Politika řízení incidentů týkajících se PII a porušení zabezpečení osobních údajů ve finančním sektoru

Politika řízení incidentů týkajících se PII a porušení zabezpečení osobních údajů ve finančním sektoru stanoví požadavky na identifikaci, hlášení, třídění, klasifikaci, posouzení, zamezení šíření, oznamování, dokumentování, uzavírání a zlepšování na základě incidentů týkajících se PII a porušení zabezpečení osobních údajů v rozsazích PIMS ve finančním sektoru. Uplatní se tam, kde organizace v kontextu finančního sektoru jedná jako správce PII, společný správce, zpracovatel nebo dílčí zpracovatel, a vztahuje se také na systémy, aplikace, služby, procesy, dodavatele, zpracovatele, dílčí zpracovatele a třetí strany, které PII v rozsahu zpracovávají, ukládají, přenášejí, podporují, zpřístupňují nebo jinak ovlivňují. Politika je výslovně navržena jako náhradní varianta PII15 pro finanční sektor a vyžaduje, aby organizace pro stejný rozsah zvolily buď PII15, nebo PII15-FS, aby se zabránilo duplicitním povinnostem, registrům a práci s auditními důkazy. Účelem politiky je zajistit, aby incidenty týkající se PII a porušení zabezpečení osobních údajů byly řešeny konzistentně, včas, zákonně, bezpečně a s důkazy připravenými na audit. REG10 — Registr incidentů týkajících se PII a porušení zabezpečení osobních údajů — je zaveden jako primární důkazní objekt, zatímco podpůrné registry propojují záznam o incidentu s širším důkazním modelem PIMS. REG01 se používá pro rozsah, zainteresované strany, sektorový, zákaznický, smluvní a oznamovací kontext. REG02 propojuje dotčené činnosti zpracování, kategorie PII, kategorie subjektů PII, účely, systémy a služby. REG03 zachycuje Prohlášení o použitelnosti a aktualizace použitelnosti opatření, včetně nahrazení PII15 prostřednictvím PII15-FS. REG04 podporuje vazby na posouzení rizik pro soukromí, DPIA, zbytkové riziko a ošetření rizik, zatímco REG08, REG09, REG11 a REG12 pokrývají rozhraní se třetími stranami, mezinárodní předávání, školení a auditní důkazy nebo důkazy o nápravných opatřeních. Z provozního hlediska politika vyžaduje, aby každý nahlášený nebo zjištěný podezřelý incident týkající se PII ve finančním sektoru byl zaznamenán do REG10 do jednoho pracovního dne od přijetí, nebo dříve, pokud mohou být spuštěny oznamovací, zákaznické nebo hlásicí lhůty. Incidenty musí být do 24 hodin od přijetí klasifikovány jako událost bez PII, podezřelý incident týkající se PII, potvrzený incident týkající se PII, potvrzené porušení zabezpečení osobních údajů, incident týkající se PII ve finančním sektoru, závažný incident ve finančním sektoru, významná kybernetická hrozba nebo záznam čekající na klasifikaci. Posouzení porušení zabezpečení osobních údajů musí zohlednit dotčené PII, subjekty PII, systémy, služby, činnosti zpracování, zpracovatele, dílčí zpracovatele, předávání, rizika, zákazníky, protistrany a nápravná opatření. Politika dále vyžaduje uchování důkazů, zamezení šíření ve stanovených lhůtách, validaci obnovy a dokumentovaná rozhodnutí o uzavření, která zahrnují klasifikaci, rozhodnutí o oznámení, stav zamezení šíření, stav obnovy, zbytkové riziko, nápravná opatření a úplnost důkazů. Politika rozlišuje povinnosti správce, společného správce, zpracovatele a dílčího zpracovatele. Správci musí zaznamenávat rozhodnutí o oznámení porušení zabezpečení osobních údajů, připravit důkazy pro oznámení dozorovému úřadu, je-li to vyžadováno, a přezkoumat komunikaci se subjektem PII, pokud je identifikováno vysoké riziko. Zpracovatelé a dílčí zpracovatelé musí posoudit pokyny zákazníka, smluvní oznamovací povinnosti, navazující oznamovací řetězce a požadavky na směrování důkazů, přičemž záznamy se uchovávají v REG08 a REG10. Odpovědnosti společných správců musí být koordinovány a dokumentovány před příslušnými lhůtami pro externí oznámení. U incidentů s významným dopadem týkajících se PII ve finančním sektoru a významných kybernetických hrozeb musí koordinátor reakce na incidenty vyhodnotit spouštěče regulačního hlášení ve finančním sektoru a uchovat důkazy o rozhodnutí v REG10. Správa, měření a zlepšování jsou součástí životního cyklu politiky. Vedoucí ochrany soukromí / manažer PIMS musí nejméně jednou týdně až do uzavření přezkoumávat otevřené incidenty v REG10 a vrcholové vedení musí obdržet eskalaci u potvrzených incidentů s významným dopadem ve finančním sektoru, závažných incidentů nebo významných kybernetických hrozeb do 24 hodin po klasifikaci. Metriky zahrnují měsíční počty podezřelých a potvrzených incidentů, porušení zabezpečení, závažných incidentů ve finančním sektoru a významných kybernetických hrozeb, jakož i včasnost oznámení porušení zabezpečení osobních údajů, včasnost hlášení ve finančním sektoru, zamezení šíření, obnovu, validaci obnovení a výkonnost reakce třetích stran. Politika dále vyžaduje každoroční přezkum, přezkoumání po incidentu po závažných událostech, přezkum interním auditem, správu výjimek, prosazování prostřednictvím neshod REG12 a nápravné školení prostřednictvím REG11, pokud dojde k selhání povědomí nebo komunikace.