Politika sustava upravljanja informacijama o privatnosti

Politika sustava upravljanja informacijama o privatnosti uspostavlja PIMS organizacije za obradu osobnih podataka koji omogućuju identifikaciju osobe (PII) u kontekstima voditelja obrade, zajedničkog voditelja obrade, izvršitelja obrade i podizvršitelja obrade. Njezina je svrha definirati obvezne zahtjeve upravljanja za uspostavu, implementaciju, održavanje, praćenje i kontinuirano poboljšavanje PIMS-a. Politika je oblikovana kako bi podržala odgovorno, na riziku utemeljeno i dokazima vođeno upravljanje obradom PII-ja u svim primjenjivim ulogama PIMS-a. Primjenjuje se na opseg PIMS-a, organizacijski kontekst, zainteresirane strane, granice, određivanje uloga, politiku privatnosti, ciljeve privatnosti, procjenu rizika za privatnost, obradu rizika za privatnost, Izjavu o primjenjivosti PIMS-a, upravljanje, praćenje, internu reviziju, preispitivanje od strane uprave, nesukladnost, korektivne radnje i dokumentirane dokaze potrebne za dokazivanje sukladnosti i odgovornosti. Središnje obilježje politike jest usmjerenost na definiranu odgovornost. Najviše rukovodstvo mora odobriti opseg PIMS-a u REG01 prije početne implementacije i u roku od 30 dana od svake značajne promjene, odobriti politiku i ciljeve PIMS-a u REG12 jednom godišnje te tijekom preispitivanja od strane uprave pregledati učinkovitost, otvorene rizike, nesukladnosti, korektivne radnje i odluke o poboljšanju. Voditelj privatnosti / voditelj PIMS-a održava temeljne zapise PIMS-a, uključujući pitanja konteksta, zainteresirane strane, ciljeve, Izjavu o primjenjivosti, odluke o obradi rizika, indeks dokaza, metrike, iznimke, korektivne radnje i zapise pregleda politike. Vlasnici procesa klasificiraju ulogu organizacije u PIMS-u za svaku aktivnost obrade PII-ja prije početka obrade, dok vlasnici dobavljača / nabave dokumentiraju raspodjelu odgovornosti zajedničkog voditelja obrade, upute klijenta za obradu, odobrene aranžmane podizvršitelja obrade, upravljanje dobavljačima i eksterno pružene procese relevantne za PIMS. Politika povezuje upravljanje PIMS-om s operativnom kontrolom. Procjena rizika za privatnost mora se pokrenuti prije početka nove ili značajno izmijenjene obrade PII-ja, a potreba za DPIA-om mora se odrediti prije nastavka visokorizične ili značajno izmijenjene obrade koju provodi voditelj obrade. Odobrene odluke o obradi rizika za privatnost evidentiraju se prije provedbe obrade rizika, a vlasnici sustava moraju potvrditi operativne kontrole PIMS-a prije puštanja u produkcijski rad sustava koji obrađuju PII. Voditelj informacijske sigurnosti odgovoran je za dokumentiranje primjenjive polazne osnove sigurnosnih kontrola za PII i održavanje statusa implementacije sigurnosnih kontrola, čime se upravljanje privatnošću povezuje s polaznom osnovom sigurnosnih kontrola za PII i Izjavom o primjenjivosti. Takva struktura pomaže osigurati usklađenost opsega, aktivnosti obrade, primjenjivosti kontrola, aranžmana s dobavljačima i zapisa o rizicima prije preispitivanja od strane uprave i promjena povezanih s certifikacijom. Politika također definira zahtjeve za revizivost i kontinuirano poboljšanje. Voditelj privatnosti / voditelj PIMS-a mora održavati indeks dokaza PIMS-a prije svake interne revizije, zadržavati dokumentirane informacije u skladu sa zahtjevima zadržavanja dokaza, tromjesečno održavati metrike učinkovitosti i izvijestiti o statusu ciljeva prije preispitivanja od strane uprave. Minimalni skup mjerenja uključuje postotak aktivnosti obrade u opsegu s ažurnom klasifikacijom uloga, postotak primjenjivih kontrola s ažurnim statusom implementacije, otvorene nesukladnosti i zakašnjele korektivne radnje te procjene rizika za privatnost koje čekaju odobrenje. Pregledavatelji iz interne revizije / funkcije usklađenosti moraju izvijestiti o rezultatima pregleda u roku od 15 radnih dana, uzorkovati potpunost dokaza tijekom internih revizija, provjeriti dokaze o zatvaranju isteklih iznimaka i provjeriti djelotvornost korektivnih radnji u roku od 30 dana od prijavljenog zatvaranja. Iznimke, provedba i održavanje uređeni su kao formalni procesi PIMS-a, a ne kao neformalna odstupanja. Zatražene iznimke moraju se dokumentirati prije nastanka odstupanja, procijeniti u odnosu na rizik za privatnost prije odobrenja i pregledavati tromjesečno do zatvaranja. Iznimke koje prelaze prihvaćene pragove rizika za privatnost zahtijevaju odobrenje najvišeg rukovodstva prije implementacije. Sumnje na nesukladnosti moraju se evidentirati u roku od pet radnih dana, zakašnjele veće korektivne radnje moraju se eskalirati najvišem rukovodstvu, a neriješene veće nesukladnosti moraju se pregledati pri svakom preispitivanju od strane uprave. Sama politika pregledava se jednom godišnje i u roku od 30 dana od značajnih promjena pravnog, organizacijskog, obradnog, tehnološkog ili certifikacijskog opsega, a odobrene promjene priopćuju se u REG11 u roku od 30 dana od objave.