Politika zaštite podataka i privatnosti

Politika zaštite podataka i privatnosti (P17) utvrđuje sveobuhvatan okvir za zaštitu podataka i provedbu načela privatnosti po dizajnu u cijeloj organizaciji. Ova politika uspostavlja obvezne organizacijske i tehnološke zahtjeve potrebne za usklađenost s međunarodnim standardima i promjenjivim regulatornim okvirima, osiguravajući da se osobni podaci obrađuju na zakonit, siguran i transparentan način tijekom cijelog životnog ciklusa. Obuhvat se proteže na sve organizacijske jedinice, svo osoblje i sustave koji obrađuju osobne podatke, bilo na fizičkim ili digitalnim medijima, te uključuje usluge u oblaku, SaaS platforme i mobilne uređaje. Politika je izričita u pogledu opsega, pojašnjavajući da su svi zaposlenici, izvođači i treće strane podložni njezinim zahtjevima. Obuhvaćena su sva okruženja u kojima se nalaze osobni podaci: produkcijsko okruženje, razvoj, test ili sustavi za sigurnosno kopiranje. Politika ne obrađuje samo prikupljanje, pohranu i uporabu osobnih podataka, već i zadržavanje, zbrinjavanje, prekogranične prijenose te postupanje s pravima ispitanika. Središnji cilj politike je osigurati usklađenost s vodećim propisima i standardima: GDPR (članci 5, 6, 12–23, 25, 28, 30, 32–34; uvodna izjava 78), EU NIS2, EU DORA, ISO/IEC 27001:2022 (odredbe 5.1, 6.1.3, 8.1, 10.1), ISO/IEC 27002:2022 (kontrole 5.34, 8.10, 8.11), NIST SP 800-53 Rev. 5 (razne kontrole) i COBIT 2019 (APO12, DSS01, DSS05, MEA). U tu svrhu nalaže dodjelu uloga i struktura odgovornosti: Izvršni menadžment osigurava strateški nadzor; DPO koordinira procese usklađenosti, provedbu prava ispitanika i interakciju s nadzornim tijelima; a Sigurnost, Pravni poslovi i usklađenost, vlasnici informacijske imovine i IT zajednički provode tehnološke i organizacijske zaštitne mjere, održavaju registre i upravljaju povredama. Politika zahtijeva formalni Okvir upravljanja privatnošću integriran sa sustavom upravljanja informacijskom sigurnošću (ISMS) organizacije radi dosljedne provedbe. Razgraničava procese za održavanje registara rizika privatnosti, provođenje DPIA-a za obradu visokog rizika te osiguravanje da su kontrole privatnosti (od minimizacije podataka i pseudonimizacije do rasporeda zadržavanja i sigurnog zbrinjavanja) duboko ugrađene. Zakonita obrada i dokumentirane pravne osnove su temelj, uz izričito upravljanje privolom, inventarima podataka i prekograničnim tokovima podataka. Zahtjevi ispitanika rješavaju se u zadanim rokovima i bilježe radi sljedivosti, a detaljno su opisani i snažni okviri za upravljanje povredama, postupanje s iznimkama i nadzor trećih strana. Redoviti pregledi, revizijski tragovi i zahtjev za godišnjom (ili ad hoc) unutarnjom revizijom pomažu osigurati da politika ostane učinkovita i prilagodljiva regulatornim promjenama, nalazima revizije ili većim incidentima. Svako značajno ažuriranje mora odobriti Izvršni menadžment i mora biti dokumentirano u ISMS-u. Ova politika čini sastavni dio šireg sustava informacijske sigurnosti i upravljanja rizicima organizacije te je usko povezana s komplementarnim politikama o odgovoru na incidente, upravljanju rizicima, klasifikaciji, zadržavanju, maskiranju podataka i praćenju revizije.