Πολιτική Ρόλων, Αρμοδιοτήτων και Λογοδοσίας για την Ιδιωτικότητα

Η Πολιτική Ρόλων, Αρμοδιοτήτων και Λογοδοσίας για την Ιδιωτικότητα καθορίζει τον τρόπο με τον οποίο ο οργανισμός αναθέτει, τεκμηριώνει, κοινοποιεί, ανασκοπεί και βελτιώνει τις αρμοδιότητες στο πλαίσιο του Συστήματος Διαχείρισης Πληροφοριών Ιδιωτικότητας. Το πεδίο εφαρμογής της καλύπτει προσωπικό, λειτουργίες, συστήματα, προμηθευτές, εκτελούντες την επεξεργασία, υπεργολάβους επεξεργασίας και σχέσεις από κοινού υπευθύνων επεξεργασίας που συμμετέχουν στην επεξεργασία δεδομένων προσωπικού χαρακτήρα εντός του πεδίου εφαρμογής του PIMS ή την επηρεάζουν. Η πολιτική εφαρμόζεται σε πλαίσια υπευθύνου επεξεργασίας, από κοινού υπευθύνου επεξεργασίας, εκτελούντος την επεξεργασία και υπεργολάβου επεξεργασίας, καθιστώντας τη συναφή με το πλήρες σύνολο μοντέλων λειτουργίας ιδιωτικότητας που περιγράφονται στο έγγραφο. Διευκρινίζει επίσης ότι δεν δημιουργεί νέους οργανωτικούς τίτλους θέσεων εργασίας· αντίθετα, καθορίζει κανονικούς ρόλους PIMS που μπορούν να ανατεθούν σε υφιστάμενο προσωπικό ή λειτουργίες όταν τεκμηριώνονται οι απαιτούμενες απαιτήσεις ανάθεσης, επάρκειας, ανεξαρτησίας και σύγκρουσης συμφερόντων. Η πολιτική θεσπίζει ένα δομημένο μοντέλο ρόλων PIMS και προσέγγιση λογοδοσίας βάσει τεκμηρίων. Η Ανώτατη Διοίκηση πρέπει να εγκρίνει το κανονικό μοντέλο ρόλων στο REG01 πριν από την αρχική εφαρμογή και ετησίως στη συνέχεια. Ο Επικεφαλής Ιδιωτικότητας / Υπεύθυνος PIMS διατηρεί ονομαστικές αναθέσεις ρόλων, πεδία ευθύνης και επίπεδα αρμοδιότητας στο REG01, συμπεριλαμβανομένων επικαιροποιήσεων μετά από μεταβολές στο προσωπικό ή στον οργανισμό. Η ιδιοκτησία επεξεργασίας συνδέεται με το REG02, όπου οι Ιδιοκτήτες Διεργασιών / Ιδιοκτήτες της επιχείρησης αναθέτουν λογοδοτούντες ιδιοκτήτες για κάθε δραστηριότητα επεξεργασίας δεδομένων προσωπικού χαρακτήρα πριν από την έναρξη της επεξεργασίας και οι Ιδιοκτήτες Συστημάτων / Ιδιοκτήτες Εφαρμογών τεκμηριώνουν τους λογοδοτούντες ιδιοκτήτες συστημάτων πριν από τη θέση σε λειτουργία. Η ιδιοκτησία σχέσεων προμηθευτή, εκτελούντος την επεξεργασία, υπεργολάβου επεξεργασίας, κοινοχρησίας δεδομένων με τρίτο μέρος και από κοινού υπευθύνου επεξεργασίας καταγράφεται στο REG08 πριν από την ένταξη ή την έγκριση συμφωνίας. Κεντρικό μέρος της πολιτικής είναι η διαχείριση των συνδυασμών ρόλων, του διαχωρισμού καθηκόντων και της ανεξαρτησίας. Η πολιτική επιτρέπει πρακτικό συνδυασμό ρόλων, μεταξύ άλλων για μικρούς και μεσαίους οργανισμούς, αλλά απαιτεί τεκμηρίωση πριν οι συνδυασμοί τεθούν σε ισχύ. Οι συνδυασμοί ρόλων που περιλαμβάνουν τον Επικεφαλής Ιδιωτικότητας / Υπεύθυνο PIMS, τον Υπεύθυνο Προστασίας Δεδομένων / Σύμβουλο Ιδιωτικότητας, τον Επικεφαλής Ασφάλειας Πληροφοριών, τον Συντονιστή Αντιμετώπισης Περιστατικών ή τον Εσωτερικό Έλεγχο / Ανασκοπητή