Adatvédelmi kockázatértékelési és DPIA-szabályzat

Az adatvédelmi kockázatértékelési és DPIA-szabályzat meghatározza, hogyan azonosítja, értékeli, kezeli, hagyja jóvá, vizsgálja felül és támasztja alá bizonyító anyagokkal a szervezet az adatvédelmi kockázatokat a PIMS alkalmazási területén belül. Célja annak biztosítása, hogy az adatvédelmi kockázatok és a DPIA-kötelezettségek kezelése megtörténjen, mielőtt a PII-adatkezelés elfogadhatatlan kockázatot teremtene a PII-alanyokra vagy a PIMS-re nézve. A szabályzat az új és lényegesen módosított PII-adatkezelési tevékenységekre alkalmazandó adatkezelői, közös adatkezelői, adatfeldolgozói és al-adatfeldolgozói környezetben. Kiterjed továbbá azokra a rendszerekre, alkalmazásokra, szolgáltatásokra, üzleti folyamatokra, beszállítókra, adatfeldolgozókra, al-adatfeldolgozókra, nemzetközi adattovábbításokra és adatmegosztási megállapodásokra, amelyek érintik a PII-adatkezelést. A szabályzat központi eleme a REG04-alapú működési modell. Az adatvédelmi kockázati előszűrés, a DPIA-előszűrés, a kockázatértékelés, a kockázatkezelési tervek, a maradványkockázat elfogadása, a konzultációs döntések, a jóváhagyások és a felülvizsgálati státusz a REG04-ben dokumentálandó, a REG02, REG03, REG08, REG09, REG10, REG11 és REG12 szerinti támogató bizonyító anyagokra mutató kapcsolatokkal. A szabályzat kifejezetten kerüli külön DPIA-, kockázati vagy konzultációs nyilvántartások létrehozását a REG04-en kívül. Ez elősegíti az egyetlen bizonyítóanyag-nyomvonal megőrzését az előszűrési eredmények, a teljes DPIA-ra vonatkozó döntések, a kockázati besorolások, a kockázatkezelési felelősök, a határidők, a maradványkockázat, a jóváhagyási státusz és a felülvizsgálati dátumok tekintetében. A szabályzat kötelező kiváltó feltételeket határoz meg az adatvédelmi kockázati előszűréshez és a teljes DPIA szükségességének meghatározásához. A folyamatgazdáknak / üzlettulajdonosoknak a REG02-ben rögzített új vagy lényegesen módosított adatkezelés megkezdése előtt el kell indítaniuk a REG04 szerinti előszűrést. A valószínűsíthetően magas kockázattal járó adatkezelői adatkezeléshez a megkezdés előtt teljes DPIA szükséges. A szabályzat nevesíti a nagy léptékű tevékenységgel, szisztematikus megfigyeléssel, profilalkotással, automatizált döntésekkel, különleges kategóriájú PII-vel, büntetőítéletekre vagy bűncselekményekre vonatkozó adatokkal, kiszolgáltatott PII-alanyokkal, innovatív technológiával és lényeges adatkezelési változással járó adatkezelést mint olyan ügyeket, amelyeket az adatkezelés megkezdése előtt az adatvédelmi vezető / PIMS-vezető elé kell utalni. Újra-előszűrést ír elő továbbá a PII új célra történő felhasználása, új címzett bevonása, új adatfeldolgozó vagy al-adatfeldolgozó bevezetése, a rendszerarchitektúra módosítása vagy új nemzetközi adattovábbítás megkezdése előtt. A kockázatkezelés és az eszkaláció szintén egyértelműen meghatározott. Ha az adatvédelmi kockázat meghaladja a jóváhagyott elfogadási küszöbértéket, a folyamatgazdának / üzlettulajdonosnak a feldolgozás folytatása előtt kockázatkezelési tervet kell rögzítenie a REG04-ben. A biztonsági, rendszertervezési, beszállítói, szerződéses és bizonyossági intézkedéseket a megfelelő szerepkörhöz kell rendelni, és azokat az éles indulás, a beléptetés, a megújítás vagy a jóváhagyott határidő előtt végre kell hajtani. Az adatkezelői adatkezeléshez kapcsolódó magas adatvédelmi maradványkockázathoz a feldolgozás megkezdése vagy folytatása előtt felső vezetési jóváhagyás szükséges. Ha a kockázatkezelés után magas maradványkockázat marad fenn, az adatvédelmi vezető / PIMS-vezető rögzíti az előzetes konzultációs döntést a REG04-ben, a felső vezetés pedig a feldolgozás folytatása előtt jóváhagyja a folytatást, a felfüggesztést, az újratervezést vagy a konzultációs intézkedéseket. Az irányítási, megfigyelési és betartatási követelmények biztosítják, hogy a folyamat az első jóváhagyás után is aktív maradjon. Az adatvédelmi vezető / PIMS-vezető havonta felülvizsgálja a nyitott adatvédelmi kockázatokat és a lejárt kockázatkezelési intézkedéseket, negyedévente és a vezetőségi felülvizsgálat előtt jelentést készít az adatvédelmi kockázatok és a DPIA-k státuszáról, valamint egyezteti az aktív REG04 kockázati nyilvántartásokat a REG02 adatkezelési tevékenységek nyilvántartásának bejegyzéseivel. A szabályzat mutatókat határoz meg az előszűrési lefedettségre, az aktív teljes DPIA-kra, a lejárt felülvizsgálatokra, a magas maradványkockázatokra, a kockázatkezelési intézkedések státuszára, az átlagos lezárási időre, a beszállítói intézkedésekre, a biztonsági kockázatkezelési intézkedésekre, az incidens által kiváltott újraértékelésre és az auditmegállapításokra. A kivételeket az eltérés előtt kell kérelmezni, adatvédelmi, jogi, tanúsítási, működési és PII-alanyi hatás szempontjából értékelni kell, és legfeljebb 90 napos lejárati dátumot kell hozzájuk rendelni. A hiányzó, pontatlan, hiányos, lejárt vagy jóvá nem hagyott REG04 bizonyító anyagok a REG12-ben meg nem felelésként kezelendők.