Politik for roller, ansvar og ansvarlighed vedrørende databeskyttelse

Politikken for roller, ansvar og ansvarlighed vedrørende databeskyttelse definerer, hvordan organisationen tildeler, dokumenterer, kommunikerer, gennemgår og forbedrer ansvar i sit Privacy Information Management System. Dens omfang dækker personale, funktioner, systemer, leverandører, databehandlere, underdatabehandlere og forhold med fælles dataansvar, der deltager i eller påvirker behandling af personhenførbare oplysninger (PII) inden for PIMS-omfanget. Politikken gælder på tværs af kontekster som dataansvarlig, fælles dataansvarlig, databehandler og underdatabehandler, hvilket gør den relevant for hele sættet af driftsmodeller for databeskyttelse, der er beskrevet i dokumentet. Den præciserer også, at den ikke opretter nye organisatoriske stillingsbetegnelser; i stedet definerer den kanoniske PIMS-roller, der kan tildeles eksisterende personale eller funktioner, når de krævede krav til tildeling, kompetence, uafhængighed og interessekonflikt er dokumenteret. Politikken etablerer en struktureret PIMS-rollemodel og en bevisbaseret tilgang til ansvarlighed. Øverste ledelse skal godkende den kanoniske rollemodel i REG01 før den første implementering og derefter årligt. Privacy Lead / PIMS-ansvarlig vedligeholder navngivne rolletildelinger, ansvarsområder og beføjelsesniveauer i REG01, herunder opdateringer efter personale- eller organisationsændringer. Behandlingsejerskab er knyttet til REG02, hvor procesejere / virksomhedsejere tildeler ansvarlige ejere for hver behandlingsaktivitet vedrørende personhenførbare oplysninger (PII), før behandlingen begynder, og systemejere / applikationsejere dokumenterer ansvarlige systemejere før idriftsættelse i produktionsmiljøet. Ejerskab til leverandør-, databehandler-, underdatabehandler-, tredjepartsdatadelings- og forhold med fælles dataansvar registreres i REG08 før onboarding eller godkendelse af aftaler. En central del af politikken er styring af rollekombinationer, funktionsadskillelse og uafhængighed. Politikken tillader praktisk rollekombination, herunder for små og mellemstore organisationer, men kræver dokumentation, før kombinationer træder i kraft. Rollekombinationer, der involverer Privacy Lead / PIMS-ansvarlig, databeskyttelsesrådgiver (DPO) / rådgiver inden for databeskyttelse, ansvarlig for informationssikkerhed, hændelseskoordinator eller intern revisor / gennemgangsansvarlig for efterlevelse, kræver godkendelse fra øverste ledelse i REG01. Den interne revisor / gennemgangsansvarlige for efterlevelse skal dokumentere uafhængighed af den PIMS-proces, der gennemgås, i REG12 før hver revision eller efterlevelsesgennemgang. Hvor konflikter i funktionsadskillelse ikke kan undgås, skal kompenserende kontroller registreres, og databeskyttelsesrådgiver (DPO) / rådgiver inden for databeskyttelse skal registrere bekymringer om uafhængighed eller interessekonflikt inden for fem arbejdsdage efter identifikation. Politikken definerer også ansvarlighed på tværs af ansvarsområder som dataansvarlig, fælles dataansvarlig, databehandler og underdatabehandler. Behandling som dataansvarlig kræver registreret ansvarsejerskab, formålsejerskab og ejerskab til bevismateriale i REG02, før behandlingen begynder. Fordeling af ansvar mellem fælles dataansvarlige, ejerskab til kundens instruks hos databehandler, tilsynsejerskab vedrørende underdatabehandlere, godkendelsesstatus og eskalationsveje for tredjepartsansvar styres gennem REG08. Privacy Lead / PIMS-ansvarlig verificerer registreringer om rolleklassificering i REG02 og REG08 kvartalsvist og inden for 15 arbejdsdage efter væsentlig ændring. Politikken kræver desuden, at rådgivning om databeskyttelse, input til ansvar for PII-sikkerhed, ansvar for eskalering af brud og PII-hændelser, uafklarede ansvarstvister og rollerelaterede eskaleringer dokumenteres i definerede bevisobjekter. Styring, måling, undtagelser, håndhævelse og vedligeholdelse er indbygget i ansvarlighedsmodellen. Øverste ledelse gennemgår fuldstændigheden af rolletildelinger, ubesatte roller, rollekonflikter, undtagelser fra ansvarlighed og metrikker under ledelsens gennemgang. Privacy Lead / PIMS-ansvarlig udfører kvartalsvise gennemgange af ansvarlighed, sporer ubesatte og kombinerede roller, rapporterer gennemført rollebevidsthed, styrer undtagelser med definerede udløbsgrænser og registrerer manglende, unøjagtige eller forældede tildelinger som afvigelser. Procesejere / virksomhedsejere skal forhindre idriftsættelse i produktionsmiljøet af ny eller ændret behandling af personhenførbare oplysninger (PII), hvor påkrævet rolle- og ansvarlighedsbevismateriale mangler. Interne revisorer / gennemgangsansvarlige for efterlevelse tester rollebevismateriale, rapporterer konstateringer og verificerer effektiviteten af korrigerende handlinger. Selve politikken skal gennemgås årligt og inden for 30 dage efter væsentlig ændring af PIMS-rollemodellen.