Sisältökirjasto
CSL (China)
Article 41: Collection and usage of personal information
Cybersecurity Law of the People's Republic of China
Article 41

Collection and usage of personal information

Aloita ilmainen kokeilu

Vaatimuksen kuvaus

To collect and use personal information, network operators shall follow the principles of legitimacy, rightfulness and necessity, disclose their rules of data collection and use, clearly express the purposes, means and scope of collecting and using the information, and obtain the consent of the persons whose data is gathered.

Network operators shall neither gather personal information unrelated to the services they provide, nor gather or use personal information in violation of the provisions of laws and administrative regulations or the agreements arrived at; and shall dispose of personal information they have saved in accordance with the provisions of laws and administrative regulations and agreements reached with users.

Kuinka täyttää vaatimus

Cybersecurity Law of the People's Republic of China

Article 41: Collection and usage of personal information

Tehtävän nimi
Prioriteetti
Tila
Teema
Politiikka
Muut vaatimukset

Tietovarantojen listaus ja omistajien nimeäminen

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Tietosuoja
Käsittelyperiaatteet ja osoitusvelvollisuus
69
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
5. Henkilötietojen käsittelyä koskevat periaatteet
GDPR
6. Käsittelyn lainmukaisuus
GDPR
8.1.1: Suojattavan omaisuuden luetteloiminen
ISO 27001
5 §: Tiedonhallintamalli ja muutosvaikutuksen arviointi
TiHL
6.7: Asiakas- ja potilastietojärjestelmät, niihin liitetyt tietojärjestelmät ja muut tietojärjestelmät
Omavalvontasuunnitelma
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Tietovarantojen listaus ja omistajien nimeäminen
1. Tehtävän vaatimuskuvaus

Organisaation on ylläpidettävä listaa hallinnoimistaan tietovarannoista sekä nimetyistä omistajista. Omistaja vastaa varannon tietojen täydentämisestä sekä mahdollisista muista digiturvatoimenpiteistä, jotka liittyvät tiiviisti tietovarantoon.

Tietovarantoihin liittyvä dokumentaatio sisältää mm. seuraavia tietoja:

  • Tietovarantoon liittyvät vastuut
  • Tietojen käyttötarkoitukset (käsitellään tarkemmin erillisessä tehtävässä)
  • Tietoaineistot, joista tietovaranto muodostuu (käsitellään tarkemmin erillisessä tehtävässä)
  • Tietojen säännönmukaiset luovutukset (käsitellään tarkemmin erillisessä tehtävässä)
  • Tarvittaessa tieto tietovarannon sidoksesta toimintaprosesseihin

Henkilötietojen käyttötarkoitusten dokumentointi tietovarannoille

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Tietosuoja
Käsittelyperiaatteet ja osoitusvelvollisuus
23
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
6. Käsittelyn lainmukaisuus
GDPR
30. Seloste käsittelytoimista
GDPR
18.1.4: Tietosuoja ja henkilötietojen suojaaminen
ISO 27001
A.7.2.2: Identify lawful basis
ISO 27701
A.7.2.8: Records related to processing PII
ISO 27701
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Henkilötietojen käyttötarkoitusten dokumentointi tietovarannoille
1. Tehtävän vaatimuskuvaus

Henkilötietojen käsittely on lainmukaista ainoastaan, mikäli jokin tietosuoja-asetuksen määrittämistä oikeusperusteista toteutuu. Organisaation on pystyttävä viestimään käsittelyn tarkoitus ja oikeusperuste rekisteröidylle sekä tarvittaessa valvontaviranomaiselle.

