Politika uloga, odgovornosti i dokazive odgovornosti u području privatnosti

Politika uloga, odgovornosti i dokazive odgovornosti u području privatnosti definira način na koji organizacija dodjeljuje, dokumentira, komunicira, pregledava i poboljšava odgovornosti u okviru svojeg sustava upravljanja informacijama o privatnosti. Njezin opseg obuhvaća osoblje, funkcije, sustave, dobavljače, izvršitelje obrade, podizvršitelje obrade i odnose zajedničkih voditelja obrade koji sudjeluju u obradi osobnih podataka (PII) ili na nju utječu unutar opsega PIMS-a. Politika se primjenjuje u kontekstima voditelja obrade, zajedničkog voditelja obrade, izvršitelja obrade i podizvršitelja obrade, čime je relevantna za cjelokupan skup operativnih modela privatnosti opisanih u dokumentu. Također jasno navodi da ne stvara nove organizacijske nazive radnih mjesta; umjesto toga definira kanonske uloge PIMS-a koje se mogu dodijeliti postojećem osoblju ili funkcijama kada su dokumentirane potrebna dodjela, kompetentnost i neovisnost te dokumentirani zahtjevi u vezi sa sukobom interesa. Politika uspostavlja strukturirani model uloga PIMS-a i pristup dokazivoj odgovornosti temeljen na dokazima. Najviše rukovodstvo mora odobriti kanonski model uloga u REG01 prije početne implementacije i zatim jednom godišnje. Voditelj privatnosti / voditelj PIMS-a održava imenovane dodjele uloga, opsege odgovornosti i razine ovlasti u REG01, uključujući ažuriranja nakon promjena osoblja ili organizacijskih promjena. Vlasništvo nad obradom povezano je s REG02, gdje vlasnici procesa / vlasnici poslovanja dodjeljuju odgovorne vlasnike za svaku aktivnost obrade osobnih podataka (PII) prije početka obrade, a vlasnici sustava / vlasnici aplikacija dokumentiraju odgovorne vlasnike sustava prije puštanja u produkcijski rad. Vlasništvo nad odnosima s dobavljačima, izvršiteljima obrade, podizvršiteljima obrade, dijeljenjem podataka s trećim stranama i zajedničkim voditeljima obrade evidentira se u REG08 prije uvođenja ili odobrenja ugovora. Središnji dio politike jest upravljanje kombinacijama uloga, razdvajanjem dužnosti i neovisnošću. Politika dopušta praktičnu kombinaciju uloga, uključujući za male i srednje organizacije, ali zahtijeva dokumentiranje prije nego što kombinacije stupe na snagu. Kombinacije uloga koje uključuju voditelja privatnosti / voditelja PIMS-a, službenika za zaštitu podataka / savjetnika za privatnost, voditelja informacijske sigurnosti, koordinatora odgovora na incidente ili pregledavatelja interne revizije / usklađenosti zahtijevaju odobrenje najvišeg rukovodstva u REG01. Pregledavatelj interne revizije / usklađenosti mora dokumentirati neovisnost od procesa PIMS-a koji se pregledava u REG12 prije svake revizije ili pregleda usklađenosti. Kada se sukobi razdvajanja dužnosti ne mogu izbjeći, moraju se evidentirati kompenzacijske kontrole, a službenik za zaštitu podataka / savjetnik za privatnost mora evidentirati zabrinutosti u vezi s neovisnošću ili sukobom interesa u roku od pet radnih dana od utvrđivanja. Politika također definira dokazivu odgovornost kroz odgovornosti voditelja obrade, zajedničkog voditelja obrade, izvršitelja obrade i podizvršitelja obrade. Obrada koju provodi voditelj obrade zahtijeva evidentirano vlasništvo nad odgovornošću, vlasništvo nad svrhom i vlasništvo nad dokazima u REG02 prije početka obrade. Raspodjela odgovornosti zajedničkih voditelja obrade, vlasništvo nad uputama klijenta za izvršitelja obrade, vlasništvo nad nadzorom podizvršitelja obrade, status odobrenja i putovi eskalacije odgovornosti trećih strana upravljaju se kroz REG08. Voditelj privatnosti / voditelj PIMS-a tromjesečno i u roku od 15 radnih dana od značajne promjene provjerava zapise o klasifikaciji uloga u REG02 i REG08. Politika dodatno zahtijeva da se savjeti o privatnosti, ulazne informacije o odgovornosti za sigurnost osobnih podataka (PII), odgovornost za eskalaciju povrede osobnih podataka i incidenta u vezi s privatnošću, neriješeni sporovi o odgovornosti i eskalacije povezane s ulogama dokumentiraju u definiranim objektima dokaza. U model odgovornosti ugrađeni su upravljanje, mjerenje, iznimke, poštivanje i održavanje. Najviše rukovodstvo tijekom preispitivanja od strane uprave pregledava potpunost, nepopunjene uloge, sukobe uloga, iznimke odgovornosti i metrike. Voditelj privatnosti / voditelj PIMS-a provodi tromjesečne preglede odgovornosti, prati nepopunjene i kombinirane uloge, izvješćuje o dovršetku podizanja svijesti o ulogama, upravlja iznimkama s definiranim rokovima isteka te evidentira nedostajuće, netočne ili zastarjele dodjele kao nesukladnosti. Vlasnici procesa / vlasnici poslovanja moraju spriječiti puštanje u produkcijski rad nove ili izmijenjene obrade osobnih podataka (PII) kada nedostaju potrebni dokazi o ulogama i odgovornosti. Pregledavatelji interne revizije / usklađenosti testiraju dokaze o ulogama, prijavljuju nalaze i provjeravaju djelotvornost korektivnih radnji. Sama politika mora se pregledavati jednom godišnje i u roku od 30 dana od značajne promjene modela uloga PIMS-a.