Πολιτική Συστήματος Διαχείρισης Πληροφοριών Ιδιωτικότητας

Η Πολιτική Συστήματος Διαχείρισης Πληροφοριών Ιδιωτικότητας καθιερώνει το PIMS του οργανισμού για την επεξεργασία δεδομένων προσωπικού χαρακτήρα σε πλαίσια υπευθύνου επεξεργασίας, από κοινού υπευθύνου επεξεργασίας, εκτελούντος την επεξεργασία και υπεργολάβου επεξεργασίας. Ο δηλωμένος σκοπός της είναι να καθορίσει υποχρεωτικές απαιτήσεις διακυβέρνησης για την καθιέρωση, υλοποίηση, διατήρηση, παρακολούθηση και συνεχή βελτίωση του PIMS. Η πολιτική έχει σχεδιαστεί για να υποστηρίζει τη λογοδοτούσα, βάσει κινδύνου και τεκμηρίων διαχείριση της επεξεργασίας δεδομένων προσωπικού χαρακτήρα σε όλους τους εφαρμοστέους ρόλους PIMS. Εφαρμόζεται στο πεδίο εφαρμογής του PIMS, στο οργανωτικό πλαίσιο, στα ενδιαφερόμενα μέρη, στα όρια, στον καθορισμό ρόλων, στην πολιτική ιδιωτικότητας, στους στόχους ιδιωτικότητας, στην αξιολόγηση κινδύνου ιδιωτικότητας, στην αντιμετώπιση κινδύνου ιδιωτικότητας, στη Δήλωση Εφαρμοσιμότητας του PIMS, στη διακυβέρνηση, στην παρακολούθηση, στον εσωτερικό έλεγχο, στην Ανασκόπηση της Διοίκησης, στη μη συμμόρφωση, στις διορθωτικές ενέργειες και στα τεκμηριωμένα τεκμήρια που απαιτούνται για την απόδειξη της συμμόρφωσης και της λογοδοσίας. Κεντρικό χαρακτηριστικό της πολιτικής είναι η έμφαση στην καθορισμένη λογοδοσία. Η Ανώτατη Διοίκηση πρέπει να εγκρίνει το πεδίο εφαρμογής του PIMS στο REG01 πριν από την αρχική υλοποίηση και εντός 30 ημερών από οποιαδήποτε ουσιώδη αλλαγή, να εγκρίνει την πολιτική και τους στόχους του PIMS στο REG12 ετησίως και να ανασκοπεί την απόδοση, τους ανοικτούς κινδύνους, τις μη συμμορφώσεις, τις διορθωτικές ενέργειες και τις αποφάσεις βελτίωσης κατά την Ανασκόπηση της Διοίκησης. Ο Επικεφαλής Ιδιωτικότητας / Υπεύθυνος PIMS διατηρεί τα βασικά αρχεία PIMS, συμπεριλαμβανομένων των θεμάτων πλαισίου, των ενδιαφερόμενων μερών, των στόχων, της Δήλωσης Εφαρμοσιμότητας, των αποφάσεων αντιμετώπισης κινδύνου, του ευρετηρίου τεκμηρίων, των μετρικών, των εξαιρέσεων, των διορθωτικών ενεργειών και των αρχείων ανασκόπησης πολιτικής. Οι Ιδιοκτήτες Διεργασιών ταξινομούν τον ρόλο PIMS του οργανισμού για κάθε δραστηριότητα επεξεργασίας δεδομένων προσωπικού χαρακτήρα πριν από την έναρξη της επεξεργασίας, ενώ οι Ιδιοκτήτες Προμηθευτών / Προμηθειών τεκμηριώνουν την κατανομή ευθυνών από κοινού υπευθύνου επεξεργασίας, τις εντολές επεξεργασίας πελατών, τις εγκεκριμένες ρυθμίσεις υπεργολαβικής επεξεργασίας, τη διακυβέρνηση προμηθευτών και τις εξωτερικά παρεχόμενες διεργασίες που σχετίζονται με το PIMS. Η πολιτική συνδέει τη διακυβέρνηση PIMS με τον επιχειρησιακό έλεγχο. Η αξιολόγηση κινδύνου ιδιωτικότητας πρέπει να εκκινεί πριν από την έναρξη νέας ή ουσιωδώς τροποποιημένης επεξεργασίας δεδομένων προσωπικού χαρακτήρα, ενώ η ανάγκη για DPIA πρέπει να προσδιορίζεται πριν προχωρήσει η επεξεργασία υψηλού κινδύνου ή ουσιωδώς τροποποιημένη επεξεργασία από υπεύθυνο επεξεργασίας. Οι εγκεκριμένες αποφάσεις αντιμετώπισης κινδύνου ιδιωτικότητας καταγράφονται πριν από την υλοποίηση της