Πολιτική Διαχείρισης Τεκμηριωμένων Πληροφοριών και Τεκμηρίων PIMS

Η Πολιτική Διαχείρισης Τεκμηριωμένων Πληροφοριών και Τεκμηρίων PIMS ορίζει υποχρεωτικές απαιτήσεις για τον έλεγχο του πλήρους κύκλου ζωής των τεκμηριωμένων πληροφοριών του Συστήματος Διαχείρισης Πληροφοριών Ιδιωτικότητας. Το πεδίο εφαρμογής της καλύπτει τη δημιουργία, έγκριση, έλεγχο εκδόσεων, προστασία, διατήρηση, ανάκτηση, μετάφραση, απόσυρση και τεκμηρίωση αρχείων PIMS. Η πολιτική εφαρμόζεται σε πολιτικές PIMS, μητρώα, τεκμηριωμένες εγκρίσεις, αρχεία τεκμηρίων, ελεγκτικά τεκμήρια, αρχεία ανασκόπησης της Διοίκησης, τεκμήρια διορθωτικών ενεργειών και ελεγχόμενες μεταφράσεις που χρησιμοποιούνται για την απόδειξη της συμμόρφωσης PIMS. Έχει συνταχθεί για πλαίσια υπευθύνου επεξεργασίας, από κοινού υπευθύνου επεξεργασίας, εκτελούντος την επεξεργασία και υπεργολάβου επεξεργασίας, καθιστώντας την εφαρμόσιμη στους ρόλους που μπορεί να κατέχει ένας οργανισμός κατά την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Κεντρικό χαρακτηριστικό της πολιτικής είναι η χρήση των κανονικών αντικειμένων τεκμηρίων PIMS REG01 έως REG12, αντί της δημιουργίας χωριστού μητρώου ελέγχου εγγράφων. Η πολιτική ορίζει ότι τα τεκμήρια ελέγχου τεκμηριωμένων πληροφοριών διατηρούνται μέσω αυτών των αντικειμένων τεκμηρίων, με τα REG03 και REG12 να χρησιμοποιούνται ειδικά για εφαρμοσιμότητα ελέγχων, έλεγχο, μη συμμόρφωση, διορθωτικά μέτρα και τεκμήρια βελτίωσης. Η προσέγγιση αυτή αποσκοπεί στην αποφυγή περιττής γραφειοκρατίας ελέγχου εγγράφων, διατηρώντας παράλληλα αρχεία με ετοιμότητα για έλεγχο για πιστοποίηση, διασφάλιση πελατών και συνεχή βελτίωση. Το REG12 χρησιμοποιείται εκτενώς για το ευρετήριο τεκμηριωμένων πληροφοριών, τα επίπεδα πρόσβασης, τις ταξινομήσεις ευαισθησίας, την κατάσταση έγκρισης, το ιστορικό εκδόσεων, τα αιτήματα ανάκτησης, τις εγκρίσεις κοινολόγησης, τις κατηγορίες διατήρησης, την κατάσταση απόσυρσης, τις εξαιρέσεις και την παρακολούθηση διορθωτικών ενεργειών. Η πολιτική θεσπίζει λεπτομερείς ελέγχους για τη δημιουργία, έγκριση, έλεγχο εκδόσεων και δημοσίευση. Πριν από τη δημοσίευση τεκμηριωμένων πληροφοριών PIMS, ο Επικεφαλής Ιδιωτικότητας / Υπεύθυνος PIMS πρέπει να αποδίδει αναγνωριστικό εγγράφου, ιδιοκτήτη, αριθμό έκδοσης, κατάσταση έγκρισης, ημερομηνία έναρξης ισχύος και ημερομηνία ανασκόπησης στο REG12. Η Ανώτατη Διοίκηση πρέπει να εγκρίνει τις βασικές πολιτικές PIMS και τις ουσιώδεις αλλαγές πολιτικής πριν από τη δημοσίευση, ενώ ο Επικεφαλής Ιδιωτικότητας / Υπεύθυνος PIMS εγκρίνει τα