Политика за система за управление на неприкосновеността на личната информация

Политиката за система за управление на неприкосновеността на личната информация установява СУНЛИ на организацията за обработване на лична идентифицираща информация в контекста на администратор, съвместен администратор, обработващ лични данни и подизпълнител по обработване. Посочената ѝ цел е да определи задължителни изисквания за управление при установяване, внедряване, поддържане, мониторинг и непрекъснато подобряване на СУНЛИ. Политиката е предназначена да подпомага отчетно, основано на риска и основано на доказателства управление на обработването на лични данни във всички приложими роли в СУНЛИ. Тя се прилага за обхвата на СУНЛИ, организационния контекст, заинтересованите страни, границите, определянето на роли, политиката за поверителност, целите за поверителност, оценката на риска за поверителността, третирането на риска за поверителността, Декларацията за приложимост на СУНЛИ, управлението, мониторинга, вътрешния одит, прегледа от ръководството, несъответствията, коригиращите действия и документираните доказателства, необходими за доказване на съответствие и отчетност. Централна характеристика на политиката е фокусът върху ясно определена отчетност. Висшето ръководство трябва да одобри обхвата на СУНЛИ в REG01 преди първоначалното внедряване и в срок до 30 дни след всяка съществена промяна, да одобрява политиката и целите на СУНЛИ в REG12 ежегодно и да преглежда резултатността, отворените рискове, несъответствията, коригиращите действия и решенията за подобрение по време на прегледа от ръководството. Ръководителят по поверителност / Мениджърът на СУНЛИ поддържа основните записи на СУНЛИ, включително въпроси на контекста, заинтересовани страни, цели, Декларацията за приложимост, решения за третиране на риска, индекса на доказателствата, показатели, изключения, коригиращи действия и записи от преглед на политиката. Собствениците на процеси класифицират ролята на организацията в СУНЛИ за всяка дейност по обработване на лични данни преди започване на обработването, докато собствениците по доставчици / набавяне документират разпределението на отговорностите на съвместен администратор, нарежданията на клиента за обработване, одобрените договорености за подизпълнение на обработване, управлението на доставчици и външно предоставените процеси, релевантни за СУНЛИ. Политиката свързва управлението на СУНЛИ с оперативния контрол. Оценката на риска за поверителността трябва да бъде започната преди ново или съществено променено обработване на лични данни, а необходимостта от DPIA трябва да бъде определена преди продължаване на високорисково или съществено променено обработване от администратор. Одобрените решения за третиране на риска за поверителността се записват преди изпълнението на третирането, а собствениците на системи трябва да потвърдят оперативните контроли на СУНЛИ преди въвеждане в експлоатация на системи, които обработват лични данни. Ръководителят по информационна сигурност отговаря за документирането на приложимия базов набор от мерки за сигурност на личните данни и за поддържането на статуса на внедряване на контролите за сигурност, като свързва управлението на поверителността с базовия набор от мерки за сигурност на личните данни и Декларацията за приложимост. Тази структура подпомага съгласуването на обхвата, дейностите по обработване, приложимостта на контролите, договореностите с доставчици и записите за риска преди прегледа от ръководството и промените, свързани със сертификация. Политиката определя и изисквания за възможност за одитиране и непрекъснато подобрение. Ръководителят по поверителност / Мениджърът на СУНЛИ трябва да поддържа индекс на доказателствата на СУНЛИ преди всеки вътрешен одит, да съхранява документирана информация съгласно изискванията за съхранение на доказателства, да поддържа показатели за резултатността на тримесечна база и да докладва статуса на целите преди прегледа от ръководството. Минималният набор за измерване включва процента на дейностите по обработване в обхвата с актуална класификация на ролята, процента на приложимите контроли с актуален статус на внедряване, отворените несъответствия и просрочените коригиращи действия, както и оценките на риска за поверителността, чакащи одобрение. Преглеждащите лица от вътрешен одит / съответствие трябва да докладват резултатите от прегледа в срок до 15 работни дни, да проверяват чрез извадка пълнотата на доказателствата по време на вътрешни одити, да проверяват доказателствата за приключване на изтекли изключения и да проверяват ефективността на коригиращите действия в срок до 30 дни от докладваното приключване. Изключенията, прилагането и поддържането се разглеждат като формални процеси на СУНЛИ, а не като неформални отклонения. Исканите изключения трябва да бъдат документирани преди настъпване на отклонението, оценени за риск за поверителността преди одобрение и преглеждани на тримесечна база до приключване. Изключенията, които надвишават приетите прагове за риск за поверителността, изискват одобрение от висшето ръководство преди изпълнение. Подозираните несъответствия трябва да бъдат записани в срок до пет работни дни, просрочените съществени коригиращи действия трябва да бъдат ескалирани към висшето ръководство, а нерешените съществени несъответствия трябва да се преглеждат при всеки преглед от ръководството. Самата политика се преглежда ежегодно и в срок до 30 дни след съществени правни, организационни, свързани с обработването, технологични или свързани със сертификационния обхват промени, като одобрените промени се комуникират в REG11 в срок до 30 дни от публикуването.