Politika tal-Ġestjoni tal-Inċidenti tal-PII u tal-Ksur fis-Settur Finanzjarju

Il-Politika tal-Ġestjoni tal-Inċidenti tal-PII u tal-Ksur fis-Settur Finanzjarju tiddefinixxi r-rekwiżiti għall-identifikazzjoni, ir-rappurtar, it-triage, il-klassifikazzjoni, l-evalwazzjoni, it-trażżin, in-notifika, id-dokumentazzjoni, l-għeluq u t-titjib wara inċidenti tal-PII u ksur ta’ data personali f’kampijiet ta’ applikazzjoni tal-PIMS fis-settur finanzjarju. Tapplika fejn l-organizzazzjoni taġixxi bħala kontrollur tal-PII, kontrollur konġunt, proċessur jew subproċessur f’kuntest tas-settur finanzjarju, u tkopri wkoll sistemi, applikazzjonijiet, servizzi, proċessi, fornituri, proċessuri, subproċessuri u partijiet terzi li jipproċessaw, jaħżnu, jittrażmettu, jappoġġjaw, jaċċessaw jew b’xi mod ieħor jaffettwaw il-PII fil-kamp ta’ applikazzjoni. Il-politika hija mfassla b’mod espliċitu bħala varjant sostitut fis-settur finanzjarju għal PII15, u teħtieġ li l-organizzazzjonijiet jagħżlu jew PII15 jew PII15-FS għall-istess kamp ta’ applikazzjoni sabiex jiġu evitati obbligi, reġistri u xogħol ta’ evidenza tal-awditjar duplikati. L-għan tal-politika huwa li tiżgura li l-inċidenti tal-PII u l-ksur jiġu mmaniġġjati b’mod konsistenti, fil-pront, legalment, b’mod sigur u b’evidenza lesta għall-awditjar. REG10 — Reġistru tal-Inċidenti tal-PII u tal-Ksur huwa stabbilit bħala l-oġġett primarju tal-evidenza, filwaqt li reġistri ta’ appoġġ jgħaqqdu r-reġistru tal-inċident mal-mudell usa’ tal-evidenza tal-PIMS. REG01 jintuża għall-kamp ta’ applikazzjoni u għall-kuntest tal-partijiet interessati, settorjali, tal-klijenti, kuntrattwali u tar-rappurtar. REG02 jgħaqqad l-attivitajiet ta’ pproċessar affettwati, il-kategoriji tal-PII, il-kategoriji tal-prinċipali tal-PII, l-għanijiet, is-sistemi u s-servizzi. REG03 jaqbad id-Dikjarazzjoni ta’ Applikabbiltà u l-aġġornamenti tal-applikabbiltà tal-kontrolli, inkluż is-sostituzzjoni ta’ PII15 b’PII15-FS. REG04 jappoġġja r-rabtiet mal-valutazzjoni tar-riskju tal-privatezza, id-DPIA, ir-riskju residwu u t-trattament, filwaqt li REG08, REG09, REG11 u REG12 ikopru interfaċċi ma’ partijiet terzi, trasferimenti internazzjonali, taħriġ u evidenza tal-awditjar jew ta’ azzjoni korrettiva. Operazzjonalment, il-politika teħtieġ li kull inċident tal-PII fis-settur finanzjarju suspettat, irrappurtat jew skopert, jiġi rreġistrat f’REG10 fi żmien ġurnata tax-xogħol minn meta jiġi riċevut, jew aktar kmieni fejn jistgħu jiġu skattati skadenzi ta’ notifika, tal-klijenti jew ta’ rappurtar. L-inċidenti għandhom jiġu kklassifikati fi żmien 24 siegħa mill-intake bħala avveniment mhux tal-PII, inċident tal-PII suspettat, inċident tal-PII kkonfermat, ksur ta’ data personali kkonfermat, inċident tal-PII fis-settur finanzjarju, inċident maġġuri fis-settur