Adatvédelmi szerepkörök, felelősségek és elszámoltathatósági szabályzat

Az Adatvédelmi szerepkörök, felelősségek és elszámoltathatósági szabályzat meghatározza, hogy a szervezet hogyan jelöli ki, dokumentálja, kommunikálja, vizsgálja felül és fejleszti a felelősségeket az adatvédelmi információirányítási rendszerén belül. Hatálya kiterjed azokra a munkatársakra, funkciókra, rendszerekre, beszállítókra, adatfeldolgozókra, al-adatfeldolgozókra és közös adatkezelői kapcsolatokra, amelyek részt vesznek a PIMS alkalmazási területén belüli PII-kezelésben vagy befolyásolják azt. A szabályzat adatkezelői, közös adatkezelői, adatfeldolgozói és al-adatfeldolgozói kontextusokban alkalmazandó, ezért releváns a dokumentumban leírt adatvédelmi működési modellek teljes körére. Egyértelművé teszi továbbá, hogy nem hoz létre új szervezeti munkaköri megnevezéseket; ehelyett kanonikus PIMS-szerepköröket határoz meg, amelyek meglévő munkatársakhoz vagy funkciókhoz rendelhetők, ha a szükséges hozzárendelési, kompetencia-, függetlenségi és összeférhetetlenségi követelmények dokumentáltak. A szabályzat strukturált PIMS-szerepkörmodellt és bizonyító anyagokon alapuló elszámoltathatósági megközelítést hoz létre. A felső vezetésnek az első bevezetés előtt, majd azt követően évente jóvá kell hagynia a kanonikus szerepkörmodellt a REG01-ben. Az adatvédelmi vezető / PIMS-vezető a REG01-ben tartja fenn a névre szóló szerepkör-hozzárendeléseket, a felelősségi hatóköröket és a hatásköri szinteket, beleértve a személyi vagy szervezeti változásokat követő frissítéseket is. Az adatkezelési felelősség a REG02-höz kapcsolódik, ahol a folyamatgazdák / üzlettulajdonosok minden PII-adatkezelési tevékenységhez elszámoltatható tulajdonosokat jelölnek ki az adatkezelés megkezdése előtt, a rendszergazdák / alkalmazástulajdonosok pedig az éles indulás előtt dokumentálják az elszámoltatható rendszertulajdonosokat. A beszállítói, adatfeldolgozói, al-adatfeldolgozói, harmadik féllel történő adatmegosztási és közös adatkezelői kapcsolatok felelősségét a REG08-ban kell rögzíteni a beléptetés vagy a megállapodás jóváhagyása előtt. A szabályzat központi eleme a szerepkörök összevonásának, a feladatkörök szétválasztásának és a függetlenségnek a kezelése. A szabályzat lehetővé teszi a gyakorlati szerepkör-összevonást, többek között a kis- és középvállalkozások számára is, de előírja a dokumentálást az összevonások hatálybalépése előtt. Az adatvédelmi vezető / PIMS-vezető, az adatvédelmi tisztviselő / adatvédelmi tanácsadó, az információbiztonsági vezető, az incidensreagálási koordinátor vagy a belső audit / megfelelési felülvizsgáló szerepkörét érintő szerepkör-összevonásokhoz a felső vezetés jóváhagyása szükséges a REG01-ben. A belső audit / megfelelési felülvizsgáló köteles minden audit vagy megfelelési felülvizsgálat előtt a REG12-ben dokumentálni a felülvizsgált PIMS-folyamattól való függetlenségét. Ha a szétválasztási konfliktusok nem kerülhetők el, kompenzáló kontrollokat kell rögzíteni, az adatvédelmi tisztviselő / adatvédelmi tanácsadó pedig az azonosítástól számított öt munkanapon belül köteles rögzíteni a függetlenséggel vagy összeférhetetlenséggel kapcsolatos aggályokat. A szabályzat meghatározza az elszámoltathatóságot az adatkezelői, közös adatkezelői, adatfeldolgozói és al-adatfeldolgozói felelősségek körében is. Az adatkezelői adatkezeléshez az adatkezelés megkezdése előtt a REG02-ben rögzített felelősségi tulajdonlás, célhoz kapcsolódó felelősség és bizonyítóanyag-felelősség szükséges. A közös adatkezelői felelősség megosztását, az adatfeldolgozói ügyfélutasítások felelősségét, az al-adatfeldolgozói felügyeleti felelősséget, a jóváhagyási státuszt és a harmadik féllel kapcsolatos felelősségi eszkalációs útvonalakat a REG08-on keresztül kell kezelni. Az adatvédelmi vezető / PIMS-vezető negyedévente, valamint lényeges változás esetén 15 munkanapon belül ellenőrzi a szerepkör-besorolási nyilvántartásokat a REG02-ben és a REG08-ban. A szabályzat előírja továbbá, hogy az adatvédelmi tanácsadást, a PII-biztonsági felelősségi inputot, az adatsértési és adatvédelmi incidensek eszkalációs felelősségét, a megoldatlan felelősségi vitákat és a szerepkörökkel kapcsolatos eszkalációkat meghatározott bizonyítékobjektumokban kell dokumentálni. Az irányítás, a mérés, a kivételek, a betartatás és a fenntartás az elszámoltathatósági modell részét képezik. A felső vezetés a vezetőségi felülvizsgálat során felülvizsgálja a teljességet, a betöltetlen szerepköröket, a szerepköri konfliktusokat, az elszámoltathatósági kivételeket és a mutatókat. Az adatvédelmi vezető / PIMS-vezető negyedéves elszámoltathatósági felülvizsgálatokat végez, nyomon követi a betöltetlen és összevont szerepköröket, jelentést készít a szerepkör-tudatossági teljesítésről, meghatározott lejárati korlátokkal kezeli a kivételeket, és a hiányzó, pontatlan vagy elavult hozzárendeléseket meg nem felelésként rögzíti. A folyamatgazdáknak / üzlettulajdonosoknak meg kell akadályozniuk az új vagy módosított PII-adatkezelés éles indulását, ha a szükséges szerepköri és elszámoltathatósági bizonyító anyagok hiányoznak. A belső audit / megfelelési felülvizsgálók tesztelik a szerepköri bizonyító anyagokat, jelentik a megállapításokat, és ellenőrzik a helyesbítő intézkedések eredményességét. Magát a szabályzatot évente, valamint a PIMS-szerepkörmodell lényeges változásától számított 30 napon belül felül kell vizsgálni.