Privačios informacijos apsaugos valdymo sistemos politika

Privačios informacijos apsaugos valdymo sistemos politika nustato organizacijos PIMS asmenį identifikuojančiai informacijai (AII) tvarkyti duomenų valdytojo, bendro duomenų valdytojo, duomenų tvarkytojo ir subtvarkytojo kontekstuose. Jos nurodytas tikslas – apibrėžti privalomus valdysenos reikalavimus PIMS sukurti, įgyvendinti, palaikyti, stebėti ir nuolat tobulinti. Politika skirta palaikyti atskaitingą, rizika grindžiamą ir įrodymais grindžiamą asmenį identifikuojančios informacijos (AII) tvarkymo valdymą pagal taikomus PIMS vaidmenis. Ji taikoma PIMS taikymo sričiai, organizaciniam kontekstui, suinteresuotosioms šalims, riboms, vaidmens nustatymui, privatumo politikai, privatumo tikslams, privatumo rizikos vertinimui, privatumo rizikos tvarkymui, PIMS taikomumo pareiškimui, valdysenai, stebėsenai, vidaus auditui, vadovybės peržiūrai, neatitikčiai, korekciniams veiksmams ir dokumentuotiems įrodymams, reikalingiems atitikčiai ir atskaitomybei pagrįsti. Esminis politikos elementas yra aiškiai apibrėžta atskaitomybė. Aukščiausioji vadovybė privalo patvirtinti PIMS taikymo sritį REG01 prieš pradinį įgyvendinimą ir per 30 dienų nuo bet kokio esminio pokyčio, kasmet patvirtinti politiką ir PIMS tikslus REG12, taip pat vadovybės peržiūros metu peržiūrėti veiklos rezultatus, atviras rizikas, neatitiktis, korekcinius veiksmus ir tobulinimo sprendimus. Privatumo vadovas / PIMS vadovas tvarko pagrindinius PIMS įrašus, įskaitant konteksto klausimus, suinteresuotąsias šalis, tikslus, Taikomumo pareiškimą, rizikos tvarkymo sprendimus, įrodymų indeksą, rodiklius, išimtis, korekcinius veiksmus ir politikos peržiūros įrašus. Procesų savininkai klasifikuoja organizacijos PIMS vaidmenį kiekvienai asmenį identifikuojančios informacijos (AII) tvarkymo veiklai prieš prasidedant tvarkymui, o tiekėjų / pirkimų savininkai dokumentuoja bendro duomenų valdytojo atsakomybės paskirstymą, kliento tvarkymo nurodymus, patvirtintus subtvarkymo susitarimus, tiekėjų valdyseną ir išorės teikiamus PIMS reikšmingus procesus. Politika susieja PIMS valdyseną su operacine kontrole. Privatumo rizikos vertinimas turi būti inicijuotas prieš prasidedant naujam arba iš esmės pakeistam asmenį identifikuojančios informacijos (AII) tvarkymui, o DPIA poreikis turi būti nustatytas prieš tęsiant didelės rizikos arba iš esmės pakeistą duomenų valdytojo vykdomą tvarkymą. Patvirtinti privatumo rizikos tvarkymo sprendimai registruojami prieš rizikos tvarkymo įgyvendinimą, o sistemų savininkai privalo patvirtinti PIMS operacines kontrolės priemones prieš sistemų, tvarkančių asmenį identifikuojančią informaciją (AII), paleidimą gamybinėje aplinkoje. Informacijos saugumo vadovas yra atsakingas už taikomų AII bazinių saugumo reikalavimų dokumentavimą ir saugumo kontrolės priemonių įgyvendinimo būsenos palaikymą, susiedamas privatumo valdyseną su AII baziniais saugumo reikalavimais ir Taikomumo pareiškimu. Ši struktūra padeda užtikrinti, kad taikymo sritis, tvarkymo veiklos, kontrolės priemonių taikomumas, tiekėjų susitarimai ir rizikos įrašai išliktų suderinti prieš vadovybės peržiūrą ir su sertifikavimu susijusius pakeitimus. Politika taip pat apibrėžia audituojamumo ir nuolatinio tobulinimo reikalavimus. Privatumo vadovas / PIMS vadovas privalo palaikyti PIMS įrodymų indeksą prieš kiekvieną vidaus auditą, saugoti dokumentuotą informaciją pagal įrodymų saugojimo reikalavimus, kas ketvirtį palaikyti veiklos rodiklius ir prieš vadovybės peržiūrą pateikti tikslų būseną. Minimalus matavimo rinkinys apima taikymo sričiai priskirtų tvarkymo veiklų, turinčių aktualią vaidmenų klasifikaciją, procentinę dalį, taikomų kontrolės priemonių, turinčių aktualią įgyvendinimo būseną, procentinę dalį, atviras neatitiktis ir vėluojančius korekcinius veiksmus, taip pat patvirtinimo laukiančius privatumo rizikos vertinimus. Vidaus audito / atitikties peržiūrą atliekantys asmenys privalo pateikti peržiūros rezultatus per 15 darbo dienų, vidaus auditų metu atrankiniu būdu tikrinti įrodymų išsamumą, patikrinti pasibaigusio galiojimo išimčių uždarymo įrodymus ir per 30 dienų nuo pranešto uždarymo patikrinti korekcinių veiksmų veiksmingumą. Išimtys, politikos taikymas ir palaikymas tvarkomi kaip formalūs PIMS procesai, o ne kaip neformalūs nukrypimai. Prašomos išimtys turi būti dokumentuojamos prieš atsirandant nukrypimui, prieš patvirtinimą įvertinamos pagal privatumo riziką ir kas ketvirtį peržiūrimos iki uždarymo. Išimtims, kurios viršija priimtus privatumo rizikos slenksčius, prieš įgyvendinimą reikalingas aukščiausiosios vadovybės patvirtinimas. Įtariamos neatitiktys turi būti užregistruotos per penkias darbo dienas, vėluojantys reikšmingi korekciniai veiksmai turi būti eskaluojami aukščiausiajai vadovybei, o neišspręstos reikšmingos neatitiktys turi būti peržiūrimos kiekvienos vadovybės peržiūros metu. Pati politika peržiūrima kasmet ir per 30 dienų nuo esminių teisinių, organizacinių, tvarkymo, technologinių ar sertifikavimo taikymo srities pakeitimų, o patvirtinti pakeitimai per 30 dienų nuo paskelbimo komunikuojami REG11.