Privātuma lomu, pienākumu un pārskatatbildības politika

Privātuma lomu, pienākumu un pārskatatbildības politika definē, kā organizācija piešķir, dokumentē, paziņo, pārskata un uzlabo pienākumus savā privātuma informācijas pārvaldības sistēmā. Tās piemērošanas joma aptver personālu, funkcijas, sistēmas, piegādātājus, apstrādātājus, apakšapstrādātājus un kopīga pārziņa attiecības, kas piedalās personas datu apstrādē vai to ietekmē PIMS darbības jomā. Politika ir piemērojama pārziņa, kopīga pārziņa, apstrādātāja un apakšapstrādātāja kontekstos, tādēļ tā attiecas uz pilnu dokumentā aprakstīto privātuma darbības modeļu kopumu. Tā arī skaidri nosaka, ka nerada jaunus organizācijas amatu nosaukumus; tā vietā politika definē kanoniskās PIMS lomas, kuras var piešķirt esošam personālam vai funkcijām, ja nepieciešamās piešķiršanas, kompetences, neatkarības un interešu konflikta prasības ir dokumentētas. Politika izveido strukturētu PIMS lomu modeli un pierādījumos balstītu pārskatatbildības pieeju. Augstākā vadība pirms sākotnējās ieviešanas un pēc tam katru gadu apstiprina kanonisko lomu modeli REG01. Privātuma vadītājs / PIMS vadītājs REG01 uztur vārdiskus lomu piešķīrumus, atbildības jomas un pilnvaru līmeņus, tostarp atjauninājumus pēc personāla vai organizatoriskām izmaiņām. Apstrādes īpašumtiesības ir sasaistītas ar REG02, kur Procesu īpašnieki / uzņēmuma īpašnieki katrai personas datu apstrādes darbībai pirms apstrādes sākuma piešķir pārskatatbildīgus īpašniekus, un Sistēmu īpašnieki / lietotņu īpašnieki pirms nodošanas ražošanas vidē dokumentē pārskatatbildīgus sistēmu īpašniekus. Piegādātāja, apstrādātāja, apakšapstrādātāja, trešo pušu datu koplietošanas un kopīga pārziņa attiecību īpašumtiesības tiek reģistrētas REG08 pirms uzņemšanas vai vienošanās apstiprināšanas. Politikas centrāla daļa ir lomu apvienošanas, pienākumu nodalīšanas un neatkarības pārvaldība. Politika pieļauj praktisku lomu apvienošanu, tostarp mazās un vidējās organizācijās, bet prasa dokumentēšanu pirms kombinācijas stājas spēkā. Lomu kombinācijām, kurās iesaistīts Privātuma vadītājs / PIMS vadītājs, Datu aizsardzības speciālists / privātuma konsultants, Informācijas drošības vadītājs, Incidentu reaģēšanas koordinators vai Iekšējā audita / atbilstības pārskatītājs, REG01 ir nepieciešams Augstākās vadības apstiprinājums. Iekšējā audita / atbilstības pārskatītājam pirms katra audita vai atbilstības pārskatīšanas REG12 ir jādokumentē neatkarība no pārskatāmā PIMS procesa. Ja pienākumu nodalīšanas konfliktus nevar novērst, ir jāreģistrē kompensējošie kontroles pasākumi, un Datu aizsardzības speciālists / privātuma konsultants piecu darba dienu laikā pēc identificēšanas reģistrē neatkarības vai interešu konflikta bažas. Politika arī definē pārskatatbildību pārziņa, kopīga pārziņa, apstrādātāja un apakšapstrādātāja pienākumu ietvaros. Pārziņa veiktai apstrādei pirms apstrādes sākuma ir nepieciešamas reģistrētas atbildības īpašumtiesības, apstrādes nolūka īpašumtiesības un pierādījumu īpašumtiesības REG02. Kopīga pārziņa atbildības sadalījums, apstrādātāja klienta norādījumu īpašumtiesības, apakšapstrādātāja pārraudzības īpašumtiesības, apstiprinājuma statuss un trešo pušu atbildības eskalācijas ceļi tiek pārvaldīti REG08. Privātuma vadītājs / PIMS vadītājs reizi ceturksnī un 15 darba dienu laikā pēc būtiskām izmaiņām pārbauda lomu klasifikācijas ierakstus REG02 un REG08. Politika turklāt nosaka, ka privātuma konsultācijas, personas datu drošības atbildības ievaddati, pārkāpumu un privātuma incidentu eskalācijas atbildība, neatrisināti atbildības strīdi un ar lomām saistītas eskalācijas ir jādokumentē definētos pierādījumu objektos. Pārvaldība, mērīšana, izņēmumi, politikas ievērošana un uzturēšana ir integrēti pārskatatbildības modelī. Augstākā vadība vadības pārskatīšanas laikā pārskata pilnīgumu, neaizpildītās lomas, lomu konfliktus, pārskatatbildības izņēmumus un metrikas. Privātuma vadītājs / PIMS vadītājs veic ceturkšņa pārskatatbildības pārskatīšanas, izseko neaizpildītās un apvienotās lomas, ziņo par lomu informētības pabeigšanu, pārvalda izņēmumus ar definētiem termiņa beigu ierobežojumiem un reģistrē trūkstošus, neprecīzus vai novecojušus piešķīrumus kā neatbilstības. Procesu īpašnieki / uzņēmuma īpašnieki nedrīkst pieļaut jaunas vai mainītas personas datu apstrādes nodošanu ražošanas vidē, ja nav nepieciešamo lomu un pārskatatbildības pierādījumu. Iekšējā audita / atbilstības pārskatītāji testē lomu pierādījumus, ziņo par konstatējumiem un pārbauda korektīvās darbības efektivitāti. Pati politika ir jāpārskata katru gadu un 30 dienu laikā pēc būtiskām izmaiņām PIMS lomu modelī.