PIMS dokumentētas informācijas un pierādījumu pārvaldības politika

PIMS dokumentētas informācijas un pierādījumu pārvaldības politika nosaka obligātās prasības privātuma informācijas pārvaldības sistēmas dokumentētās informācijas pilna dzīves cikla kontrolei. Tās piemērošanas joma aptver PIMS ierakstu izveidi, apstiprināšanu, versiju pārvaldību, aizsardzību, glabāšanu, izgūšanu, tulkošanu, atsaukšanu un pierādīšanu. Politika attiecas uz PIMS politikām, reģistriem, dokumentētiem apstiprinājumiem, pierādījumu ierakstiem, audita pierādījumiem, vadības pārskatīšanas ierakstiem, korektīvo darbību pierādījumiem un kontrolētiem tulkojumiem, ko izmanto PIMS atbilstības pierādīšanai. Tā ir izstrādāta pārziņa, kopīgā pārziņa, apstrādātāja un apakšapstrādātāja kontekstiem, tādēļ ir piemērojama dažādām lomām, kuras organizācija var pildīt, apstrādājot personas datus. Politikas centrālā iezīme ir paļaušanās uz kanoniskajiem PIMS pierādījumu objektiem no REG01 līdz REG12, nevis atsevišķa dokumentu kontroles reģistra izveide. Politika nosaka, ka dokumentētās informācijas kontroles pierādījumi tiek uzturēti, izmantojot šos pierādījumu objektus, savukārt REG03 un REG12 īpaši tiek izmantoti kontroles pasākumu piemērojamībai, auditam, neatbilstībām, korektīvajām darbībām un uzlabošanas pierādījumiem. Šī pieeja ir paredzēta, lai novērstu nevajadzīgu dokumentu kontroles birokrātiju, vienlaikus saglabājot auditam gatavus ierakstus sertifikācijai, klientu apliecinājumam un nepārtrauktai uzlabošanai. REG12 tiek plaši izmantots dokumentētās informācijas indeksam, piekļuves līmeņiem, sensitivitātes klasifikācijām, apstiprinājuma statusam, versiju vēsturei, izgūšanas pieprasījumiem, izpaušanas apstiprinājumiem, glabāšanas kategorijām, atsaukšanas statusam, izņēmumiem un korektīvo darbību izsekošanai. Politika nosaka detalizētus kontroles pasākumus izveidei, apstiprināšanai, versiju pārvaldībai un publicēšanai. Pirms PIMS dokumentētās informācijas publicēšanas Privātuma vadītājam / PIMS vadītājam REG12 jāpiešķir dokumenta identifikators, īpašnieks, versijas numurs, apstiprinājuma statuss, spēkā stāšanās datums un pārskatīšanas datums. Augstākajai vadībai pirms publicēšanas jāapstiprina pamata PIMS politikas un būtiski politikas grozījumi, savukārt Privātuma vadītājs / PIMS vadītājs pirms operatīvās izmantošanas apstiprina pierādījumu veidnes vai reģistros iegultās sadaļas. Politika arī pieprasa, lai pirms nodošanas ekspluatācijā tiktu reģistrēta versiju vēsture un izmaiņu pamatojums, un lai apstiprināto izmaiņu paziņošana tiktu reģistrēta REG11 30 dienu laikā pēc publicēšanas. Pierādījumu kvalitāte un izsekojamība tiek traktētas kā operatīvas prasības, nevis izvēles dokumentācijas uzdevumi. Privātuma vadītājam / PIMS vadītājam jānosaka pierādījumu nosaukumu piešķiršanas konvencijas, reizi ceturksnī un pirms ārējā audita jāsaskaņo REG03 kontroles atsauces ar politikas pierādījumu ierakstiem un pirms pierādījumu koplietošanas sertifikācijas auditam, klientu apliecinājumam vai regulatīvai atbildei jāpiemēro apstiprinātā eksporta nosaukumu piešķiršanas konvencija. Procesu īpašniekiem / biznesa īpašniekiem jānodrošina, ka apstrādes pierādījumos ir ietverts pierādījumu īpašnieks, datums, apstrādes darbības atsauce, lēmuma statuss un apstiprinājuma statuss, pirms tie tiek izmantoti auditā. Iekšējā audita / atbilstības pārskatītājiem plānoto auditu vai atbilstības pārskatīšanu laikā jāreģistrē pilnīguma, precizitātes vai izsekojamības trūkumi. Politika arī nosaka kontroles pasākumus piekļuvei, aizsardzībai, izgūšanai, izpaušanai, glabāšanai, atsaukšanai, arhivēšanai, likvidēšanai un daudzvalodu versiju kontrolei. Repozitorija piekļuves ierobežojumi jāreģistrē pirms piekļuves piešķiršanas un jāpārskata reizi ceturksnī, un piekļuve PIMS pierādījumiem, kas satur personas datus, jāapstiprina pirms tās piešķiršanas. Pierādījumu izpaušanai ārējiem auditoriem, klientiem, apstrādātājiem, pārziņiem, uzraudzības iestādēm vai citām ārējām pusēm ir nepieciešams apstiprinājums un izpaušanas tvēruma reģistrēšana. Novecojušas versijas jāatsauc noteiktajos termiņos, iepriekšējās apstiprinātās politikas versijas jāsaglabā, un arhivēšana vai dzēšana nedrīkst notikt, kamēr nav pārbaudītas audita saglabāšanas, juridiskās saglabāšanas, incidenta izmeklēšanas vai korektīvo darbību atkarības. Metrikas, izņēmumu pārvaldība, politikas ievērošana un ikgadējās pārskatīšanas prasības nodrošina, ka dokumentētā informācija paliek aktuāla, izgūstama, aizsargāta un saskaņota ar PIMS atbilstības vajadzībām.