Privatumo vaidmenų, atsakomybių ir atskaitomybės politika

Privatumo vaidmenų, atsakomybių ir atskaitomybės politika apibrėžia, kaip organizacija priskiria, dokumentuoja, komunikuoja, peržiūri ir tobulina atsakomybes savo privačios informacijos apsaugos valdymo sistemoje. Jos taikymo sritis apima personalą, funkcijas, sistemas, tiekėjus, duomenų tvarkytojus, subtvarkytojus ir bendro duomenų valdytojo santykius, kurie dalyvauja asmenį identifikuojančios informacijos (AII) tvarkyme arba daro jam įtaką PIMS taikymo srityje. Politika taikoma duomenų valdytojo, bendro duomenų valdytojo, duomenų tvarkytojo ir subtvarkytojo kontekstuose, todėl ji aktuali visam dokumente aprašytų privatumo veiklos modelių rinkiniui. Joje taip pat aiškiai nustatyta, kad politika nesukuria naujų organizacinių pareigybių pavadinimų; vietoj to ji apibrėžia kanoninius PIMS vaidmenis, kurie gali būti priskirti esamiems darbuotojams arba funkcijoms, kai dokumentuojami reikalaujami priskyrimo, kompetencijos, nepriklausomumo ir interesų konflikto reikalavimai. Politika nustato struktūruotą PIMS vaidmenų modelį ir įrodymais grindžiamą atskaitomybės metodą. Aukščiausioji vadovybė turi patvirtinti kanoninį vaidmenų modelį REG01 prieš pradinį įgyvendinimą ir vėliau kasmet. Privatumo vadovas / PIMS vadovas REG01 palaiko vardinius vaidmenų priskyrimus, atsakomybės taikymo sritis ir įgaliojimų lygius, įskaitant atnaujinimus po personalo ar organizacinių pokyčių. Tvarkymo savininkystė susiejama su REG02, kuriame Procesų savininkai / Verslo savininkai prieš tvarkymo pradžią kiekvienai AII tvarkymo veiklai priskiria atskaitingus savininkus, o Sistemų savininkai / Taikomųjų programų savininkai prieš paleidimą gamybinėje aplinkoje dokumentuoja atskaitingus sistemų savininkus. Tiekėjo, duomenų tvarkytojo, subtvarkytojo, dalijimosi duomenimis su trečiosiomis šalimis ir bendro duomenų valdytojo santykių savininkystė užfiksuojama REG08 prieš tiekėjų įtraukimą arba susitarimo patvirtinimą. Pagrindinė politikos dalis yra vaidmenų derinimo, pareigų atskyrimo ir nepriklausomumo valdymas. Politika leidžia praktinį vaidmenų derinimą, įskaitant mažas ir vidutines organizacijas, tačiau reikalauja dokumentavimo prieš deriniams įsigaliojant. Vaidmenų deriniams, apimantiems Privatumo vadovą / PIMS vadovą, Duomenų apsaugos pareigūną / privatumo konsultantą, Informacijos saugumo vadovą, Reagavimo į incidentus koordinatorių arba Vidaus audito / atitikties peržiūrą atliekantį asmenį, reikalingas Aukščiausiosios vadovybės patvirtinimas REG01. Vidaus audito / atitikties peržiūrą atliekantis asmuo prieš kiekvieną auditą arba atitikties peržiūrą REG12 turi dokumentuoti nepriklausomumą nuo peržiūrimo PIMS proceso. Kai pareigų atskyrimo konfliktų išvengti neįmanoma, turi būti užfiksuotos kompensuojančios kontrolės priemonės, o Duomenų apsaugos pareigūnas / privatumo konsultantas per penkias darbo dienas nuo identifikavimo turi užfiksuoti nepriklausomumo arba interesų konflikto klausimus. Politika taip pat apibrėžia atskaitomybę duomenų valdytojo, bendro duomenų valdytojo, duomenų tvarkytojo ir subtvarkytojo atsakomybių srityse. Duomenų valdytojo atliekamam tvarkymui prieš tvarkymo pradžią REG02 turi būti užfiksuota atsakomybės savininkystė, tikslo savininkystė ir įrodymų savininkystė. Bendro duomenų valdytojo atsakomybės paskirstymas, duomenų tvarkytojo kliento nurodymo savininkystė, subtvarkytojų priežiūros savininkystė, patvirtinimo būsena ir trečiųjų šalių atsakomybės eskalavimo keliai valdomi per REG08. Privatumo vadovas / PIMS vadovas kas ketvirtį ir per 15 darbo dienų nuo esminio pokyčio patikrina vaidmenų klasifikavimo įrašus REG02 ir REG08. Politika taip pat reikalauja, kad privatumo konsultacijos, AII saugumo atsakomybės įvestis, pažeidimų ir privatumo incidentų eskalavimo atsakomybė, neišspręsti atsakomybės ginčai ir su vaidmenimis susiję eskalavimai būtų dokumentuojami apibrėžtuose įrodymų objektuose. Valdysena, matavimas, išimtys, įgyvendinimas ir priežiūra yra įtraukti į atskaitomybės modelį. Aukščiausioji vadovybė vadovybės peržiūros metu peržiūri išsamumą, neužpildytus vaidmenis, vaidmenų konfliktus, atskaitomybės išimtis ir rodiklius. Privatumo vadovas / PIMS vadovas atlieka ketvirtines atskaitomybės peržiūras, seka neužpildytus ir sujungtus vaidmenis, teikia vaidmenų informuotumo užbaigimo ataskaitas, valdo išimtis su apibrėžtais galiojimo terminais ir trūkstamus, netikslius arba pasenusius priskyrimus registruoja kaip neatitiktis. Procesų savininkai / Verslo savininkai turi neleisti paleisti naujo arba pakeisto AII tvarkymo gamybinėje aplinkoje, kai nėra reikalaujamų vaidmenų ir atskaitomybės įrodymų. Vidaus audito / atitikties peržiūrą atliekantys asmenys testuoja vaidmenų įrodymus, teikia išvadas ir patikrina korekcinių veiksmų veiksmingumą. Pati politika turi būti peržiūrima kasmet ir per 30 dienų nuo esminio PIMS vaidmenų modelio pokyčio.