Duomenų apsaugos ir duomenų privatumo politika

Duomenų apsaugos ir duomenų privatumo politika (P17) nustato išsamią asmens duomenų apsaugos sistemą ir duomenų privatumo užtikrinimo projektuojant principų įgyvendinimą visoje organizacijoje. Ši politika nustato privalomus organizacinius ir techninius reikalavimus, būtinus laikytis tarptautinių standartų ir kintančių reglamentavimo sistemų, užtikrinant, kad asmens duomenys būtų tvarkomi teisėtai, saugiai ir skaidriai per visą jų gyvavimo ciklą. Aprėptis taikoma visiems organizaciniams vienetams, visam personalui ir sistemoms, kurios tvarko asmens duomenis, nepriklausomai nuo to, ar jie yra fizinėje, ar skaitmeninėje laikmenoje, ir apima debesijos paslaugas, SaaS platformas ir mobiliuosius įrenginius. Politika aiškiai apibrėžia taikymo sritį, nurodydama, kad visi darbuotojai, rangovai ir trečiosios šalys privalo laikytis jos reikalavimų. Apimamos visos aplinkos, kuriose yra asmens duomenų – gamybos aplinka, kūrimo, testavimo ar atsarginių kopijų sistemos. Politika apima ne tik asmens duomenų rinkimą, saugojimą ir naudojimą, bet ir duomenų saugojimą, šalinimą, tarpvalstybinius perdavimus ir duomenų subjektų teisių tvarkymą. Pagrindinis politikos tikslas – užtikrinti atitiktį pagrindiniams reglamentams ir standartams: GDPR (5, 6, 12–23, 25, 28, 30, 32–34 straipsniai; 78 konstatuojamoji dalis), EU NIS2, EU DORA, ISO/IEC 27001:2022 (5.1, 6.1.3, 8.1, 10.1 punktai), ISO/IEC 27002:2022 (Kontrolės 5.34, 8.10, 8.11), NIST SP 800-53 Rev. 5 (įvairios kontrolės priemonės) ir COBIT 2019 (APO12, DSS01, DSS05, MEA). Tam ji nustato vaidmenų priskyrimą ir atskaitomybės struktūras: Vykdomoji vadovybė užtikrina strateginę priežiūrą; DPO koordinuoja atitikties procesus, duomenų subjektų teisių vykdymo užtikrinimą ir sąveiką su priežiūros institucijomis; o Saugumas, Teisė, Duomenų savininkai ir IT, bendradarbiaudami, įgyvendina technines ir organizacines apsaugos priemones, palaiko registrus ir valdo pažeidimus. Politika reikalauja formalios duomenų privatumo valdysenos sistemos, integruotos su organizacijos Informacijos saugumo valdymo sistema (ISVS), kad būtų užtikrintas nuoseklus vykdymo užtikrinimas. Joje apibrėžiami procesai, skirti duomenų privatumo rizikų registrų palaikymui, DPIA atlikimui didelės rizikos tvarkymo atvejais ir užtikrinimui, kad duomenų privatumo kontrolės priemonės (nuo duomenų minimizavimo ir pseudonimizavimo iki saugojimo terminų planavimo ir saugaus šalinimo) būtų giliai integruotos. Teisėtas informacijos tvarkymas ir dokumentuoti teisiniai pagrindai yra esminiai, aiškiai valdant sutikimą, duomenų inventorių ir tarpvalstybinius duomenų srautus. Duomenų subjektų užklausos tvarkomos per nustatytus terminus ir registruojamos atsekamumui, o tvirtos sistemos, skirtos pažeidimų valdymui, išimčių tvarkymui ir trečiųjų šalių priežiūrai, aprašomos detaliai. Reguliarios peržiūros, audito pėdsakas ir reikalavimas atlikti metinį (arba ad hoc) vidaus auditą padeda užtikrinti, kad politika išliktų veiksminga ir reaguotų į reglamentavimo pokyčius, audito išvadas ar reikšmingus incidentus. Kiekvieną reikšmingą atnaujinimą turi patvirtinti Vykdomoji vadovybė ir jis turi būti dokumentuotas ISVS. Ši politika yra neatsiejama organizacijos platesnės Informacijos saugumo ir rizikos valdymo sistemos dalis, glaudžiai susieta su papildančiomis politikomis dėl reagavimo į incidentus, rizikos valdymo, klasifikavimo, saugojimo, duomenų maskavimo ir stebėsenos audito.