PIMS-dokumentált információk és bizonyítóanyagok kezelési szabályzata

A PIMS-dokumentált információk és bizonyítóanyagok kezelési szabályzata kötelező követelményeket határoz meg az adatvédelmi információirányítási rendszer dokumentált információinak teljes életciklusa feletti kontrollra. Alkalmazási területe kiterjed a PIMS-nyilvántartások létrehozására, jóváhagyására, verziókezelésére, védelmére, megőrzésére, visszakeresésére, fordítására, visszavonására és bizonyítóanyagokkal való alátámasztására. A szabályzat a PIMS-megfelelés igazolására használt PIMS-szabályzatokra, nyilvántartásokra, dokumentált jóváhagyásokra, bizonyítékul szolgáló feljegyzésekre, auditbizonyítékokra, vezetőségi felülvizsgálati feljegyzésekre, helyesbítő intézkedések bizonyítóanyagaira és kontrollált fordításokra alkalmazandó. Adatkezelői, közös adatkezelői, adatfeldolgozói és al-adatfeldolgozói környezetekre készült, ezért alkalmazható mindazon szerepkörökben, amelyeket egy szervezet PII kezelése során betölthet. A szabályzat központi eleme, hogy külön dokumentumkezelési nyilvántartás létrehozása helyett a REG01–REG12 kanonikus PIMS-bizonyítékobjektumokra támaszkodik. A szabályzat rögzíti, hogy a dokumentált információ kontrolljára vonatkozó bizonyítóanyagokat e bizonyítékobjektumokon keresztül kell fenntartani, a REG03 és a REG12 pedig kifejezetten a kontrollok alkalmazhatóságához, audithoz, meg nem feleléshez, helyesbítő intézkedéshez és fejlesztési bizonyítóanyagokhoz használatos. Ez a megközelítés a szükségtelen dokumentumkezelési adminisztráció elkerülését célozza, miközben megőrzi a tanúsításhoz, ügyfélbizonyossághoz és folyamatos fejlesztéshez szükséges, auditra kész nyilvántartásokat. A REG12 széles körben használatos a dokumentált információk jegyzékéhez, a hozzáférési szintekhez, az érzékenységi besorolásokhoz, a jóváhagyási státuszhoz, a verzióelőzményekhez, a visszakeresési kérelmekhez, az adatközlési jóváhagyásokhoz, a megőrzési kategóriákhoz, a visszavonási státuszhoz, a kivételekhez és a helyesbítő intézkedések nyomon követéséhez. A szabályzat részletes kontrollokat állapít meg a létrehozásra, jóváhagyásra, verziókezelésre és közzétételre. A PIMS-dokumentált információ közzététele előtt az adatvédelmi vezetőnek / PIMS-vezetőnek dokumentumazonosítót, tulajdonost, verziószámot, jóváhagyási státuszt, hatálybalépési dátumot és felülvizsgálati dátumot kell hozzárendelnie a REG12-ben. A felső vezetésnek a közzététel előtt jóvá kell hagynia az alapvető PIMS-szabályzatokat és a lényeges szabályzatmódosításokat, míg az adatvédelmi vezető / PIMS-vezető az operatív használat előtt jóváhagyja a bizonyítéksablonokat vagy a beágyazott nyilvántartási szakaszokat. A szabályzat azt is előírja, hogy a kiadás előtt rögzíteni kell a verzióelőzményeket és a változtatási indoklást, a jóváhagyott változások kommunikálását pedig a közzétételtől számított 30 napon belül a REG11-ben kell rögzíteni. A bizonyítóanyagok minősége és visszakövethetősége operatív követelmény, nem választható dokumentációs feladat. Az adatvédelmi vezetőnek / PIMS-vezetőnek meg kell határoznia a bizonyítóanyagok elnevezési szabályait, negyedévente és külső audit előtt egyeztetnie kell a REG03 kontrollhivatkozásait a szabályzati bizonyítékul szolgáló feljegyzésekkel, és a bizonyítóanyagok tanúsítási audit, ügyfélbizonyosság vagy szabályozói válasz céljából történő megosztása előtt alkalmaznia kell a jóváhagyott exportelnevezési szabályt. A folyamatgazdáknak / üzlettulajdonosoknak biztosítaniuk kell, hogy az adatkezelési bizonyítóanyag tartalmazza a bizonyítóanyag tulajdonosát, a dátumot, az adatkezelési tevékenység hivatkozását, a döntési státuszt és a jóváhagyási státuszt, mielőtt arra audit során támaszkodnak. A belső ellenőrzési / megfelelőségi felülvizsgálóknak az ütemezett auditok vagy megfelelőségi felülvizsgálatok során rögzíteniük kell a teljességben, pontosságban vagy visszakövethetőségben mutatkozó hiányosságokat. A szabályzat a hozzáférésre, védelemre, visszakeresésre, adatközlésre, megőrzésre, visszavonásra, archiválásra, megsemmisítésre és többnyelvű verziókezelésre vonatkozó kontrollokat is meghatározza. Az adattár-hozzáférési korlátozásokat a hozzáférés megadása előtt rögzíteni kell és negyedévente felül kell vizsgálni, a PII-t tartalmazó PIMS-bizonyítóanyagokhoz való hozzáférést pedig a megadás előtt jóvá kell hagyni. A bizonyítóanyagok külső auditorok, ügyfelek, adatfeldolgozók, adatkezelők, felügyeleti hatóságok vagy más külső felek részére történő adatközléséhez jóváhagyást kell rögzíteni, valamint meg kell határozni az adatközlés hatókörét. Az elavult verziókat meghatározott határidőkön belül vissza kell vonni, a korábbi jóváhagyott szabályzatverziókat meg kell őrizni, és archiválás vagy törlés csak az auditcélú zárolás, jogi zárolás, incidensvizsgálat vagy helyesbítő intézkedési függőségek ellenőrzése után történhet. A mutatók, a kivételkezelés, a betartatás és az éves felülvizsgálati követelmények biztosítják, hogy a dokumentált információ naprakész, visszakereshető, védett és a PIMS-megfelelés igényeivel összhangban álló maradjon.