Политика за оценка на риска за поверителността и оценка на въздействието върху защитата на данните (DPIA)

Политиката за оценка на риска за поверителността и оценка на въздействието върху защитата на данните (DPIA) определя как организацията идентифицира, оценява, третира, одобрява, преглежда и доказва рисковете за поверителността в обхвата на СУНЛИ. Нейната цел е да гарантира, че рисковете за поверителността и задълженията за DPIA се разглеждат преди обработването на лични данни да създаде неприемлив риск за субектите на данни или за СУНЛИ. Политиката се прилага за нови и съществено променени дейности по обработване на лични данни в контекста на администратор, съвместен администратор, обработващ лични данни и подизпълнител по обработване. Тя обхваща също системи, приложения, услуги, бизнес процеси, доставчици, обработващи лични данни, подизпълнители по обработване, международни предавания и механизми за споделяне на данни, които засягат обработването на лични данни. Централна характеристика на политиката е нейният оперативен модел, базиран на REG04. Проверка на риска за поверителността, проверка за необходимост от DPIA, оценка на риска, планове за третиране на риска, приемане на остатъчен риск, решения за консултация, одобрения и статус на прегледа се документират в REG04, като поддържащите доказателства се свързват с REG02, REG03, REG08, REG09, REG10, REG11 и REG12. Политиката изрично избягва създаването на отделни регистри за DPIA, риск или консултация извън REG04. Това подпомага поддържането на единна доказателствена следа за резултатите от проверката, решенията за пълна DPIA, оценките на риска, собствениците на третиране, крайните срокове, остатъчния риск, статуса на одобрение и датите на преглед. Политиката определя задължителни критерии за задействане на проверка на риска за поверителността и определяне на необходимостта от пълна DPIA. Собствениците на процеси / собствениците на бизнеса трябва да започнат проверка в REG04 преди започване на ново или съществено променено обработване, записано в REG02. Обработването от администратор, което е вероятно да доведе до висок риск, изисква пълна оценка на въздействието върху защитата на данните (DPIA) преди започване на обработването. Политиката посочва, че обработване, включващо дейност в голям мащаб, систематичен мониторинг, профилиране, автоматизирано вземане на решения, специални категории лични данни, данни за присъди и нарушения, уязвими субекти на данни, иновативна технология и съществена промяна в обработването, трябва да бъде отнесено към ръководителя по поверителността / мениджъра на СУНЛИ преди започване на обработването. Тя също така изисква повторна проверка преди използване на лични данни за нова цел, добавяне на нов получател, въвеждане на нов обработващ лични данни или подизпълнител по обработване, промяна на системната архитектура или започване на ново международно предаване. Третирането на риска и ескалацията също са ясно определени. Когато рискът за поверителността надвишава одобрения праг за приемане, собственикът на процеса / собственикът на бизнеса трябва да запише план за третиране в REG04 преди продължаване на обработването. Действията, свързани със сигурност, системен дизайн, доставчици, договорни мерки и уверение, се възлагат на съответната роля и трябва да бъдат изпълнени преди въвеждане в експлоатация, въвеждане, подновяване или одобрения краен срок. Високият остатъчен риск за поверителността при обработване от администратор изисква одобрение от висшето ръководство, преди обработването да започне или да продължи. Когато след третиране остава висок остатъчен риск, ръководителят по поверителността / мениджърът на СУНЛИ записва решението за предварителна консултация в REG04, а висшето ръководство одобрява действия за продължаване, временно спиране, препроектиране или консултация, преди обработването да продължи. Изискванията за управление, мониторинг и прилагане гарантират, че процесът остава активен след първоначалното одобрение. Ръководителят по поверителността / мениджърът на СУНЛИ преглежда ежемесечно отворените рискове за поверителността и просрочените действия по третиране, докладва статуса на риска за поверителността и DPIA на тримесечна база и преди преглед от ръководството и съпоставя активните записи за риск в REG04 със записите в инвентара на обработването в REG02. Политиката определя показатели за покритие на проверката, активни пълни DPIA, просрочени прегледи, високи остатъчни рискове, статус на действията по третиране, средно време за затваряне, действия за доставчици, действия за третиране, свързани със сигурността, повторна оценка вследствие на инцидент и одитни констатации. Изключенията трябва да бъдат заявени преди отклонение, оценени за въздействие върху поверителността, правото, сертификацията, операциите и субектите на данни и да им бъде определена дата на изтичане, която не надвишава 90 дни. Липсващи, неточни, непълни, просрочени или неодобрени доказателства в REG04 се третират като несъответствие в REG12.