Adatvédelmi információirányítási rendszer szabályzata

Az Adatvédelmi információirányítási rendszer szabályzata létrehozza a szervezet PIMS-ét a személyazonosításra alkalmas információk kezeléséhez adatkezelői, közös adatkezelői, adatfeldolgozói és al-adatfeldolgozói kontextusokban. Kijelölt célja, hogy meghatározza a PIMS létrehozására, bevezetésére, fenntartására, megfigyelésére és folyamatos fejlesztésére vonatkozó kötelező irányítási követelményeket. A szabályzat célja, hogy támogassa a PII-kezelés elszámoltatható, kockázatalapú és bizonyító anyagokra épülő irányítását az alkalmazandó PIMS-szerepkörökben. Kiterjed a PIMS alkalmazási területére, a szervezeti kontextusra, az érdekelt felekre, a határokra, a szerepkör meghatározására, az adatvédelmi szabályzatra, az adatvédelmi célkitűzésekre, az adatvédelmi kockázatértékelésre, az adatvédelmi kockázatkezelésre, a PIMS alkalmazhatósági nyilatkozatra, az irányításra, a megfigyelésre, a belső auditra, a vezetőségi felülvizsgálatra, a meg nem felelésre, a helyesbítő intézkedésre, valamint a megfelelőség és az elszámoltathatóság igazolásához szükséges dokumentált bizonyító anyagokra. A szabályzat központi eleme a meghatározott elszámoltathatóságra való fókusz. A felső vezetésnek a kezdeti bevezetés előtt és minden lényeges változástól számított 30 napon belül jóvá kell hagynia a PIMS alkalmazási területét a REG01-ben, évente jóvá kell hagynia a szabályzatot és a PIMS célkitűzéseit a REG12-ben, valamint a vezetőségi felülvizsgálat során át kell tekintenie a teljesítményt, a nyitott kockázatokat, a meg nem feleléseket, a helyesbítő intézkedéseket és a fejlesztési döntéseket. Az adatvédelmi vezető / PIMS-vezető tartja fenn az alapvető PIMS-nyilvántartásokat, ideértve a kontextussal kapcsolatos kérdéseket, az érdekelt feleket, a célkitűzéseket, az alkalmazhatósági nyilatkozatot, a kockázatkezelési döntéseket, a bizonyítékindexet, a mutatókat, a kivételeket, a helyesbítő intézkedéseket és a szabályzat-felülvizsgálati feljegyzéseket. A folyamatgazdák az adatkezelés megkezdése előtt besorolják a szervezet PIMS-szerepkörét minden PII-kezelési tevékenységre, míg a beszállítói / beszerzési felelősök dokumentálják a közös adatkezelői felelősségmegosztást, az ügyfél adatkezelési utasításait, a jóváhagyott al-adatfeldolgozói megállapodásokat, a beszállítói irányítást és a külső fél által biztosított, PIMS szempontjából releváns folyamatokat. A szabályzat a PIMS-irányítást az operatív kontrollhoz kapcsolja. Az adatvédelmi kockázatértékelést az új vagy lényegesen megváltozott PII-kezelés megkezdése előtt el kell indítani, a DPIA szükségességét pedig a magas kockázatú vagy lényegesen megváltozott adatkezelői adatkezelés folytatása előtt meg kell határozni. A jóváhagyott adatvédelmi kockázatkezelési döntéseket a kockázatkezelés végrehajtása előtt rögzíteni kell, a rendszergazdáknak pedig az éles indulás előtt meg kell erősíteniük a PII-t kezelő rendszerek PIMS operatív kontrolljait. Az információbiztonsági vezető felelős az alkalmazandó PII-biztonsági kontrollalapvonal dokumentálásáért és a biztonsági kontrollok bevezetési állapotának fenntartásáért, összekapcsolva az adatvédelmi irányítást a PII-biztonsági kontrollalapvonallal és az alkalmazhatósági nyilatkozattal. Ez a struktúra segít biztosítani, hogy az alkalmazási terület, az adatkezelési tevékenységek, a kontrollok alkalmazhatósága, a beszállítói megállapodások és a kockázati nyilvántartások összhangban maradjanak a vezetőségi felülvizsgálat és a tanúsítással kapcsolatos változások előtt. A szabályzat meghatározza az ellenőrizhetőség és a folyamatos fejlesztés követelményeit is. Az adatvédelmi vezetőnek / PIMS-vezetőnek minden belső audit előtt fenn kell tartania a PIMS bizonyítékindexét, a bizonyító anyagok megőrzési követelményei szerint meg kell őriznie a dokumentált információt, negyedévente fenn kell tartania a teljesítménymutatókat, és a vezetőségi felülvizsgálat előtt jelentenie kell a célkitűzések állapotát. A minimális mérési készlet magában foglalja az alkalmazási területbe tartozó, aktuális szerepkör-besorolással rendelkező adatkezelési tevékenységek arányát, az aktuális bevezetési állapottal rendelkező alkalmazandó kontrollok arányát, a nyitott meg nem feleléseket és lejárt határidejű helyesbítő intézkedéseket, valamint a jóváhagyásra váró adatvédelmi kockázatértékeléseket. A belső auditot végző / megfelelőségi felülvizsgálók kötelesek a felülvizsgálati eredményeket 15 munkanapon belül jelenteni, a belső auditok során mintavétellel ellenőrizni a bizonyító anyagok teljességét, ellenőrizni a lejárt kivételek lezárási bizonyító anyagait, valamint a jelentett lezárástól számított 30 napon belül ellenőrizni a helyesbítő intézkedések eredményességét. A kivételeket, a betartatást és a karbantartást a szabályzat formális PIMS-folyamatként kezeli, nem informális eltérésként. A kért kivételeket az eltérés bekövetkezése előtt dokumentálni kell, jóváhagyás előtt adatvédelmi kockázat szempontjából értékelni kell, és lezárásig negyedévente felül kell vizsgálni. Az elfogadott adatvédelmi kockázati küszöbértékeket meghaladó kivételek bevezetés előtt felső vezetői jóváhagyást igényelnek. A feltételezett meg nem feleléseket öt munkanapon belül rögzíteni kell, a lejárt határidejű jelentős helyesbítő intézkedéseket a felső vezetéshez kell eszkalálni, a megoldatlan jelentős meg nem feleléseket pedig minden vezetőségi felülvizsgálaton át kell tekinteni. Magát a szabályzatot évente, valamint lényeges jogi, szervezeti, adatkezelési, technológiai vagy tanúsítási alkalmazási területi változástól számított 30 napon belül felül kell vizsgálni, a jóváhagyott változásokat pedig a közzétételtől számított 30 napon belül kommunikálni kell a REG11-ben.