Politika rolí, povinností a odpovědností v oblasti ochrany soukromí

Politika rolí, povinností a odpovědností v oblasti ochrany soukromí vymezuje, jak organizace přiřazuje, dokumentuje, komunikuje, přezkoumává a zlepšuje odpovědnosti v rámci svého systému řízení informací o soukromí. Její rozsah zahrnuje personál, funkce, systémy, dodavatele, zpracovatele, dílčí zpracovatele a vztahy společného správce, které se podílejí na zpracování PII v rámci rozsahu PIMS nebo je ovlivňují. Politika se uplatňuje v kontextech správce, společného správce, zpracovatele a dílčího zpracovatele, a je proto relevantní pro celý soubor provozních modelů ochrany soukromí popsaných v dokumentu. Zároveň výslovně stanoví, že nevytváří nové organizační pracovní pozice; vymezuje kanonické role PIMS, které lze přiřadit stávajícím pracovníkům nebo funkcím, pokud jsou dokumentovány požadavky na přiřazení, kompetence, nezávislost a střet zájmů. Politika zavádí strukturovaný model rolí PIMS a přístup k odpovědnosti založený na důkazech. Vrcholové vedení musí schválit kanonický model rolí v REG01 před první implementací a následně každoročně. Vedoucí ochrany soukromí / manažer PIMS udržuje jmenovitá přiřazení rolí, rozsahy odpovědnosti a úrovně pravomocí v REG01, včetně aktualizací po personálních nebo organizačních změnách. Vlastnictví činností zpracování je navázáno na REG02, kde vlastníci procesů / vlastníci podnikových procesů přiřazují odpovědné vlastníky pro každou činnost zpracování PII před zahájením zpracování a vlastníci systémů / vlastníci aplikací dokumentují odpovědné vlastníky systémů před spuštěním do produkčního prostředí. Vlastnictví vztahů s dodavateli, zpracovateli, dílčími zpracovateli, třetími stranami při sdílení údajů a společnými správci se zaznamenává v REG08 před onboardingem nebo schválením smlouvy. Ústřední součástí politiky je řízení kombinací rolí, oddělení povinností a nezávislosti. Politika umožňuje praktické kombinování rolí, včetně malých a středních organizací, vyžaduje však dokumentaci před tím, než kombinace nabudou účinnosti. Kombinace rolí zahrnující vedoucího ochrany soukromí / manažera PIMS, pověřence pro ochranu osobních údajů / poradce pro ochranu soukromí, vedoucího informační bezpečnosti, koordinátora reakce na incidenty nebo přezkoumávající osobu interního auditu / souladu vyžadují schválení vrcholového vedení v REG01. Přezkoumávající osoba interního auditu / souladu musí v REG12 před každým auditem nebo přezkumem souladu dokumentovat nezávislost na procesu PIMS, který je přezkoumáván. Pokud nelze střetům v oblasti oddělení povinností zabránit, musí být zaznamenána kompenzační opatření a pověřenec pro ochranu osobních údajů / poradce pro ochranu soukromí musí do pěti pracovních dnů od zjištění zaznamenat obavy týkající se nezávislosti nebo střetu zájmů. Politika rovněž vymezuje odpovědnost napříč odpovědnostmi správce, společného správce, zpracovatele a dílčího zpracovatele. Zpracování v roli správce vyžaduje před zahájením zpracování zaznamenané vlastnictví odpovědnosti, vlastnictví účelu a vlastnictví důkazů v REG02. Rozdělení odpovědnosti společného správce, vlastnictví pokynů zákazníka pro zpracovatele, vlastnictví dohledu nad dílčím zpracovatelem, stav schválení a eskalační cesty odpovědnosti třetích stran se řídí prostřednictvím REG08. Vedoucí ochrany soukromí / manažer PIMS ověřuje záznamy klasifikace rolí v REG02 a REG08 čtvrtletně a do 15 pracovních dnů od významné změny. Politika dále vyžaduje, aby poradenství v oblasti ochrany soukromí, vstupy k odpovědnosti za zabezpečení PII, odpovědnost za eskalaci porušení zabezpečení a incidentů ochrany soukromí, nevyřešené spory o odpovědnost a eskalace související s rolemi byly dokumentovány ve vymezených důkazních objektech. Správa a řízení, měření, výjimky, uplatňování a údržba jsou začleněny do modelu odpovědnosti. Vrcholové vedení přezkoumává úplnost, neobsazené role, střety rolí, výjimky z odpovědnosti a metriky v rámci přezkoumání vedením. Vedoucí ochrany soukromí / manažer PIMS provádí čtvrtletní přezkumy odpovědnosti, sleduje neobsazené a kombinované role, reportuje absolvování povědomí o rolích, řídí výjimky s vymezenými lhůtami platnosti a zaznamenává chybějící, nepřesná nebo zastaralá přiřazení jako neshody. Vlastníci procesů / vlastníci podnikových procesů musí zabránit spuštění nového nebo změněného zpracování PII do produkčního prostředí, pokud chybí požadované důkazy o rolích a odpovědnosti. Přezkoumávající osoby interního auditu / souladu testují důkazy o rolích, reportují zjištění a ověřují účinnost nápravných opatření. Samotná politika musí být přezkoumána každoročně a do 30 dnů od významné změny modelu rolí PIMS.