finanzjarju, theddida ċibernetika sinifikanti jew entrata pendenti għall-klassifikazzjoni. L-evalwazzjoni tal-ksur għandha tqis il-PII affettwata, il-prinċipali tal-PII, is-sistemi, is-servizzi, l-attivitajiet ta’ pproċessar, il-proċessuri, is-subproċessuri, it-trasferimenti, ir-riskji, il-klijenti, il-kontropartijiet u l-azzjonijiet ta’ rimedju. Il-politika teħtieġ ukoll preservazzjoni tal-evidenza, trażżin fi ħdan skedi ta’ żmien definiti, verifika tal-irkupru u deċiżjonijiet ta’ għeluq dokumentati li jinkludu l-klassifikazzjoni, id-deċiżjoni dwar in-notifika, l-istatus tat-trażżin, l-istatus tal-irkupru, ir-riskju residwu, l-azzjonijiet korrettivi u l-kompletezza tal-evidenza. Il-politika tiddistingwi bejn l-obbligi tal-kontrollur, tal-kontrollur konġunt, tal-proċessur u tas-subproċessur. Il-kontrolluri għandhom jirreġistraw id-deċiżjonijiet dwar in-notifika ta’ ksur, iħejju evidenza tan-notifika lill-awtorità superviżorja meta meħtieġ, u jirrieżaminaw il-komunikazzjoni mal-prinċipal tal-PII fejn jiġi identifikat riskju għoli. Il-proċessuri u s-subproċessuri għandhom jevalwaw l-istruzzjonijiet tal-klijent, l-obbligi kuntrattwali ta’ notifika, il-ktajjen ta’ notifika upstream u r-rekwiżiti tar-routing tal-evidenza, b’reġistri miżmuma f’REG08 u REG10. Ir-responsabbiltajiet ta’ kontrollur konġunt għandhom jiġu kkoordinati u dokumentati qabel l-iskadenzi applikabbli tan-notifika esterna. Għal inċidenti tal-PII b’impatt għoli fis-settur finanzjarju u theddid ċibernetiku sinifikanti, il-Koordinatur tar-Rispons għall-Inċidenti għandu jevalwa l-iskattaturi tar-rappurtar regolatorju tas-settur finanzjarju u jżomm evidenza tad-deċiżjoni f’REG10. Il-governanza, il-kejl u t-titjib huma integrati fiċ-ċiklu tal-ħajja tal-politika. Ir-Responsabbli għall-Privatezza / Maniġer tal-PIMS għandu jirrieżamina inċidenti miftuħa f’REG10 mill-inqas kull ġimgħa sal-għeluq, u t-Tmexxija Għolja għandha tirċievi eskalazzjoni għal inċidenti kkonfermati b’impatt għoli fis-settur finanzjarju, inċidenti maġġuri jew theddid ċibernetiku sinifikanti fi żmien 24 siegħa wara l-klassifikazzjoni. Il-metriċi jinkludu għaddijiet ta’ kull xahar ta’ inċidenti suspettati u kkonfermati, ksur, inċidenti maġġuri fis-settur finanzjarju u theddid ċibernetiku sinifikanti, kif ukoll il-puntwalità tan-notifika ta’ ksur, il-puntwalità tar-rappurtar fis-settur finanzjarju, it-trażżin, l-irkupru, il-verifika tar-restawr u l-prestazzjoni tar-rispons ta’ partijiet terzi. Il-politika teħtieġ ukoll rieżami annwali, rieżami wara l-inċident wara avvenimenti maġġuri, rieżami tal-awditjar intern, ġestjoni tal-eċċezzjonijiet, applikazzjoni permezz ta’ nuqqasijiet ta’ konformità REG12, u taħriġ ta’ rimedju permezz ta’ REG11 fejn iseħħu fallimenti fis-sensibilizzazzjoni jew fil-komunikazzjoni.