αντιμετώπισης και οι Ιδιοκτήτες Συστημάτων πρέπει να επιβεβαιώνουν τους επιχειρησιακούς ελέγχους PIMS πριν από τη θέση σε λειτουργία συστημάτων που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα. Ο Επικεφαλής Ασφάλειας Πληροφοριών είναι υπεύθυνος για την τεκμηρίωση της εφαρμοστέας βασικής γραμμής ελέγχων ασφάλειας δεδομένων προσωπικού χαρακτήρα και για τη διατήρηση της κατάστασης υλοποίησης των ελέγχων ασφάλειας, συνδέοντας τη διακυβέρνηση ιδιωτικότητας με τη βασική γραμμή ελέγχων ασφάλειας δεδομένων προσωπικού χαρακτήρα και τη Δήλωση Εφαρμοσιμότητας. Αυτή η δομή συμβάλλει στη διασφάλιση ότι το πεδίο εφαρμογής, οι δραστηριότητες επεξεργασίας, η εφαρμοσιμότητα ελέγχων, οι ρυθμίσεις προμηθευτών και τα αρχεία κινδύνων παραμένουν ευθυγραμμισμένα πριν από την Ανασκόπηση της Διοίκησης και τις αλλαγές που σχετίζονται με την πιστοποίηση. Η πολιτική καθορίζει επίσης απαιτήσεις δυνατότητας ελέγχου και συνεχούς βελτίωσης. Ο Επικεφαλής Ιδιωτικότητας / Υπεύθυνος PIMS πρέπει να διατηρεί ευρετήριο τεκμηρίων PIMS πριν από κάθε εσωτερικό έλεγχο, να διατηρεί τεκμηριωμένες πληροφορίες σύμφωνα με τις απαιτήσεις διατήρησης τεκμηρίων, να τηρεί μετρικές απόδοσης ανά τρίμηνο και να αναφέρει την κατάσταση των στόχων πριν από την Ανασκόπηση της Διοίκησης. Το ελάχιστο σύνολο μετρήσεων περιλαμβάνει το ποσοστό των εντός πεδίου εφαρμογής δραστηριοτήτων επεξεργασίας με τρέχουσα ταξινόμηση ρόλων, το ποσοστό των εφαρμοστέων ελέγχων με τρέχουσα κατάσταση υλοποίησης, τις ανοικτές μη συμμορφώσεις και τις εκπρόθεσμες διορθωτικές ενέργειες, καθώς και τις αξιολογήσεις κινδύνου ιδιωτικότητας που εκκρεμούν προς έγκριση. Οι Ανασκοπητές Εσωτερικού Ελέγχου / Συμμόρφωσης πρέπει να αναφέρουν τα αποτελέσματα της ανασκόπησης εντός 15 εργάσιμων ημερών, να δειγματοληπτούν την πληρότητα των τεκμηρίων κατά τους εσωτερικούς ελέγχους, να επαληθεύουν τα τεκμήρια κλεισίματος ληγμένων εξαιρέσεων και να επαληθεύουν την αποτελεσματικότητα των διορθωτικών ενεργειών εντός 30 ημερών από το αναφερόμενο κλείσιμο. Οι εξαιρέσεις, η εφαρμογή και η συντήρηση αντιμετωπίζονται ως επίσημες διεργασίες PIMS και όχι ως ανεπίσημες αποκλίσεις. Οι αιτούμενες εξαιρέσεις πρέπει να τεκμηριώνονται πριν από την εμφάνιση της απόκλισης, να αξιολογούνται ως προς τον κίνδυνο ιδιωτικότητας πριν από την έγκριση και να ανασκοπούνται ανά τρίμηνο έως το κλείσιμο. Οι εξαιρέσεις που υπερβαίνουν τα αποδεκτά όρια κινδύνου ιδιωτικότητας απαιτούν έγκριση από την Ανώτατη Διοίκηση πριν από την υλοποίηση. Οι ύποπτες μη συμμορφώσεις πρέπει να καταγράφονται εντός πέντε εργάσιμων ημερών, οι εκπρόθεσμες μείζονες διορθωτικές ενέργειες πρέπει να κλιμακώνονται στην Ανώτατη Διοίκηση και οι ανεπίλυτες μείζονες μη συμμορφώσεις πρέπει να ανασκοπούνται σε κάθε Ανασκόπηση της Διοίκησης. Η ίδια η πολιτική ανασκοπείται ετησίως και εντός 30 ημερών από ουσιώδεις αλλαγές νομικού, οργανωτικού, επεξεργαστικού, τεχνολογικού χαρακτήρα ή αλλαγές στο πεδίο πιστοποίησης, με τις εγκεκριμένες αλλαγές να κοινοποιούνται στο REG11 εντός 30 ημερών από τη δημοσίευση.