Politika ochrany údajů a ochrany osobních údajů

Politika ochrany údajů a ochrany osobních údajů (P17) stanovuje komplexní rámec pro ochranu osobních údajů a implementaci principů privacy-by-design napříč organizací. Tato politika stanoví povinné organizační a technické požadavky nezbytné pro soulad s mezinárodními normami a vyvíjejícími se regulačními rámci a zajišťuje, aby s osobními údaji bylo nakládáno zákonným, bezpečným a transparentním způsobem po celý jejich životní cyklus. Pokrytí se vztahuje na všechny organizační jednotky, veškerý personál a systémy, které zpracovávají osobní údaje, a to na fyzických i digitálních médiích, včetně cloudových služeb, SaaS platforem a mobilních zařízení. Politika je explicitní ve svém rozsahu a upřesňuje, že všichni zaměstnanci, dodavatelé a třetí strany podléhají jejím požadavkům. Zahrnuta jsou všechna prostředí, kde se osobní údaje nacházejí – produkční, vývojová, testovací nebo záložní. Politika se zabývá nejen shromažďováním, ukládáním a používáním osobních údajů, ale také uchováváním, likvidací, přeshraničními přenosy a vyřizováním práv subjektů údajů. Ústředním cílem politiky je zajistit soulad s předními předpisy a normami: GDPR (články 5, 6, 12–23, 25, 28, 30, 32–34; bod odůvodnění 78), EU NIS2, EU DORA, ISO/IEC 27001:2022 (články 5.1, 6.1.3, 8.1, 10.1), ISO/IEC 27002:2022 (Opatření 5.34, 8.10, 8.11), NIST SP 800-53 Rev. 5 (různá opatření) a COBIT 2019 (APO12, DSS01, DSS05, MEA). Za tímto účelem nařizuje přiřazení rolí a struktur pravomoci a odpovědnosti: výkonné vedení zajišťuje strategický dohled; DPO koordinuje procesy souladu, vynucování práv subjektů údajů a interakci s dozorovými orgány; a Bezpečnost, Právní a compliance, vlastníci dat a IT společně implementují technická a organizační kontrolní opatření, udržují registry a řídí porušení zabezpečení dat. Politika vyžaduje formální rámec správy ochrany osobních údajů integrovaný se systémem řízení bezpečnosti informací (ISMS) pro konzistentní vynucování. Vymezuje procesy pro vedení registrů rizik ochrany osobních údajů, provádění DPIA pro vysoce rizikové zpracování a zajištění, aby kontrolní opatření ochrany osobních údajů (od minimalizace údajů a pseudonymizace až po plánování uchovávání a bezpečnou likvidaci) byla hluboce začleněna. Zákonné zpracování informací a dokumentované právní základy jsou základními prvky, včetně explicitní správy souhlasu, inventářů dat a přeshraničních toků dat. Žádosti subjektů údajů jsou vyřizovány ve stanovených lhůtách a protokolovány pro dohledatelnost a jsou popsány robustní rámce pro řízení porušení zabezpečení dat, ošetření výjimek a dohled nad třetími stranami. Pravidelné přezkumy, auditní stopy a požadavek na každoroční (nebo ad hoc) interní audit pomáhají zajistit, aby politika zůstala účinná a reagovala na regulační změny, zjištění auditu nebo závažné incidenty. Každá významná aktualizace musí být schválena výkonným vedením a zdokumentována v ISMS. Tato politika tvoří nedílnou součást širšího systému bezpečnosti informací a řízení rizik organizace a úzce se váže na doplňkové politiky týkající se reakce na incidenty, řízení rizik, klasifikace, uchovávání, maskování dat a monitorování auditu.