Personas datu incidentu un personas datu aizsardzības pārkāpumu pārvaldības politika

Personas datu incidentu un datu aizsardzības pārkāpumu pārvaldības politika nosaka, kā organizācija identificē, ziņo, veic triāžu, izvērtē, ierobežo, paziņo, dokumentē, slēdz un veic uzlabojumus saistībā ar personas datu incidentiem un personas datu aizsardzības pārkāpumiem privātuma informācijas pārvaldības sistēmas darbības jomā. Tās noteiktais mērķis ir nodrošināt, ka incidenti un pārkāpumi tiek apstrādāti konsekventi, savlaicīgi, likumīgi, droši un ar auditam gataviem pierādījumiem. Politika ir piemērojama pārziņa, kopīgā pārziņa, apstrādātāja un apakšapstrādātāja kontekstā, un tā attiecas uz sistēmām, lietojumprogrammām, pakalpojumiem, procesiem, piegādātājiem, apstrādātājiem, apakšapstrādātājiem un trešajām pusēm, kas apstrādā, glabā, pārsūta, atbalsta, piekļūst vai citādi ietekmē personas datus PIMS darbības jomā. Politikas centrālais elements ir integrētais pierādījumu modelis. REG10 — Personas datu incidentu un aizsardzības pārkāpumu reģistrs ir primārais pierādījumu objekts incidentu un pārkāpumu pārvaldībai, savukārt atbalsta reģistri nodrošina kontekstu un izsekojamību. REG01 nodrošina piemērošanas jomas, tiesisko, līgumisko, nozaru, klientu un ziņošanas kontekstu. REG02 sasaista ietekmētās apstrādes darbības, personas datu kategorijas, datu subjektu kategorijas, nolūkus un sistēmas. REG04 atbalsta privātuma riska, DPIA un atlikušā riska sasaisti. REG08 dokumentē apstrādātāju, apakšapstrādātāju, klientu, piegādātāju un trešo pušu incidentu saskarnes. REG09 tiek izmantots, ja incidenti ietekmē pārrobežu apstrādi, REG11 atbalsta apmācību un kompetences pierādījumus, bet REG12 fiksē audita, neatbilstību, korektīvo darbību un uzlabošanas pierādījumus. Šī struktūra palīdz nodrošināt, ka incidentu ieraksti nav izolēti no plašākās PIMS. Politika nosaka detalizētas prasības gatavībai, saņemšanai, klasifikācijai, pārkāpuma izvērtēšanai, ierobežošanai, atjaunošanai, paziņošanai, komunikācijai, pierādījumu aizsardzībai un gūtajām mācībām. Par iespējamiem personas datu incidentiem jāveic ieraksti savlaicīgi, un katrs ziņotais vai atklātais iespējamais incidents jāievada REG10 vienas darbdienas laikā pēc saņemšanas vai ātrāk, ja var tikt ierosināti paziņošanas vai klientu ziņošanas termiņi. Tehniskā triāža drošības notikumiem, kas ietver personas datus, jāpabeidz 24 stundu laikā pēc atklāšanas, un katrs REG10 ieraksts 24 stundu laikā pēc saņemšanas jāklasificē kā ar personas datiem nesaistīts notikums, iespējams personas datu incidents, apstiprināts personas datu incidents vai apstiprināts personas datu aizsardzības pārkāpums, ja vien nav dokumentēts iemesls atliktai klasifikācijai. Pārkāpuma izvērtēšanai politika prasa identificēt ietekmētās apstrādes darbības, personas datu kategorijas, datu subjektu kategorijas, sistēmas, apstrādātājus, apakšapstrādātājus, datu nosūtīšanas vietas un privātuma riskus pirms paziņošanas lēmumu pabeigšanas. Paziņošanas un komunikācijas pienākumi ir nodalīti pēc lomas. Pārziņiem politika prasa dokumentēt regulatīvos paziņošanas lēmumus par katru apstiprinātu personas datu aizsardzības pārkāpumu bez nepamatotas kavēšanās, saglabājot REG10 paziņojumu, nepaziņošanas pamatojumu vai kavēšanās pamatojumu. Ja tiek ierosināta komunikācija ar ietekmētajiem datu subjektiem, politika prasa reģistrēt saturu, auditoriju, laiku, piegādes metodi un apstiprinājuma pierādījumus. Apstrādātājiem un apakšapstrādātājiem politika prasa bez nepamatotas kavēšanās un piemērojamos līgumiskajos termiņos paziņot ietekmētajiem pārziņiem, klientiem, augšupējiem apstrādātājiem vai pa apstiprinātiem līgumiskajiem kanāliem. Augstas ietekmes personas datu incidentiem tā arī prasa izvērtēt tiesiskos, nozaru, finanšu sektora, kiberdrošības, līgumiskos, klientu un pakalpojumu saņēmēju ziņošanas trigerus, ja tie ir piemērojami. Pārvaldība, mērīšana un uzlabošana ir iekļautas procesā. Privātuma vadītājs / PIMS vadītājs ir atbildīgs par incidentu un pārkāpumu pārvaldības procesu un nodrošina REG10 uzturēšanu līdz slēgšanai. Incidentu reaģēšanas koordinators pārvalda saņemšanu, triāžu, ierobežošanas darbplūsmu, statusa izsekošanu, slēgšanu un gūtās mācības. Informācijas drošība vada tehnisko izmeklēšanu, ierobežošanu, izskaušanu, atjaunošanu, pierādījumu saglabāšanu un pamatcēloņa analīzi, ja ir iesaistītas sistēmas vai drošības kontroles pasākumi. Augstākā vadība 24 stundu laikā pēc klasifikācijas saņem eskalāciju par apstiprinātiem augstas ietekmes personas datu incidentiem un vadības pārskatīšanā izskata augstas ietekmes incidentus, ziņojamus pārkāpumus, nokavētas korektīvās darbības un būtiskas ietekmes. Metrikas ietver incidentu apjomus, klasifikācijas un ierobežošanas laiku, paziņošanas savlaicīgumu, korektīvo darbību novecošanu, trešo pušu reaģēšanas veiktspēju un vingrinājumu pabeigšanu. Politika arī prasa ikgadēju pārskatīšanu, pēcincidenta pārskatīšanu pēc augstas ietekmes incidentiem vai apstiprinātiem pārkāpumiem un ikgadēju iekšējā audita pārskatīšanu par ieviešanu.