PII-incidens- és adatsértés-kezelési szabályzat

A PII-incidens- és adatsértés-kezelési szabályzat meghatározza, hogy egy szervezet hogyan azonosítja, jelenti be, értékeli elsődlegesen, értékeli, szigeteli el, jelenti be, dokumentálja, zárja le és fejleszti a PII-incidenseket és a PII-adatsértéseket a PIMS alkalmazási területén belül. Kifejezett célja annak biztosítása, hogy az incidenseket és adatsértéseket következetesen, haladéktalanul, jogszerűen, biztonságosan és auditra való felkészültséget biztosító bizonyító anyagokkal kezeljék. A szabályzat adatkezelői, közös adatkezelői, adatfeldolgozói és al-adatfeldolgozói környezetekben alkalmazandó, és kiterjed azokra a rendszerekre, alkalmazásokra, szolgáltatásokra, folyamatokra, beszállítókra, adatfeldolgozókra, al-adatfeldolgozókra és harmadik felekre, amelyek PII-t kezelnek, tárolnak, továbbítanak, támogatnak, ahhoz hozzáférnek, vagy egyéb módon hatással vannak rá a PIMS alkalmazási területén belül. A szabályzat központi eleme az integrált bizonyítékmodell. A REG10 — PII-incidens- és adatsértési nyilvántartás az incidens- és adatsértés-kezelés elsődleges bizonyítékobjektuma, míg a támogató nyilvántartások kontextust és visszakövethetőséget biztosítanak. A REG01 a hatályhoz, valamint a jogi, szerződéses, ágazati, ügyfél- és jelentéstételi kontextushoz nyújt támogatást. A REG02 összekapcsolja az érintett adatkezelési tevékenységeket, PII-kategóriákat, PII-alanyi kategóriákat, célokat és rendszereket. A REG04 támogatja az adatvédelmi kockázat, a DPIA és a maradványkockázat kapcsolódását. A REG08 rögzíti az adatfeldolgozói, al-adatfeldolgozói, ügyfél-, beszállítói és harmadik féllel kapcsolatos incidens-interfészeket. A REG09 akkor használatos, ha az incidensek határokon átnyúló adatkezelést érintenek, a REG11 a képzési és kompetenciabizonyítékokat támogatja, a REG12 pedig az audit-, meg nem felelési, helyesbítő intézkedési és fejlesztési bizonyító anyagokat rögzíti. Ez a struktúra segít biztosítani, hogy az incidensnyilvántartások ne szigetelődjenek el a tágabb PIMS-től. A szabályzat részletes követelményeket határoz meg a felkészültségre, az incidensfelvételre, a besorolásra, az adatsértési értékelésre, az elszigetelésre, a helyreállításra, a bejelentésre, a kommunikációra, a bizonyító anyagok védelmére és a tanulságok levonására. A gyanított PII-incidenseket haladéktalanul rögzíteni kell, és minden bejelentett vagy észlelt gyanított incidenst a beérkezéstől számított egy munkanapon belül, vagy korábban, ha bejelentési vagy ügyféljelentési határidők indulhatnak, fel kell venni a REG10-be. A PII-t érintő biztonsági események technikai elsődleges értékelését az észleléstől számított 24 órán belül el kell végezni, és minden REG10-bejegyzést az incidensfelvételtől számított 24 órán belül nem PII-eseményként, gyanított PII-incidensként, megerősített PII-incidensként vagy megerősített PII-adatsértésként kell besorolni, kivéve, ha a függőben lévő besorolás oka dokumentált. Az adatsértési értékeléshez a szabályzat előírja az érintett adatkezelési tevékenységek, PII-kategóriák, PII-alanyi kategóriák, rendszerek, adatfeldolgozók, al-adatfeldolgozók, adattovábbítási helyszínek és adatvédelmi kockázatok azonosítását a bejelentési döntések véglegesítése előtt. A bejelentési és kommunikációs kötelezettségek szerepkör szerint elkülönülnek. Adatkezelők esetében a szabályzat minden megerősített PII-adatsértésre vonatkozóan dokumentált szabályozó hatósági bejelentési döntést ír elő indokolatlan késedelem nélkül, a bejelentés, a bejelentés mellőzésének indokolása vagy a késedelem indokolása REG10-ben történő megőrzésével. Ha az érintett PII-alanyokkal való kommunikáció szükségessé válik, a szabályzat előírja a tartalom, a címzetti kör, az időzítés, a kézbesítési mód és a jóváhagyási bizonyíték rögzítését. Adatfeldolgozók és al-adatfeldolgozók esetében a szabályzat előírja az érintett adatkezelők, ügyfelek, feljebb lévő adatfeldolgozók vagy jóváhagyott szerződéses csatornák értesítését indokolatlan késedelem nélkül és az alkalmazandó szerződéses határidőkön belül. Nagy hatású PII-incidensek esetén előírja továbbá a jogi, ágazati, pénzügyi szektorbeli, kiberbiztonsági, szerződéses, ügyfél- és szolgáltatásigénybevevői jelentéstételi kiváltó okok értékelését, ahol alkalmazandó. Az irányítás, a mérés és a fejlesztés beépül a folyamatba. Az adatvédelmi vezető / PIMS-vezető felelős az incidens- és adatsértés-kezelési folyamatért, és köteles biztosítani a REG10 lezárásig történő fenntartását. Az incidensreagálási koordinátor kezeli az incidensfelvételt, az elsődleges értékelést, az elszigetelési munkafolyamatot, az állapotkövetést, a lezárást és a tanulságok levonását. Az információbiztonság vezeti a technikai vizsgálatot, az elszigetelést, az eltávolítást, a helyreállítást, a bizonyítékok megőrzését és a gyökérok-elemzést, ha rendszerek vagy biztonsági kontrollok érintettek. A felső vezetés a besorolástól számított 24 órán belül eszkalációt kap a megerősített nagy hatású PII-incidensekről, és a vezetőségi felülvizsgálat során áttekinti a nagy hatású incidenseket, a bejelentésköteles incidenseket, a lejárt helyesbítő intézkedéseket és a lényeges hatásokat. A mutatók közé tartozik az incidensek száma, a besorolás és az elszigetelés időzítése, a bejelentések időszerűsége, a helyesbítő intézkedések elévülése, a harmadik fél válaszadási teljesítménye és a gyakorlatok teljesítése. A szabályzat éves felülvizsgálatot, nagy hatású incidensek vagy megerősített adatsértések utáni felülvizsgálatot, valamint a végrehajtás éves belső audit általi felülvizsgálatát is előírja.