Tietosuojariskien arviointi- ja DPIA-politiikka

Tietosuojariskien arviointi- ja DPIA-politiikka määrittää, miten organisaatio tunnistaa, arvioi, käsittelee, hyväksyy, katselmoi ja osoittaa todentavalla aineistolla tietosuojariskit PIMS:n soveltamisalassa. Sen tarkoituksena on varmistaa, että tietosuojariskit ja DPIA-velvoitteet käsitellään ennen kuin henkilötietojen käsittely aiheuttaa hyväksymättömän riskin rekisteröidyille tai PIMS:lle. Politiikka koskee uusia ja olennaisesti muuttuneita henkilötietojen käsittelytoimia rekisterinpitäjän, yhteisrekisterinpitäjän, henkilötietojen käsittelijän ja alikäsittelijän rooleissa. Se kattaa myös järjestelmät, sovellukset, palvelut, liiketoimintaprosessit, toimittajat, henkilötietojen käsittelijät, alikäsittelijät, kansainväliset siirrot ja tietojen jakamisjärjestelyt, jotka vaikuttavat henkilötietojen käsittelyyn. Politiikan keskeinen osa on REG04-pohjainen toimintamalli. Tietosuojariskin esiarviointi, DPIA-esiarviointi, riskien arviointi, riskienkäsittelysuunnitelmat, jäännösriskin hyväksyntä, ennakkokuulemista koskevat päätökset, hyväksynnät ja katselmoinnin tila dokumentoidaan REG04:ään, ja tukeva todentava aineisto linkitetään REG02:een, REG03:een, REG08:aan, REG09:ään, REG10:een, REG11:een ja REG12:een. Politiikka nimenomaisesti välttää erillisten DPIA-, riski- tai ennakkokuulemisrekisterien luomista REG04:n ulkopuolelle. Tämä auttaa säilyttämään yhden auditointijäljen esiarvioinnin tuloksille, täysimittaista DPIA:ta koskeville päätöksille, riskiluokituksille, riskien käsittelyn omistajille, määräpäiville, jäännösriskille, hyväksyntätilalle ja katselmointipäiville. Politiikka asettaa pakolliset käynnistävät tekijät tietosuojariskin esiarvioinnille ja täysimittaisen DPIA:n määrittämiselle. Prosessien omistajien / liiketoimintavastaavien tulee käynnistää REG04-esiarviointi ennen kuin REG02:een kirjattu uusi tai olennaisesti muuttunut käsittely alkaa. Rekisterinpitäjäkäsittely, joka todennäköisesti aiheuttaa korkean riskin, edellyttää täysimittaista DPIA:ta ennen käsittelyn aloittamista. Politiikka yksilöi laajamittaisen käsittelyn, systemaattisen seurannan, profiloinnin, automaattisen päätöksenteon, erityisiin henkilötietoryhmiin kuuluvat henkilötiedot, rikostuomioita tai rikkomuksia koskevat tiedot, haavoittuvassa asemassa olevat rekisteröidyt, innovatiivisen teknologian ja olennaisen käsittelymuutoksen asioiksi, jotka tulee ohjata tietosuojavastaavalle / PIMS-päällikölle ennen käsittelyn aloittamista. Se edellyttää myös uudelleenesiarviointia ennen henkilötietojen käyttämistä uuteen tarkoitukseen, uuden vastaanottajan lisäämistä, uuden henkilötietojen käsittelijän tai alikäsittelijän käyttöönottoa, järjestelmäarkkitehtuurin muuttamista tai uuden kansainvälisen siirron aloittamista. Myös riskien käsittely ja eskalointi on määritelty selkeästi. Kun tietosuojariski ylittää hyväksytyn hyväksymiskynnyksen, prosessin omistajan / liiketoimintavastaavan tulee kirjata riskienkäsittelysuunnitelma REG04:ään ennen käsittelyn etenemistä. Tietoturvaan, järjestelmäsuunnitteluun, toimittajiin, sopimuksiin ja varmentamiseen liittyvät toimenpiteet osoitetaan asiaankuuluvalle roolille, ja ne tulee toteuttaa ennen tuotantokäyttöönottoa, käyttöönottoa, uusimista tai hyväksyttyä määräpäivää. Rekisterinpitäjäkäsittelyn korkea tietosuojaan kohdistuva jäännösriski edellyttää ylimmän johdon hyväksyntää ennen käsittelyn aloittamista tai jatkamista. Kun korkea jäännösriski säilyy riskien käsittelyn jälkeen, tietosuojavastaava / PIMS-päällikkö kirjaa ennakkokuulemista koskevan päätöksen REG04:ään, ja ylin johto hyväksyy jatkamisen, keskeyttämisen, uudelleensuunnittelun tai ennakkokuulemistoimet ennen käsittelyn etenemistä. Hallinnointi-, seuranta- ja politiikan noudattamista koskevat vaatimukset varmistavat, että prosessi pysyy aktiivisena alkuperäisen hyväksynnän jälkeen. Tietosuojavastaava / PIMS-päällikkö katselmoi avoimet tietosuojariskit ja myöhässä olevat riskien käsittelytoimet kuukausittain, raportoi tietosuojariskin ja DPIA:n tilan neljännesvuosittain ja ennen johdon katselmointia sekä täsmäyttää aktiiviset REG04-riskitallenteet REG02:n käsittelytoimien luettelon tallenteisiin. Politiikka määrittää mittarit esiarvioinnin kattavuudelle, aktiivisille täysimittaisille DPIA:ille, myöhässä oleville katselmoinneille, korkeille jäännösriskeille, riskien käsittelytoimien tilalle, keskimääräiselle sulkemisajalle, toimittajatoimenpiteille, tietoturvan riskien käsittelytoimille, poikkeamalähtöiselle uudelleenarvioinnille ja auditointihavainnoille. Poikkeukset tulee pyytää ennen poikkeamaa, ja ne tulee arvioida tietosuojan, oikeudellisten vaatimusten, sertifioinnin, operatiivisen vaikutuksen ja rekisteröityyn kohdistuvan vaikutuksen näkökulmasta sekä varustaa enintään 90 päivän päättymispäivällä. Puuttuvaa, virheellistä, puutteellista, myöhässä olevaa tai hyväksymätöntä REG04-todentavaa aineistoa käsitellään REG12:n poikkeamana.