Privātuma informācijas pārvaldības sistēmas politika

Privātuma informācijas pārvaldības sistēmas politika izveido organizācijas PIMS personu identificējošas informācijas apstrādei pārziņa, kopīga pārziņa, apstrādātāja un apakšapstrādātāja kontekstos. Tās noteiktais mērķis ir definēt obligātās pārvaldības prasības PIMS izveidei, ieviešanai, uzturēšanai, uzraudzībai un nepārtrauktai uzlabošanai. Politika ir izstrādāta, lai atbalstītu pārskatatbildīgu, uz risku balstītu un pierādījumos balstītu personas datu apstrādes pārvaldību visās piemērojamajās PIMS lomās. Tā attiecas uz PIMS darbības jomu, organizācijas kontekstu, ieinteresētajām pusēm, robežām, lomu noteikšanu, privātuma politiku, privātuma mērķiem, privātuma risku izvērtēšanu, privātuma riska apstrādi, PIMS piemērojamības paziņojumu, pārvaldību, uzraudzību, iekšējo auditu, vadības pārskatīšanu, neatbilstībām, korektīvajām darbībām un dokumentētiem pierādījumiem, kas vajadzīgi atbilstības un pārskatatbildības demonstrēšanai. Politikas centrālā iezīme ir tās uzsvars uz skaidri definētu pārskatatbildību. Augstākajai vadībai pirms sākotnējās ieviešanas un 30 dienu laikā pēc jebkurām būtiskām izmaiņām jāapstiprina PIMS darbības joma REG01, ik gadu jāapstiprina politika un PIMS mērķi REG12, kā arī vadības pārskatīšanas laikā jāpārskata veiktspēja, atvērtie riski, neatbilstības, korektīvās darbības un uzlabojumu lēmumi. Privātuma vadītājs / PIMS vadītājs uztur pamata PIMS ierakstus, tostarp konteksta jautājumus, ieinteresētās puses, mērķus, piemērojamības paziņojumu, riska apstrādes lēmumus, pierādījumu indeksu, metriku, izņēmumus, korektīvās darbības un politikas pārskatīšanas ierakstus. Procesu īpašnieki klasificē organizācijas PIMS lomu katrai personas datu apstrādes darbībai pirms apstrādes sākšanas, savukārt piegādātāju / iepirkumu īpašnieki dokumentē kopīga pārziņa atbildības sadalījumu, klienta apstrādes norādījumus, apstiprinātus apakšapstrādes pasākumus, piegādātāju pārvaldību un ārēji nodrošinātus PIMS nozīmīgus procesus. Politika sasaista PIMS pārvaldību ar darbības kontroles pasākumiem. Privātuma risku izvērtēšana jāuzsāk pirms jaunas vai būtiski mainītas personas datu apstrādes sākšanas, un DPIA nepieciešamība jānosaka pirms augsta riska vai būtiski mainītas pārziņa apstrādes turpināšanas. Apstiprināti privātuma riska apstrādes lēmumi tiek reģistrēti pirms riska apstrādes ieviešanas, un sistēmu īpašniekiem pirms nodošanas ražošanas vidē jāapstiprina PIMS darbības kontroles pasākumi sistēmām, kas apstrādā personas datus. Informācijas drošības vadītājs ir atbildīgs par piemērojamā personas datu drošības kontroles pasākumu pamatlīmeņa dokumentēšanu un drošības kontroles pasākumu ieviešanas statusa uzturēšanu, sasaistot privātuma pārvaldību ar personas datu drošības kontroles pasākumu pamatlīmeni un piemērojamības paziņojumu. Šī struktūra palīdz nodrošināt, ka darbības joma, apstrādes darbības, kontroles pasākumu piemērojamība, piegādātāju kārtība un riska ieraksti pirms vadības pārskatīšanas un ar sertifikāciju saistītām izmaiņām paliek saskaņoti. Politika nosaka arī auditējamības un nepārtrauktas uzlabošanas prasības. Privātuma vadītājam / PIMS vadītājam pirms katra iekšējā audita jāuztur PIMS pierādījumu indekss, jāglabā dokumentēta informācija atbilstoši pierādījumu glabāšanas prasībām, reizi ceturksnī jāuztur veiktspējas metrika un pirms vadības pārskatīšanas jāziņo par mērķu statusu. Minimālajā mērījumu kopā ietilpst procentuālā daļa no darbības jomā ietvertajām apstrādes darbībām ar aktuālu lomu klasifikāciju, procentuālā daļa no piemērojamajiem kontroles pasākumiem ar aktuālu ieviešanas statusu, atvērtās neatbilstības un kavētās korektīvās darbības, kā arī privātuma risku izvērtējumi, kuri gaida apstiprinājumu. Iekšējā audita / atbilstības pārskatītājiem pārskatīšanas rezultāti jāziņo 15 darbdienu laikā, iekšējo auditu laikā izlases veidā jāpārbauda pierādījumu pilnīgums, jāverificē pierādījumi par beigušos izņēmumu slēgšanu un 30 dienu laikā pēc paziņotās slēgšanas jāverificē korektīvo darbību efektivitāte. Izņēmumi, piemērošana un uzturēšana tiek regulēti kā formāli PIMS procesi, nevis neformālas atkāpes. Pieprasītie izņēmumi jādokumentē pirms atkāpes rašanās, pirms apstiprināšanas jāizvērtē to privātuma risks, un tie jāpārskata reizi ceturksnī līdz slēgšanai. Izņēmumiem, kas pārsniedz pieņemtos privātuma riska sliekšņus, pirms ieviešanas nepieciešams augstākās vadības apstiprinājums. Aizdomas par neatbilstībām jāreģistrē piecu darbdienu laikā, kavētas būtiskas korektīvās darbības jāeskalē augstākajai vadībai, un neatrisinātas būtiskas neatbilstības jāpārskata katrā vadības pārskatīšanā. Pati politika tiek pārskatīta ik gadu un 30 dienu laikā pēc būtiskām juridiskām, organizatoriskām, apstrādes, tehnoloģiju vai sertifikācijas darbības jomas izmaiņām, un apstiprinātās izmaiņas tiek paziņotas REG11 30 dienu laikā pēc publicēšanas.