Политика за защита на данните и защита на личните данни

Политиката за защита на данните и защита на личните данни (P17) определя всеобхватна рамка за защита на личните данни и внедряване на принципи за защита на личните данни по замисъл в цялата организация. Тази политика установява задължителните организационни и технологични изисквания, необходими за съответствие с международни стандарти и развиващи се регулаторни рамки, като гарантира, че личните данни се обработват по законосъобразен, сигурен и прозрачен начин през целия им жизнен цикъл. Обхватът включва всички организационни единици, персонал и системи, които обработват лични данни, независимо дали са на физически или цифров носител, и включва облачни услуги, SaaS платформи и мобилни устройства. Политиката е изрична относно обхвата си, като уточнява, че всички служители, изпълнители и трети страни подлежат на нейните изисквания. Обхванати са всички среди, в които се съхраняват лични данни – продукционна среда, развойна, тестова или системи за резервно копиране. Политиката разглежда не само събирането, съхранението и използването на лични данни, но и съхранението, унищожаването, трансферите през граница и обработването на права на субектите на данни. Централна цел на политиката е да осигури съответствие с водещи регулации и стандарти: GDPR (членове 5, 6, 12–23, 25, 28, 30, 32–34; съображение 78), EU NIS2, EU DORA, ISO/IEC 27001:2022 (клаузи 5.1, 6.1.3, 8.1, 10.1), ISO/IEC 27002:2022 (контроли 5.34, 8.10, 8.11), NIST SP 800-53 Rev. 5 (различни контроли) и COBIT 2019 (APO12, DSS01, DSS05, MEA). За тази цел тя изисква разпределение на роли и структури за отчетност: висшето ръководство осигурява стратегически надзор; DPO координира процесите по съответствие, прилагането на права на субектите на данни и взаимодействието с надзорните органи; а сигурност, правни въпроси, собственици на данни и ИТ съвместно внедряват технологични и организационни предпазни мерки, поддържат регистри и управляват нарушения. Политиката изисква формална рамка за управление на защитата на личните данни, интегрирана със система за управление на информационната сигурност (СУИС) за последователно прилагане. Тя определя процеси за поддържане на регистри на рисковете за защита на личните данни, провеждане на DPIA за обработване с висок риск и гарантиране, че контролите за защита на личните данни (от минимизиране на данните и псевдонимизация до планиране на срокове за съхранение и сигурно унищожаване) са дълбоко вградени. Законосъобразното обработване и документираните правни основания са фундаментални, с изрично управление на съгласие, инвентаризации на данни и трансгранични потоци от данни. Заявките на субектите на данни се обработват в определени срокове и се регистрират за проследимост, а са описани подробно и надеждни рамки за управление на нарушения, управление на изключенията и надзор над трети страни. Редовните прегледи, одитните следи и изискването за годишни (или ad hoc) вътрешни одити подпомагат гарантирането, че политиката остава ефективна и реагира на регулаторни промени, одитни констатации или значими инциденти. Всяка значима актуализация трябва да бъде одобрена от висшето ръководство и документирана в СУИС. Тази политика е неразделна част от по-широката система на организацията за информационна сигурност и управление на риска, като е тясно свързана с допълващи политики за реагиране при инциденти, управление на риска, класификация, съхранение, маскиране на данни и одитно регистриране и мониторинг.