PIMS-i dokumenteeritud teabe ja tõendusmaterjali halduse poliitika

PIMS-i dokumenteeritud teabe ja tõendusmaterjali halduse poliitika määratleb kohustuslikud nõuded privaatsusteabe haldussüsteemi dokumenteeritud teabe kogu elutsükli ohjamiseks. Selle kohaldamisala hõlmab PIMS-i kirjete loomist, heakskiitmist, versioonimist, kaitsmist, säilitamist, leidmist, tõlkimist, kasutuselt eemaldamist ja tõendamist. Poliitika kehtib PIMS-i poliitikate, registrite, dokumenteeritud heakskiitude, tõendusmaterjali kirjete, audititõenduse, juhtkonna läbivaatamise kirjete, parandusmeetmete tõendusmaterjali ja kontrollitud tõlgete suhtes, mida kasutatakse PIMS-i vastavuse tõendamiseks. See on koostatud vastutava töötleja, kaasvastutava töötleja, volitatud töötleja ja alltöötleja kontekstide jaoks, mistõttu on see kohaldatav rollidele, mida organisatsioon võib isikut tuvastava teabe töötlemisel täita. Poliitika keskne tunnus on tuginemine kanoonilistele PIMS-i tõendusmaterjaliobjektidele REG01-st kuni REG12-ni, selle asemel et luua eraldi dokumendihalduse register. Poliitika sätestab, et dokumenteeritud teabe ohje tõendusmaterjali hallatakse nende tõendusmaterjaliobjektide kaudu, kus REG03 ja REG12 on konkreetselt kasutusel kontrollimeetme kohaldatavuse, auditi, mittevastavuse, parandusmeetmete ja parenduste tõendusmaterjali jaoks. Selle lähenemise eesmärk on vältida tarbetut dokumendiohjebürokraatiat, säilitades samal ajal auditiks valmis kirjed sertifitseerimise, klientidele kindluse andmise ja pideva täiustamise jaoks. REG12 kasutatakse ulatuslikult dokumenteeritud teabe indeksi, juurdepääsutasemete, tundlikkuse klassifikatsioonide, heakskiidu staatuse, versiooniajaloo, väljastustaotluste, avalikustamise heakskiitude, säilituskategooriate, kasutuselt eemaldamise staatuse, erandite ja parandusmeetmete jälgimiseks. Poliitika kehtestab üksikasjalikud kontrollimeetmed loomise, heakskiitmise, versioonimise ja avaldamise jaoks. Enne PIMS-i dokumenteeritud teabe avaldamist peab andmekaitsejuht / PIMS-i juht määrama REG12-s dokumendi identifikaatori, omaniku, versiooninumbri, heakskiidu staatuse, jõustumiskuupäeva ja läbivaatamise kuupäeva. Tippjuhtkond peab enne avaldamist heaks kiitma PIMS-i põhipoliitikad ja olulised poliitikamuudatused, samal ajal kui andmekaitsejuht / PIMS-i juht kiidab enne operatiivset kasutamist heaks tõendusmaterjali mallid või registritesse manustatud jaotised. Poliitika nõuab ka, et versiooniajalugu ja muudatuse põhjendus registreeritaks enne väljalaset ning heakskiidetud muudatuste teavitamine registreeritaks REG11-s 30 päeva jooksul pärast avaldamist. Tõendusmaterjali kvaliteeti ja jälgitavust käsitletakse operatiivsete nõuetena, mitte valikuliste dokumenteerimisülesannetena. Andmekaitsejuht / PIMS-i juht peab määratlema tõendusmaterjali nimetamise tavad, kooskõlastama REG03 kontrollimeetmete viited poliitika tõendusmaterjali kirjetega kord kvartalis ja enne välisauditit ning rakendama heakskiidetud ekspordi nimetamise tava enne tõendusmaterjali jagamist sertifitseerimisauditi, klientidele kindluse andmise või regulatiivsele päringule vastamise eesmärgil. Protsessiomanikud / äriprotsesside omanikud peavad tagama, et töötlemise tõendusmaterjal sisaldab enne auditil kasutamist tõendusmaterjali omanikku, kuupäeva, töötlemistoimingu viidet, otsuse staatust ja heakskiidu staatust. Siseauditi / vastavuse läbivaatajad peavad kavandatud auditite või vastavuse läbivaatamiste käigus registreerima täielikkuse, täpsuse või jälgitavuse puudujäägid. Poliitika määratleb ka kontrollimeetmed juurdepääsu, kaitse, leidmise, avalikustamise, säilitamise, kasutuselt eemaldamise, arhiveerimise, kõrvaldamise ja mitmekeelse versioonihalduse jaoks. Hoidla juurdepääsupiirangud tuleb registreerida enne juurdepääsu andmist ja vaadata läbi kord kvartalis ning juurdepääs isikut tuvastavat teavet sisaldavale PIMS-i tõendusmaterjalile tuleb enne andmist heaks kiita. Tõendusmaterjali avalikustamine välisaudiitoritele, klientidele, volitatud töötlejatele, vastutavatele töötlejatele, järelevalveasutustele või muudele välistele osapooltele nõuab heakskiidu ja avalikustamise ulatuse registreerimist. Aegunud versioonid tuleb määratud tähtaegade jooksul kasutuselt eemaldada, varasemad heakskiidetud poliitikaversioonid tuleb säilitada ning arhiveerimine või kustutamine ei tohi toimuda enne, kui on kontrollitud auditi säilitamiskohustuse, õigusliku säilitamiskohustuse, intsidendi uurimise või parandusmeetmetega seotud sõltuvusi. Mõõdikud, erandite käsitlemine, poliitika järgimine ja iga-aastase läbivaatamise nõuded tagavad, et dokumenteeritud teave püsib ajakohane, leitav, kaitstud ja kooskõlas PIMS-i vastavusvajadustega.