Dokumentaation on sisällettävä vähintään:

  • käsittelyn oikeusperuste sekä tarvittavat lisätiedot
  • tahot, joille käsittelyä on ulkoistettu
  • liittyvät tietoaineistot

Henkilötietojen seurantapolitiikka

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Kumppanihallinta
Sopimukset ja seuranta
2
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
§ 6-4.4: Håndtering av overvåkingsdata
Sikkerhetsloven
Article 41: Collection and usage of personal information
CSL (China)
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Henkilötietojen seurantapolitiikka
1. Tehtävän vaatimuskuvaus

The organization must establish and enforce a clear policy for monitoring personal data to ensure all activities are legitimate and necessary. The policy is required to describe:

  • the legitimate purpose of the monitoring
  • the necessity and proportionality of the tools, methods of monitoring
  • establishing clear rules that prohibit access to or use of stored monitoring data for any other reason than fulfilling the original purpose
  • the implementation of technical and administrative controls to enforce these rules
  • the maximum retention period for stored data, which must not exceed five years

Asiakkaan dataoikeuksien kuvaaminen sopimusehdoissa

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Kehitys ja digipalvelut
Yhteentoimivuus
2
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
Article 41: Collection and usage of personal information
CSL (China)
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Asiakkaan dataoikeuksien kuvaaminen sopimusehdoissa
1. Tehtävän vaatimuskuvaus

Tarjottavien digipalvelujen sopimusehtoihin on sisällyttävä määräykset palveluntarjoajalle tavoista, joilla asiakas saa tietonsa sopimuksen päättyessä. Määräysten on sisällettävä vähintään:

  • Tietojen mahdolliset export- tai toimitusmuodot
  • Tietojen säilytysaika
  • Asiakkaalle saatavissa olevien tietojen laajuus
  • Tietojen tuhoamiskäytännöt ja -ajat

Asiakaslähtöinen kuvaus tarjottujen pilvipalvelujen henkilötietojen palautus-, siirto- ja hävitysprosesseista

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Kehitys ja digipalvelut
Digipalvelujen hallinta
3
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
A.10.3: PII return, transfer and disposal
ISO 27018
A.8.4.2: Return, transfer, or disposal of PII
ISO 27701
Article 41: Collection and usage of personal information
CSL (China)
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Asiakaslähtöinen kuvaus tarjottujen pilvipalvelujen henkilötietojen palautus-, siirto- ja hävitysprosesseista
1. Tehtävän vaatimuskuvaus

Tarjottuihin pilvipalveluihin liittyvät henkilötiedot tulee hävittää asianmukaisesti ja tallennusrajoitusperiaatteita noudattaen. Hävittäminen voi sisältää tietojen palauttamisen asiakkaalle pyynnöstä, siirtämisen toiselle yritykselle (esim. sulautumisen seurauksena) tai joko tuhoamisen, anonymisoimisen tai arkistoinnin turvallisesti.

Organisaatiolla tulee olla selkeä kirjallinen kuvaus henkilötietojen säilytysajasta sekä palautus-, siirto- ja hävitysmekanismeista. Tämä kuvaus tulee olla asiakkaan saatavilla.

Tätä kuvausta käyttämällä asiakkaan tulee pystyä ymmärtämään, kuinka organisaatio varmistaa, että sopimuksen nojalla käsitellyt henkilötiedot poistetaan (myös minkä tahansa sen alihankkijan toimesta) kaikista tallennuspaikoista (mukaan lukien esim. varmuuskopiointitarkoitukset) heti, kun ne on poistettu. ei ole enää asiakkaalle välttämätön.

Henkilötietojen minimoinnin tarkistaminen

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Tietosuoja
Sisäänrakennettu ja oletusarvoinen tietosuoja
5
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
A.7.4.1: Limit collection
ISO 27701
TSU-10: Tietojen minimointi
Julkri
P7.1: Collection and maintainment of accurate and relevant personal information
SOC 2
Artikla 13.1(.2.g): Tietojen prosessointi
CRA
Article 41: Collection and usage of personal information
CSL (China)
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Henkilötietojen minimoinnin tarkistaminen
1. Tehtävän vaatimuskuvaus

Organisaation tulisi rajoittaa henkilötietojen kerääminen vähimmäistasolle, joka on olennainen ja tarvittava kerättävien henkilötietojen käsittelytarkoitusta varten.

