Andmekaitse ja privaatsuse poliitika

Andmekaitse ja privaatsuse poliitika (P17) sätestab tervikliku raamistiku isikuandmete kaitseks ja privacy-by-design põhimõtete rakendamiseks kogu organisatsioonis. See poliitika kehtestab kohustuslikud organisatsioonilised ja tehnilised nõuded, mis on vajalikud rahvusvaheliste standardite ja arenevate regulatiivsete raamistike järgimiseks, tagades, et isikuandmeid käideldakse kogu nende elutsükli jooksul seaduslikult, turvaliselt ja läbipaistvalt. Kohaldamisala hõlmab kõiki organisatsiooniüksusi, kogu personali ja süsteeme, mis töötlevad isikuandmeid, olenemata sellest, kas need asuvad füüsilisel või digitaalsel kandjal, ning hõlmab pilveteenuseid, SaaS-platvorme ja mobiilseadmeid. Poliitika on oma kohaldamisalas selgesõnaline, täpsustades, et kõik töötajad, töövõtjad ja kolmandad isikud alluvad selle nõuetele. Hõlmatud on kõik keskkonnad, kus isikuandmed asuvad — tootmis-, arendus-, test- või varunduskeskkonnad. Poliitika käsitleb mitte ainult isikuandmete kogumist, säilitamist ja kasutamist, vaid ka kõrvaldamist, piiriüleseid edastusi ning andmesubjekti õiguste käsitlemist. Poliitika keskne eesmärk on tagada vastavus juhtivatele regulatsioonidele ja standarditele: GDPR (artiklid 5, 6, 12–23, 25, 28, 30, 32–34; põhjendus 78), EL NIS2, EL DORA, ISO/IEC 27001:2022 (klauslid 5.1, 6.1.3, 8.1, 10.1), ISO/IEC 27002:2022 (kontrollimeetmed 5.34, 8.10, 8.11), NIST SP 800-53 Rev. 5 (mitmesugused kontrollimeetmed) ja COBIT 2019 (APO12, DSS01, DSS05, MEA). Selleks kohustab see määrama rollid ja volitused ning aruandekohustusstruktuurid: Tippjuhtkond tagab strateegilise järelevalve; DPO koordineerib vastavusprotsesse, andmesubjekti õiguste jõustamist ja suhtlust järelevalveasutustega; ning turvalisus, õigus ja vastavus, andmeomanikud ja IT rakendavad ühiselt tehnilisi ja organisatsioonilisi kaitsemeetmeid, haldavad registreid ja käsitlevad rikkumisi. Poliitika nõuab ametlikku privaatsuse juhtimisraamistikku, mis on integreeritud organisatsiooni infoturbe juhtimissüsteemiga (ISMS) järjepidevaks jõustamiseks. See määratleb protsessid privaatsusriskide registrite pidamiseks, DPIA-de läbiviimiseks kõrge riskiga töötlemise korral ning tagab, et privaatsuskontrollid (alates andmete minimeerimisest ja pseudonümiseerimisest kuni säilitamise ajastamise ja turvalise kõrvaldamiseni) on sügavalt lõimitud. Seaduslik töötlemine ja dokumenteeritud õiguslikud alused on aluspõhimõtted, sh nõusoleku, andmeinventuuride ja piiriüleste andmevoogude selgesõnaline haldus. Andmesubjekti taotlusi käsitletakse kindlaksmääratud tähtaegade jooksul ja logitakse jälgitavuse tagamiseks ning üksikasjalikult kirjeldatakse tugevaid raamistikke rikkumiste halduseks, erandite käsitlemiseks ja kolmandate isikute järelevalveks. Regulaarsed ülevaatused, auditijäljed ning iga-aastaste (või vajaduspõhiste) siseauditite nõue aitavad tagada, et poliitika püsib tõhus ja reageerib regulatiivsetele muudatustele, auditi leidudele või suurtele intsidentidele. Iga oluline ajakohastus peab olema Tippjuhtkonna poolt heaks kiidetud ja ISMS-is dokumenteeritud. See poliitika on organisatsiooni laiemas infoturbe- ja riskijuhtimise süsteemis lahutamatu osa, seostudes tihedalt täiendavate poliitikatega intsidentidele reageerimise, riskijuhtimise, klassifitseerimise, säilitamise, andmete maskeerimise ja auditi seire valdkondades.