πρότυπα τεκμηρίων ή τις ενσωματωμένες ενότητες μητρώων πριν από την επιχειρησιακή χρήση. Η πολιτική απαιτεί επίσης να καταγράφονται το ιστορικό εκδόσεων και η αιτιολόγηση αλλαγών πριν από τη διάθεση και να καταγράφεται στο REG11 η επικοινωνία εγκεκριμένων αλλαγών εντός 30 ημερών από τη δημοσίευση. Η ποιότητα και η ιχνηλασιμότητα των τεκμηρίων αντιμετωπίζονται ως επιχειρησιακές απαιτήσεις και όχι ως προαιρετικές εργασίες τεκμηρίωσης. Ο Επικεφαλής Ιδιωτικότητας / Υπεύθυνος PIMS πρέπει να ορίζει συμβάσεις ονοματοδοσίας τεκμηρίων, να αντιστοιχίζει ανά τρίμηνο και πριν από εξωτερικό έλεγχο τις αναφορές ελέγχων του REG03 με τα αρχεία τεκμηρίων πολιτικής και να εφαρμόζει την εγκεκριμένη σύμβαση ονοματοδοσίας εξαγωγής πριν από την κοινοχρησία τεκμηρίων για έλεγχο πιστοποίησης, διασφάλιση πελατών ή απόκριση σε ρυθμιστική αρχή. Οι Ιδιοκτήτες Διεργασιών / Ιδιοκτήτες της Επιχείρησης πρέπει να διασφαλίζουν ότι τα τεκμήρια επεξεργασίας περιλαμβάνουν τον ιδιοκτήτη τεκμηρίων, την ημερομηνία, την αναφορά δραστηριότητας επεξεργασίας, την κατάσταση απόφασης και την κατάσταση έγκρισης πριν χρησιμοποιηθούν ως βάση για έλεγχο. Οι ανασκοπητές Εσωτερικού Ελέγχου / Συμμόρφωσης πρέπει να καταγράφουν κενά πληρότητας, ακρίβειας ή ιχνηλασιμότητας κατά τη διάρκεια προγραμματισμένων ελέγχων ή ανασκοπήσεων συμμόρφωσης. Η πολιτική ορίζει επίσης ελέγχους για πρόσβαση, προστασία, ανάκτηση, κοινολόγηση, διατήρηση, απόσυρση, αρχειοθέτηση, διάθεση και πολυγλωσσικό έλεγχο εκδόσεων. Οι περιορισμοί πρόσβασης στο αποθετήριο πρέπει να καταγράφονται πριν από τη χορήγηση πρόσβασης και να ανασκοπούνται ανά τρίμηνο, ενώ η πρόσβαση σε τεκμήρια PIMS που περιέχουν δεδομένα προσωπικού χαρακτήρα πρέπει να εγκρίνεται πριν χορηγηθεί. Οι κοινολογήσεις τεκμηρίων σε εξωτερικούς ελεγκτές, πελάτες, εκτελούντες την επεξεργασία, υπευθύνους επεξεργασίας, εποπτικές αρχές ή άλλα εξωτερικά μέρη απαιτούν καταγραφή της έγκρισης και του πεδίου κοινολόγησης. Οι παρωχημένες εκδόσεις πρέπει να αποσύρονται εντός καθορισμένων προθεσμιών, οι προηγούμενες εγκεκριμένες εκδόσεις πολιτικών πρέπει να διατηρούνται και η αρχειοθέτηση ή διαγραφή δεν πρέπει να πραγματοποιείται μέχρι να ελεγχθούν εξαρτήσεις από δέσμευση ελέγχου, νομική δέσμευση διατήρησης, διερεύνηση περιστατικού ή διορθωτική ενέργεια. Οι μετρικές, η διαχείριση εξαιρέσεων, η εφαρμογή και οι ετήσιες απαιτήσεις ανασκόπησης διασφαλίζουν ότι οι τεκμηριωμένες πληροφορίες παραμένουν επίκαιρες, ανακτήσιμες, προστατευμένες και ευθυγραμμισμένες με τις ανάγκες συμμόρφωσης PIMS.