Periaatteen toteutuminen tulisi varmistaa säännöllisesti kokonaisuuden näkökulmasta verraten hallintajärjestelmän dokumentaatiot (esim. tietojen käyttötarkoitukset) käytännössä organisaation hallussa oleviin henkilötietoihin.

Tallenteet henkilötietojen luovutuksista kolmansille osapuolille

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Tietosuoja
Tietojen siirtäminen ja luovuttaminen
5
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
A.7.5.4: Records of PII disclosure to third parties
ISO 27701
HAL-07.1: Seuranta ja valvonta - tietojen käyttö ja luovutukset
Julkri
TEK-12.1: Turvallisuuteen liittyvien tapahtumien jäljitettävyys - tietojen luovutukset
Julkri
P6.2: Record of authorized disclosures of personal information
SOC 2
Article 41: Collection and usage of personal information
CSL (China)
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Tallenteet henkilötietojen luovutuksista kolmansille osapuolille
1. Tehtävän vaatimuskuvaus

Organisaation tulisi tallentaa henkilötietojen luovutusta kolmansille osapuolille koskevat tiedot. Tietoihin kuuluu mitä henkilötietoja, kenelle ja milloin on luovutettu.

Suostumuksen edellytysten dokumentointi relevanteille käyttötarkoituksille

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Tietosuoja
Käsittelyperiaatteet ja osoitusvelvollisuus
10
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
7. Suostumuksen edellytykset
GDPR
17. Oikeus tietojen poistamiseen (”oikeus tulla unohdetuksi”)
GDPR
A.7.2.3: Determine when and how consent is to be obtained
ISO 27701
A.7.2.4: Obtain and record consent
ISO 27701
A.7.3.4: Providing mechanism to modify or withdraw consent
ISO 27701
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Suostumuksen edellytysten dokumentointi relevanteille käyttötarkoituksille
1. Tehtävän vaatimuskuvaus

Mikäli organisaatiomme toteuttaa henkilötietojen käsittelyä, jossa oikeusperusteena on rekisteröidyltä saatu suostumus, meidän on varmistettava suostumuksen edellytysten täyttyminen. Lainmukaisen suostumuksen edellytyksiä ovat:

  • Rekisterinpitäjän on pystyttävä osoittamaan, että rekisteröity on antanut suostumuksen henkilötietojensa käsittelyyn
  • Suostumuksen antamista koskeva pyyntö on esitettävä selvästi erillään muista asioista helposti ymmärrettävässä muodossa
  • Rekisteröity voi peruuttaa suostumuksensa milloin tahansa ja on saanut ohjeet tämän tekemiseen ennen suostumuksen antamista
  • Suostumuksen peruuttamisen on oltava yhtä helppoa kuin sen antaminen

Tietosuojavastaava voi olla vastuussa suostumuksen edellytysten arvioinnista. Tärkeää on myös huomioida muuten, soveltuuko suostumus yleensäkin käsittelyn oikeusperusteeksi.

Politiikkaan sisältyviä tietoturvatehtäviä

Tehtävän nimi
Prioriteetti
Tila
Teema
Politiikka
Muut vaatimukset
No items found.

Autamme täyttämään vaatimukset tehokkaasti Universal cyber compliance language -teknologialla

Digiturvamallissa kaikki vaatimuskehikkojen vaatimukset kohdistetaan universaaleihin tietoturvatehtäviin, jotta voitte muodostaa yksittäisen suunnitelman, joka täyttää ison kasan vaatimuksia.

