Политика за роли, отговорности и отчетност във връзка с поверителността

Политиката за роли, отговорности и отчетност във връзка с поверителността определя как организацията възлага, документира, комуникира, преглежда и подобрява отговорностите в своята система за управление на неприкосновеността на личната информация. Нейният обхват включва персонал, функции, системи, доставчици, обработващи лични данни, подизпълнители по обработване и взаимоотношения със съвместен администратор, които участват в или влияят върху обработването на лични данни в обхвата на СУНЛИ. Политиката се прилага в контексти на администратор, съвместен администратор, обработващ лични данни и подизпълнител по обработване, което я прави приложима към пълния набор от операционни модели за поверителност, описани в документа. Тя също така ясно посочва, че не създава нови организационни длъжности; вместо това определя канонични роли в СУНЛИ, които могат да бъдат възлагани на съществуващ персонал или функции, когато необходимите изисквания за възлагане, компетентност, независимост и конфликт на интереси са документирани. Политиката установява структуриран модел на ролите в СУНЛИ и подход към отчетността, основан на доказателства. Висшето ръководство трябва да одобри каноничния модел на ролите в REG01 преди първоначалното внедряване и ежегодно след това. Ръководителят по поверителност / Мениджърът на СУНЛИ поддържа поименни възлагания на роли, обхвати на отговорностите и нива на правомощия в REG01, включително актуализации след промени в персонала или организацията. Собствеността върху обработването е свързана с REG02, където собствениците на процеси / собствениците на бизнеса възлагат отчетни собственици за всяка дейност по обработване на лични данни преди започване на обработването, а собствениците на системи / собствениците на приложения документират отчетните собственици на системи преди въвеждане в експлоатация. Собствеността върху взаимоотношенията с доставчик, обработващ лични данни, подизпълнител по обработване, трета страна при споделяне на данни и съвместен администратор се записва в REG08 преди въвеждане или одобрение на споразумение. Централна част от политиката е управлението на съвместяването на роли, разделението на задълженията и независимостта. Политиката допуска практическо съвместяване на роли, включително за малки и средни организации, но изисква документиране преди съвместяването да влезе в сила. Съвместявания на роли, включващи Ръководителя по поверителност / Мениджъра на СУНЛИ, Длъжностното лице по защита на данните / съветника по поверителност, Ръководителя по информационна сигурност, Координатора по реагиране при инциденти или проверяващия от вътрешен одит / съответствие, изискват одобрение от висшето ръководство в REG01. Проверяващият от вътрешен одит / съответствие трябва да документира независимост от процеса на СУНЛИ, който се преглежда, в REG12 преди всеки одит или преглед за съответствие. Когато конфликтите при разделение на задълженията не могат да бъдат избегнати, компенсиращите контроли трябва да бъдат записани, а Длъжностното лице по защита на данните / съветникът по поверителност трябва да запише опасенията относно независимостта или конфликта на интереси в срок от пет работни дни от идентифицирането им. Политиката също така определя отчетността в рамките на отговорностите на администратор, съвместен администратор, обработващ лични данни и подизпълнител по обработване. Обработването от администратор изисква записана собственост върху отговорността, собственост върху целта на обработването и собственост върху доказателствата в REG02 преди започване на обработването. Разпределението на отговорностите при съвместен администратор, собствеността върху нарежданията на клиента към обработващия лични данни, собствеността върху надзора върху подизпълнителите по обработване, статусът на одобрение и пътищата за ескалация на отговорностите на трети страни се управляват чрез REG08. Ръководителят по поверителност / Мениджърът на СУНЛИ проверява записите за класификация на ролите в REG02 и REG08 на тримесечна база и в срок от 15 работни дни от съществена промяна. Политиката допълнително изисква съветите по поверителност, входните данни за отговорностите по сигурността на личните данни, отговорността за ескалация при нарушение и инцидент с лични данни, нерешените спорове относно отговорностите и ескалациите, свързани с роли, да бъдат документирани в определени доказателствени обекти. Управлението, измерването, изключенията, спазването и поддръжката са вградени в модела на отчетност. Висшето ръководство преглежда пълнотата, незаетите роли, конфликтите между роли, изключенията от отчетността и показателите по време на прегледа от ръководството. Ръководителят по поверителност / Мениджърът на СУНЛИ извършва прегледи на отчетността на тримесечна база, проследява незаетите и съвместяваните роли, докладва завършването на осведомеността за ролите, управлява изключенията с определени срокове на изтичане и записва липсващите, неточните или остарелите възлагания като несъответствия. Собствениците на процеси / собствениците на бизнеса трябва да предотвратят въвеждането в експлоатация на ново или променено обработване на лични данни, когато необходимите доказателства за роли и отчетност липсват. Проверяващите от вътрешен одит / съответствие тестват доказателствата за роли, докладват констатации и проверяват ефективността на коригиращите действия. Самата политика трябва да се преглежда ежегодно и в срок от 30 дни от съществена промяна в модела на ролите в СУНЛИ.