ja henkilötietojen käsittelijän alaisuudessa
GDPR
7.2.2: Tietoturvatietoisuus, -opastus ja -koulutus
ISO 27001
11.2.8: Ilman valvontaa jäävät laitteet
ISO 27001
11.2.9: Puhtaan pöydän ja puhtaan näytön periaate
ISO 27001
12.1.1: Dokumentoidut toimintaohjeet
ISO 27001
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Ohjeistukset henkilötietojen ja muun luottamuksellisen tiedon käsittelyyn liittyen
1. Tehtävän vaatimuskuvaus

Tietosuojan vastuuhenkilö on muodostanut toimintaohjeet henkilötietoja käsittelevälle henkilöstölle. Lisäksi tietosuojan vastuuhenkilö on valmiina antamaan neuvoja rekisterinpitäjälle, henkilötietoja käsitteleville kumppaneille tai omalle henkilöstölle tietosuojaan liittyen tietosuoja-asetuksen tai muiden tietosuojavaatimusten noudattamiseen.

Tapahtuneiden tietoturvaloukkausten käsittely ja dokumentointi

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Häiriöiden hallinta
Tietoturvaloukkausten hallinta
11
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
18.1.4: Tietosuoja ja henkilötietojen suojaaminen
ISO 27001
TSU-14: Tietoturvaloukkaukset
Julkri
5.34: Tietosuoja ja henkilötietojen suojaaminen
ISO 27001
66: Tietoturvaloukkausten hallinta
Digiturvan kokonaiskuvapalvelu
P6.3: Record of unauthorized disclosures of personal information
SOC 2
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Tapahtuneiden tietoturvaloukkausten käsittely ja dokumentointi
1. Tehtävän vaatimuskuvaus

Organisaation on dokumentoitava kaikki henkilötietojen tietoturvaloukkaukset sekä niiden vaikutukset ja toteutetut korjaavat toimet riippumatta siitä, mitä toimenpiteitä tietoturvaloukkauksesta lopulta seuraa.

Dokumentointivelvollisuuden tai ilmoituksen tekemisen laiminlyöminen on tietosuoja-asetuksen vastaista. Se voi johtaa tietosuoja-asetuksessa määritettyihin seuraamuksiin.

Prosessi tietosuojapyyntöjen vastaanottamiseen ja käsittelyyn

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Tietosuoja
Informointi ja tietopyynnöt
24
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
15. Rekisteröidyn oikeus saada pääsy tietoihin
GDPR
16. Oikeus tietojen oikaisemiseen
GDPR
18. Oikeus käsittelyn rajoittamiseen
GDPR
19. Henkilötietojen oikaisua tai poistoa tai käsittelyn rajoitusta koskeva ilmoitusvelvollisuus
GDPR
21. Vastustamisoikeus
GDPR
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Prosessi tietosuojapyyntöjen vastaanottamiseen ja käsittelyyn
1. Tehtävän vaatimuskuvaus

Aina kun käsittelemme henkilötietoja, rekisteröidyllä on tiettyjä oikeuksia, mm. saada pääsy tietoihinsa ja tietyissä tilanteissa vastustaa käsittelyä tai saada tietonsa poistetuksi.

Olemme suunnitelleet toimintatavat näitä tilanteita varten, jotka voivat sisältää mm.:

  • tavat, joilla rekisteröity voi tietopyyntöjä lähettää
  • tavat, joilla tietopyynnön lähettäjän henkilöllisyys tarkistetaan
  • henkilöt, jotka auttavat rekisterin yhteyshenkilöä pyynnön käsittelyssä
  • tavat, joilla tiedot toimitetaan rekisteröidylle turvallisesti

Politiikkaan sisältyviä tietoturvatehtäviä

Tehtävän nimi
Prioriteetti
Tila
Teema
Politiikka
Muut vaatimukset
No items found.

Autamme täyttämään vaatimukset tehokkaasti Universal cyber compliance language -teknologialla

Digiturvamallissa kaikki vaatimuskehikkojen vaatimukset kohdistetaan universaaleihin tietoturvatehtäviin, jotta voitte muodostaa yksittäisen suunnitelman, joka täyttää ison kasan vaatimuksia.

Tietoturvakehikoilla on yleensä yhteinen ydin. Kaikki kehikot kattavat perusaiheita, kuten riskienhallinnan, varmuuskopioinnin, haittaohjelmat, henkilöstön tietoisuuden tai käyttöoikeuksien hallinnan omissa osioissaan.
Digiturvamallin "universal cyber compliance language" -teknologia luo teille yksittäisen suunnitelman ja varmistaa, että kehikkojen yhteiset osat tehdään vain kerran. Te voitte keskittyä suunnitelman toteuttamiseen, me automatisoimme compliance-osan - nykyisiä ja tulevia vaatimuksia päin.
Aloita ilmainen kokeilu
Tutustu Digiturvamalliin
Aloita ilmainen kokeilu
Digiturvamallin avulla rakennat tietoturvallisen ja halutut vaatimukset täyttävän organisaation. Halusitko kehittää tietoturvan hallintaa yleisesti, raportoida omasta NIS2-valmiudesta tai hankkia ISO 27001 -sertifioinnin, Digiturvamalli yksinkertaistaa koko prosessia.
AI-pohjaiset parannussuositukset ja käyttäjäystävällinen työkalu varmistavat, että organisaationne voi olla luottavainen vaatimusten täyttymisestä ja keskittyä oman tietoturvan jatkuvaan parantamiseen.
Selkeä suunnitelma vaatimusten täyttämiseen
Aktivoi teille tärkeät vaatimuskehikot ja jalkauta niiden vaatimukset täyttäviä selkeitä toimenpiteitä.
Uskottavat raportit todisteiksi hyvästä tietoturvasta
Etene tehtävien avulla varmistaaksesi turvallisen toiminnan. Luo ammattimaisia ​​raportteja muutamalla napsautuksella.
AI-avusteiset parannussuositukset
Keskity vaikuttavimpiin parannuksiin Digiturvamallin suositusten avulla.