Politika posuzování rizik pro soukromí a DPIA

Politika posuzování rizik pro soukromí a DPIA definuje, jak organizace identifikuje, hodnotí, ošetřuje, schvaluje, přezkoumává a dokládá rizika pro soukromí v rámci rozsahu PIMS. Jejím účelem je zajistit, aby rizika pro soukromí a povinnosti DPIA byly řešeny dříve, než zpracování PII vytvoří nepřijatelné riziko pro subjekty PII nebo pro PIMS. Politika se vztahuje na nové a významně změněné činnosti zpracování PII v kontextech správce, společného správce, zpracovatele a dílčího zpracovatele. Zahrnuje také systémy, aplikace, služby, obchodní procesy, dodavatele, zpracovatele, dílčí zpracovatele, mezinárodní předávání a ujednání o sdílení údajů, které ovlivňují zpracování PII. Ústředním prvkem politiky je provozní model založený na REG04. Předběžné posouzení rizik pro soukromí, předběžné posouzení nutnosti DPIA, posouzení rizik, plány ošetření rizik, přijetí zbytkového rizika, rozhodnutí o konzultaci, schválení a stav přezkumu se dokumentují v REG04, přičemž podpůrné důkazy jsou propojeny s REG02, REG03, REG08, REG09, REG10, REG11 a REG12. Politika výslovně brání vytváření samostatných registrů DPIA, rizik nebo konzultací mimo REG04. To pomáhá zachovat jednotnou důkazní stopu pro výsledky předběžného posouzení, rozhodnutí o úplném DPIA, hodnocení rizik, vlastníky ošetření, termíny splnění, zbytkové riziko, stav schválení a data přezkumu. Politika stanoví povinné spouštěče pro předběžné posouzení rizik pro soukromí a určení potřeby úplného DPIA. Vlastníci procesů / vlastníci společnosti musí zahájit předběžné posouzení v REG04 před zahájením nového nebo významně změněného zpracování zaznamenaného v REG02. Zpracování správcem, které pravděpodobně povede k vysokému riziku, vyžaduje úplné DPIA před zahájením zpracování. Politika výslovně uvádí zpracování zahrnující činnost ve velkém rozsahu, systematické monitorování, profilování, automatizovaná rozhodnutí, zvláštní kategorie PII, údaje o odsouzeních v trestních věcech nebo trestných činech, zranitelné subjekty PII, inovativní technologii a významnou změnu zpracování jako záležitosti, které musí být před zahájením zpracování postoupeny vedoucímu ochrany soukromí / manažerovi PIMS. Vyžaduje také opětovné předběžné posouzení před použitím PII k novému účelu, přidáním nového příjemce, zavedením nového zpracovatele nebo dílčího zpracovatele, změnou architektury systému nebo zahájením nového mezinárodního předávání. Jasně jsou definovány také ošetření rizik a eskalace. Pokud riziko pro soukromí překročí schválenou prahovou hodnotu akceptace, musí vlastník procesu / vlastník společnosti před pokračováním zpracování zaznamenat plán ošetření rizik v REG04. Opatření týkající se bezpečnosti, návrhu systému, dodavatelů, smluvních požadavků a zajištění jsou přiřazena příslušné roli a musí být provedena před spuštěním do produkčního prostředí, onboardingem, obnovením nebo schváleným termínem splnění. Vysoké zbytkové riziko pro soukromí u zpracování správcem vyžaduje schválení vrcholovým vedením před zahájením nebo pokračováním zpracování. Pokud po ošetření přetrvává vysoké zbytkové riziko, vedoucí ochrany soukromí / manažer PIMS zaznamená rozhodnutí o předchozí konzultaci v REG04 a vrcholové vedení schválí pokračování, pozastavení, přepracování nebo konzultační kroky před pokračováním zpracování. Požadavky na správu, monitorování a uplatňování politiky zajišťují, že proces zůstává aktivní i po prvním schválení. Vedoucí ochrany soukromí / manažer PIMS měsíčně přezkoumává otevřená rizika pro soukromí a opožděná opatření ošetření, čtvrtletně a před přezkoumáním vedením reportuje stav rizik pro soukromí a DPIA a slaďuje aktivní rizikové záznamy REG04 se záznamy evidence činností zpracování REG02. Politika definuje metriky pro pokrytí předběžným posouzením, aktivní úplná DPIA, opožděné přezkumy, vysoká zbytková rizika, stav opatření ošetření, průměrnou dobu uzavření, opatření dodavatelů, bezpečnostní opatření ošetření, opětovné posouzení vyvolané incidentem a zjištění auditu. Výjimky musí být vyžádány před odchylkou, posouzeny z hlediska dopadu na soukromí, právních, certifikačních a provozních dopadů a dopadu na subjekt PII a musí mít datum ukončení nepřesahující 90 dnů. Chybějící, nepřesné, neúplné, opožděné nebo neschválené důkazy REG04 se v REG12 považují za neshodu.