Tietoturvakehikoilla on yleensä yhteinen ydin. Kaikki kehikot kattavat perusaiheita, kuten riskienhallinnan, varmuuskopioinnin, haittaohjelmat, henkilöstön tietoisuuden tai käyttöoikeuksien hallinnan omissa osioissaan.
Digiturvamallin "universal cyber compliance language" -teknologia luo teille yksittäisen suunnitelman ja varmistaa, että kehikkojen yhteiset osat tehdään vain kerran. Te voitte keskittyä suunnitelman toteuttamiseen, me automatisoimme compliance-osan - nykyisiä ja tulevia vaatimuksia päin.
Aloita ilmainen kokeilu
Tutustu Digiturvamalliin
Aloita ilmainen kokeilu
Digiturvamallin avulla rakennat tietoturvallisen ja halutut vaatimukset täyttävän organisaation. Halusitko kehittää tietoturvan hallintaa yleisesti, raportoida omasta NIS2-valmiudesta tai hankkia ISO 27001 -sertifioinnin, Digiturvamalli yksinkertaistaa koko prosessia.
AI-pohjaiset parannussuositukset ja käyttäjäystävällinen työkalu varmistavat, että organisaationne voi olla luottavainen vaatimusten täyttymisestä ja keskittyä oman tietoturvan jatkuvaan parantamiseen.
Selkeä suunnitelma vaatimusten täyttämiseen
Aktivoi teille tärkeät vaatimuskehikot ja jalkauta niiden vaatimukset täyttäviä selkeitä toimenpiteitä.
Uskottavat raportit todisteiksi hyvästä tietoturvasta
Etene tehtävien avulla varmistaaksesi turvallisen toiminnan. Luo ammattimaisia ​​raportteja muutamalla napsautuksella.
AI-avusteiset parannussuositukset
Keskity vaikuttavimpiin parannuksiin Digiturvamallin suositusten avulla.

Aloita jo tänään

Aloita ilmaiseksi tutussa Microsoft Teams -ympäristössä.
Jos sinulla on kysymyksiä, varaa palaveri sinulle sopivaan ajankohtaan.

Ilmainen 14 päivän kokeilu
Varaa palaveri

Tutustu tiimiimme

Tiimillämme on vankka osaaminen tietourvasta, ohjelmistokehityksestä, tietosuojasta sekä compliancesta.

Lähde mukaan kumppaniksi? 

Kumppanoidumme mielellään muiden alan osaajien kanssa. Varaa palaveri, niin keskustellaan asiasta lisää.
EtusivuHinnastoAsiakkaatTiimiTietoturvaVaraa demoVaraa palaveriKirjauduKokeile
Kuinka se toimii?
YhteenvetoTietoturvatehtävät ja toteutusDokumennoin työkalutHenkilöstön digiturvaohjeetAutomatisoitu raportointi
Käyttötavat
Kehikon mukaanKaikki vaatimuskehikotISO 27001TiedonhallintalakiNIS2-direktiiviNIST CSFCSA CCMISO 27701GDPR, Tietosuoja-asetusISO 27017ISO 27018
Teeman mukaanTietoturvariskien hallintaHenkilöstön tietoisuusCompliance-raportointiHallintakeinojen toteutusSuojattavan omaisuuden hallintaDynaamiset politiikkadokumentitTietosuojan hallinta
Resurssit
AkatemiaWebinaaritTilaa uutiskirjeOhjekeskusBlogiVideokurssitViikon digiturvauutisetKäyttöehdotTietosuojaselosteetSisältöpankki: ISO 27001Sisältöpankki: GDPRSisältöpankki: KatakriSisältöpankki: TiedonhallintalakiLabs
Ota yhteyttä
+358 10 231 6010
tiimi@digiturvamalli.fi
Labs
Tarjolla kielillä:
Digiturvamalli tunnetaan kansainvälisesti nimellä Cyberday
© Cyberday Oy, Kalevantie 2 33100 Tampere, Suomi
Digiturvamalli.fi - Moderni alusta tietoturvan hallintaan ja sertifiointiin