Политика за управление на инциденти с лични данни и нарушения на сигурността на личните данни

Политиката за управление на инциденти с лични данни и нарушения на сигурността на личните данни определя как организацията идентифицира, докладва, триажира, оценява, ограничава, уведомява, документира, приключва и извлича подобрения от инциденти с лични данни и нарушения на сигурността на личните данни в рамките на обхвата на СУНЛИ. Посочената ѝ цел е да гарантира, че инцидентите и нарушенията се обработват последователно, своевременно, законосъобразно, сигурно и с доказателства, подходящи за одит. Политиката се прилага в контексти на администратор, съвместен администратор, обработващ лични данни и подизпълнител по обработване и обхваща системи, приложения, услуги, процеси, доставчици, обработващи лични данни, подизпълнители по обработване и трети страни, които обработват, съхраняват, предават, поддържат, имат достъп до или по друг начин засягат лични данни в обхвата на СУНЛИ. Централна характеристика на политиката е нейният интегриран доказателствен модел. REG10 — Регистър на инцидентите с лични данни и нарушенията на сигурността на личните данни е основният доказателствен обект за управление на инциденти и нарушения, а поддържащите регистри осигуряват контекст и проследимост. REG01 поддържа контекст, свързан с обхват, правни, договорни, секторни, клиентски и отчетни изисквания. REG02 свързва засегнатите дейности по обработване, категории лични данни, категории субекти на данни, цели и системи. REG04 поддържа връзки с риска за поверителността, DPIA и остатъчен риск. REG08 записва интерфейсите с обработващи лични данни, подизпълнители по обработване, клиенти, доставчици и трети страни при инциденти. REG09 се използва, когато инцидентите засягат трансгранично обработване, REG11 поддържа доказателства за обучение и компетентност, а REG12 обхваща доказателства за одит, несъответствие, коригиращо действие и подобрение. Тази структура помага записите за инциденти да не бъдат изолирани от по-широката СУНЛИ. Политиката определя подробни изисквания за готовност, приемане, класификация, оценка на нарушението, ограничаване, възстановяване, уведомяване, комуникации, защита на доказателствата и извлечени поуки. Предполагаемите инциденти с лични данни трябва да се записват своевременно, като всеки докладван или открит предполагаем инцидент се въвежда в REG10 в рамките на един работен ден от получаването или по-рано, когато могат да бъдат задействани срокове за уведомяване или докладване към клиент. Техническият триаж на събития по сигурността, включващи лични данни, трябва да бъде завършен в рамките на 24 часа от откриването, а всеки запис в REG10 трябва да бъде класифициран като събитие без лични данни, предполагаем инцидент с лични данни, потвърден инцидент с лични данни или потвърдено нарушение на сигурността на личните данни в рамките на 24 часа от приемането, освен ако причината за отложената класификация е документирана. За оценка на нарушението политиката изисква идентифициране на засегнатите дейности по обработване, категории лични данни, категории субекти на данни, системи, обработващи лични данни, подизпълнители по обработване, местоположения на трансфери и рискове за поверителността преди финализиране на решенията за уведомяване. Задълженията за уведомяване и комуникация са разграничени по роли. За администраторите политиката изисква документирани решения за регулаторно уведомяване за всяко потвърдено нарушение на сигурността на личните данни без ненужно забавяне, като уведомлението, обосновката за неуведомяване или обосновката за забавяне се съхраняват в REG10. Когато е задействана комуникация към засегнати субекти на данни, политиката изисква съдържанието, аудиторията, срокът, методът на предоставяне и доказателствата за одобрение да бъдат записани. За обработващи лични данни и подизпълнители по обработване политиката изисква уведомяване на засегнатите администратори, клиенти, обработващи лични данни нагоре по веригата или одобрени договорни канали без ненужно забавяне и в рамките на приложимите договорни срокове. За инциденти с лични данни с високо въздействие тя изисква също оценка на приложими критерии за задействане на правно, секторно, финансово-секторно, киберсигурностно, договорно, клиентско докладване и докладване към получатели на услуги. Управлението, измерването и подобрението са вградени в процеса. Ръководителят по поверителност / Мениджърът на СУНЛИ е собственик на процеса за управление на инциденти и нарушения и трябва да гарантира, че REG10 се поддържа до приключване. Координаторът по реагиране при инциденти управлява приемането, триажа, работния поток за ограничаване, проследяването на статуса, приключването и извлечените поуки. Информационната сигурност ръководи техническото разследване, ограничаването, елиминирането, възстановяването, запазването на доказателства и анализа на първопричините, когато са засегнати системи или контроли за сигурност. Висшето ръководство получава ескалация за потвърдени инциденти с лични данни с високо въздействие в рамките на 24 часа от класификацията и преглежда инциденти с високо въздействие, нарушения, подлежащи на докладване, просрочени коригиращи действия и съществени въздействия по време на преглед от ръководството. Показателите включват обеми на инциденти, срокове за класификация и ограничаване, своевременност на уведомяването, продължителност на откритите коригиращи действия, резултатност на реакцията на трети страни и завършване на упражнения. Политиката изисква също годишен преглед, преглед след инцидент след инциденти с високо въздействие или потвърдени нарушения и годишен преглед от вътрешен одит на прилагането.