Politika upravljanja incidentima u vezi s osobnim podacima i povredama osobnih podataka u financijskom sektoru

Politika upravljanja incidentima u vezi s osobnim podacima i povredama osobnih podataka u financijskom sektoru definira zahtjeve za identifikaciju, prijavljivanje, trijažu, klasifikaciju, procjenu, ograničavanje, obavješćivanje, dokumentiranje, zatvaranje i poboljšanje na temelju incidenata u vezi s osobnim podacima i povreda osobnih podataka u opsezima PIMS-a financijskog sektora. Primjenjuje se kada organizacija djeluje kao voditelj obrade, zajednički voditelj obrade, izvršitelj obrade ili podizvršitelj obrade u kontekstu financijskog sektora, a obuhvaća i sustave, aplikacije, usluge, procese, dobavljače, izvršitelje obrade, podizvršitelje obrade i treće strane koje obrađuju, pohranjuju, prenose, podržavaju, pristupaju ili na drugi način utječu na osobne podatke u opsegu. Politika je izričito osmišljena kao zamjenska varijanta PII15 za financijski sektor i zahtijeva da organizacije odaberu ili PII15 ili PII15-FS za isti opseg kako bi se izbjegle duplicirane obveze, registri i rad na revizijskim dokazima. Svrha politike jest osigurati da se incidenti u vezi s osobnim podacima i povrede obrađuju dosljedno, pravodobno, zakonito, sigurno i uz dokaze spremne za reviziju. REG10 — Registar incidenata u vezi s osobnim podacima i povreda osobnih podataka uspostavlja se kao primarni objekt dokaza, dok prateći registri povezuju zapis incidenta sa širim modelom dokaza PIMS-a. REG01 koristi se za opseg, zainteresirane strane, sektorski, korisnički, ugovorni i izvještajni kontekst. REG02 povezuje zahvaćene aktivnosti obrade, kategorije osobnih podataka, kategorije ispitanika, svrhe, sustave i usluge. REG03 bilježi Izjavu o primjenjivosti i ažuriranja primjenjivosti kontrola, uključujući zamjenu PII15 PII15-FS-om. REG04 podržava povezanost s rizikom za privatnost, DPIA-om, preostalim rizikom i obradom rizika, dok REG08, REG09, REG11 i REG12 obuhvaćaju sučelja s trećim stranama, međunarodne prijenose, obuku te revizijske dokaze ili dokaze o korektivnim radnjama. Operativno, politika zahtijeva da se svaki prijavljeni ili otkriveni sumnjivi incident u vezi s osobnim podacima u financijskom sektoru evidentira u REG10 u roku od jednog radnog dana od zaprimanja ili ranije ako mogu biti pokrenuti rokovi za obavješćivanje, korisničku komunikaciju ili izvješćivanje. Incidenti se moraju klasificirati u roku od 24 sata od zaprimanja kao događaj koji nije povezan s osobnim podacima, sumnjivi incident u vezi s osobnim podacima, potvrđeni incident u vezi s osobnim podacima, potvrđena povreda osobnih podataka, incident u vezi s osobnim podacima u financijskom sektoru, veliki incident u financijskom sektoru, značajna kibernetička prijetnja ili zapis koji čeka klasifikaciju. Procjena povrede mora uzeti u obzir zahvaćene osobne podatke, ispitanike, sustave, usluge, aktivnosti obrade, izvršitelje obrade, podizvršitelje obrade, prijenose, rizike, korisnike, druge ugovorne strane i korektivne radnje. Politika također zahtijeva očuvanje dokaza, ograničavanje u definiranim rokovima, provjeru oporavka i dokumentirane odluke o zatvaranju koje uključuju klasifikaciju, odluku o obavješćivanju, status ograničavanja, status oporavka, preostali rizik, korektivne radnje i potpunost dokaza. Politika razlikuje obveze voditelja obrade, zajedničkog voditelja obrade, izvršitelja obrade i podizvršitelja obrade. Voditelji obrade moraju evidentirati odluke o prijavi povrede, pripremiti dokaze za obavješćivanje nadzornog tijela kada je to potrebno i pregledati komunikaciju s ispitanicima kada je utvrđen visoki rizik. Izvršitelji obrade i podizvršitelji obrade moraju procijeniti upute klijenta, ugovorne obveze obavješćivanja, uzvodne lance obavješćivanja i zahtjeve za usmjeravanje dokaza, uz zapise koji se održavaju u REG08 i REG10. Odgovornosti zajedničkih voditelja obrade moraju se koordinirati i dokumentirati prije primjenjivih rokova za vanjsko obavješćivanje. Za incidente visokog utjecaja u vezi s osobnim podacima u financijskom sektoru i značajne kibernetičke prijetnje, koordinator odgovora na incidente mora procijeniti okidače regulatornog izvješćivanja u financijskom sektoru i zadržati dokaze o odluci u REG10. Upravljanje, mjerenje i poboljšanje ugrađeni su u životni ciklus politike. Voditelj za privatnost / voditelj PIMS-a mora pregledavati otvorene incidente u REG10 najmanje jednom tjedno do zatvaranja, a najviše rukovodstvo mora primiti eskalaciju za potvrđene incidente visokog utjecaja u financijskom sektoru, velike incidente ili značajne kibernetičke prijetnje u roku od 24 sata nakon klasifikacije. Metrike uključuju mjesečne brojeve sumnjivih i potvrđenih incidenata, povreda, velikih incidenata u financijskom sektoru i značajnih kibernetičkih prijetnji, kao i pravodobnost prijave povrede, pravodobnost izvješćivanja u financijskom sektoru, ograničavanje, oporavak, provjeru obnove i učinkovitost odgovora trećih strana. Politika nadalje zahtijeva godišnji pregled, pregled nakon incidenta poslije velikih događaja, pregled interne revizije, upravljanje iznimkama, provedbu putem nesukladnosti REG12 i korektivnu obuku putem REG11 kada dođe do neuspjeha u podizanju svijesti ili komunikaciji.