Datu aizsardzības un privātuma politika

Datu aizsardzības un privātuma politika (P17) nosaka visaptverošu ietvaru personas datu aizsardzībai un privātuma pēc integrētās drošības principa ieviešanai visā organizācijā. Šī politika nosaka obligātās organizatoriskās un tehniskās prasības, kas nepieciešamas, lai nodrošinātu atbilstību starptautiskajiem standartiem un mainīgajiem regulatīvajiem ietvariem, nodrošinot, ka personas dati visā to dzīves ciklā tiek apstrādāti likumīgi, droši un pārredzami. Piemērošana attiecas uz visām organizācijas struktūrvienībām, personālu un sistēmām, kas apstrādā personas datus, neatkarīgi no tā, vai tie atrodas fiziskajos vai digitālajos nesējos, un ietver mākoņpakalpojumus, SaaS platformas un mobilās ierīces. Politika skaidri definē darbības jomu, norādot, ka visi darbinieki, līgumslēdzēji un trešās puses ir pakļauti tās prasībām. Tiek aptvertas visas vides, kurās atrodas personas dati — ražošanas, izstrādes, testēšanas vai rezerves kopiju vides. Politika aptver ne tikai personas datu vākšanu, uzglabāšanu un izmantošanu, bet arī uzglabāšanu, likvidēšanu, pārrobežu pārsūtīšanu un datu subjekta tiesību apstrādi. Politikas centrālais mērķis ir nodrošināt atbilstību vadošajiem regulējumiem un standartiem: GDPR (5., 6., 12.–23., 25., 28., 30., 32.–34. pants; 78. apsvērums), ES NIS2, ES DORA, ISO/IEC 27001:2022 (5.1, 6.1.3, 8.1, 10.1 klauzulas), ISO/IEC 27002:2022 (5.34, 8.10, 8.11 kontroles), NIST SP 800-53 Rev. 5 (dažādas kontroles) un COBIT 2019 (APO12, DSS01, DSS05, MEA). Šim nolūkam tā nosaka lomu un pārskatatbildības struktūru piešķiršanu: izpildu vadība nodrošina stratēģisko uzraudzību; DPO koordinē atbilstības procesus, datu subjekta tiesību izpildi un sadarbību ar uzraudzības iestādēm; un drošība, juridiskās lietas, datu īpašnieki un IT kopīgi ievieš tehniskos un organizatoriskos drošības pasākumus, uztur reģistrus un pārvalda pārkāpumus. Politika pieprasa formālu privātuma pārvaldības ietvaru, kas integrēts ar organizācijas informācijas drošības pārvaldības sistēmu, lai nodrošinātu konsekventu izpildi. Tā nosaka procesus privātuma risku reģistru uzturēšanai, DPIA veikšanai augsta riska apstrādei un privātuma kontrolpasākumu (no datu minimizēšanas un pseidonimizācijas līdz uzglabāšanas grafikiem un drošai likvidēšanai) dziļai integrācijai. Likumīga apstrāde un dokumentēti tiesiskie pamati ir pamatprasības, ar skaidru piekrišanas, datu uzskaites un pārrobežu datu plūsmu pārvaldību. Datu subjekta pieprasījumi tiek apstrādāti noteiktos termiņos un reģistrēti izsekojamībai, un detalizēti aprakstīti stingri ietvari pārkāpumu pārvaldībai, izņēmumu apstrādei un trešo pušu uzraudzībai. Regulāras pārskatīšanas, audita pēdas un prasība par ikgadējiem (vai ad hoc) iekšējiem auditiem palīdz nodrošināt, ka politika saglabā efektivitāti un reaģē uz regulatīvām izmaiņām, audita konstatējumiem vai būtiskiem incidentiem. Katrs būtisks atjauninājums ir jāapstiprina izpildu vadībai un jādokumentē informācijas drošības pārvaldības sistēmā. Šī politika ir neatņemama organizācijas plašākas informācijas drošības un risku pārvaldības sistēmas sastāvdaļa, cieši sasaistīta ar papildinošām politikām par reaģēšanu uz incidentiem, risku pārvaldību, klasifikāciju, uzglabāšanu, datu maskēšanu un audita uzraudzību.