Συμμόρφωσης απαιτούν έγκριση της Ανώτατης Διοίκησης στο REG01. Ο Εσωτερικός Έλεγχος / Ανασκοπητής Συμμόρφωσης πρέπει να τεκμηριώνει την ανεξαρτησία από τη διαδικασία PIMS που ανασκοπείται στο REG12 πριν από κάθε έλεγχο ή ανασκόπηση συμμόρφωσης. Όταν οι συγκρούσεις διαχωρισμού καθηκόντων δεν μπορούν να αποφευχθούν, πρέπει να καταγράφονται αντισταθμιστικοί έλεγχοι και ο Υπεύθυνος Προστασίας Δεδομένων / Σύμβουλος Ιδιωτικότητας πρέπει να καταγράφει ανησυχίες ανεξαρτησίας ή σύγκρουσης συμφερόντων εντός πέντε εργάσιμων ημερών από την αναγνώρισή τους. Η πολιτική καθορίζει επίσης τη λογοδοσία σε αρμοδιότητες υπευθύνου επεξεργασίας, από κοινού υπευθύνου επεξεργασίας, εκτελούντος την επεξεργασία και υπεργολάβου επεξεργασίας. Η επεξεργασία από υπεύθυνο επεξεργασίας απαιτεί καταγεγραμμένη ιδιοκτησία ευθύνης, ιδιοκτησία σκοπού επεξεργασίας και ιδιοκτησία τεκμηρίων στο REG02 πριν από την έναρξη της επεξεργασίας. Η κατανομή ευθυνών από κοινού υπευθύνου επεξεργασίας, η ιδιοκτησία εντολής πελάτη από εκτελούντα την επεξεργασία, η ιδιοκτησία εποπτείας υπεργολάβου επεξεργασίας, η κατάσταση έγκρισης και οι διαδρομές κλιμάκωσης ευθύνης τρίτου μέρους διαχειρίζονται μέσω του REG08. Ο Επικεφαλής Ιδιωτικότητας / Υπεύθυνος PIMS επαληθεύει τριμηνιαία και εντός 15 εργάσιμων ημερών από ουσιώδη αλλαγή τα αρχεία ταξινόμησης ρόλων στα REG02 και REG08. Η πολιτική απαιτεί επίσης οι συμβουλές ιδιωτικότητας, οι εισηγήσεις για την ευθύνη ασφάλειας δεδομένων προσωπικού χαρακτήρα, η ευθύνη κλιμάκωσης παραβίασης και περιστατικού ιδιωτικότητας, οι ανεπίλυτες διαφορές ευθύνης και οι κλιμακώσεις που σχετίζονται με ρόλους να τεκμηριώνονται σε καθορισμένα αντικείμενα τεκμηρίων. Η διακυβέρνηση, η μέτρηση, οι εξαιρέσεις, η εφαρμογή και η συντήρηση ενσωματώνονται στο μοντέλο λογοδοσίας. Η Ανώτατη Διοίκηση ανασκοπεί την πληρότητα, τους μη καλυμμένους ρόλους, τις συγκρούσεις ρόλων, τις εξαιρέσεις λογοδοσίας και τις μετρικές κατά την ανασκόπηση της Διοίκησης. Ο Επικεφαλής Ιδιωτικότητας / Υπεύθυνος PIMS διενεργεί τριμηνιαίες ανασκοπήσεις λογοδοσίας, παρακολουθεί τους μη καλυμμένους και τους συνδυασμένους ρόλους, αναφέρει την ολοκλήρωση της ευαισθητοποίησης ανά ρόλο, διαχειρίζεται εξαιρέσεις με καθορισμένα όρια λήξης και καταγράφει ελλιπείς, ανακριβείς ή παρωχημένες αναθέσεις ως μη συμμορφώσεις. Οι Ιδιοκτήτες Διεργασιών / Ιδιοκτήτες της επιχείρησης πρέπει να αποτρέπουν τη θέση σε λειτουργία νέας ή μεταβαλλόμενης επεξεργασίας δεδομένων προσωπικού χαρακτήρα όταν απουσιάζουν τα απαιτούμενα τεκμήρια ρόλων και λογοδοσίας. Οι Εσωτερικοί Ελεγκτές / Ανασκοπητές Συμμόρφωσης ελέγχουν τα τεκμήρια ρόλων, αναφέρουν ευρήματα και επαληθεύουν την αποτελεσματικότητα των διορθωτικών ενεργειών. Η ίδια η πολιτική πρέπει να ανασκοπείται ετησίως και εντός 30 ημερών από ουσιώδη αλλαγή στο μοντέλο ρόλων PIMS.