Politika dwar ir-Rwoli, ir-Responsabbiltajiet u r-Responsabbiltà għall-Privatezza

Il-Politika dwar ir-Rwoli, ir-Responsabbiltajiet u r-Responsabbiltà għall-Privatezza tiddefinixxi kif l-organizzazzjoni tassenja, tiddokumenta, tikkomunika, tirrieżamina u ttejjeb ir-responsabbiltajiet fis-Sistema ta’ Ġestjoni tal-Informazzjoni dwar il-Privatezza tagħha. Il-kamp ta’ applikazzjoni tagħha jkopri persunal, funzjonijiet, sistemi, fornituri, proċessuri, subproċessuri u relazzjonijiet ta’ kontrollur konġunt li jipparteċipaw fl-ipproċessar tal-PII jew jinfluwenzawh fil-kamp ta’ applikazzjoni tal-PIMS. Il-politika tapplika f’kuntesti ta’ kontrollur, kontrollur konġunt, proċessur u subproċessur, u għalhekk hija rilevanti għas-sett sħiħ ta’ mudelli operattivi tal-privatezza deskritti fid-dokument. Tagħmilha ċara wkoll li ma toħloqx titli organizzazzjonali ġodda ta’ impjieg; minflok, tiddefinixxi rwoli kanoniċi tal-PIMS li jistgħu jiġu assenjati lil persunal jew funzjonijiet eżistenti meta r-rekwiżiti meħtieġa dwar l-assenjazzjoni, il-kompetenza, l-indipendenza u l-kunflitt ta’ interess ikunu dokumentati. Il-politika tistabbilixxi mudell strutturat tar-rwoli tal-PIMS u approċċ ta’ responsabbiltà bbażat fuq l-evidenza. It-Tmexxija Għolja għandha tapprova l-mudell kanoniku tar-rwoli f’REG01 qabel l-implimentazzjoni inizjali u kull sena wara dan. Il-Privacy Lead / Maniġer tal-PIMS iżomm assenjazzjonijiet ta’ rwoli nominati, oqsma ta’ responsabbiltà u livelli ta’ awtorità f’REG01, inklużi aġġornamenti wara bidliet fil-persunal jew fl-organizzazzjoni. Is-sjieda tal-ipproċessar hija marbuta ma’ REG02, fejn is-Sidien tal-Proċessi / Sidien tan-Negozju jassenjaw sidien responsabbli għal kull attività tal-ipproċessar tal-PII qabel ma jibda l-ipproċessar u s-Sidien tas-Sistema / Sidien tal-Applikazzjonijiet jiddokumentaw sidien tas-sistema responsabbli qabel id-dħul fl-ambjent ta’ produzzjoni. Is-sjieda tar-relazzjoni mal-fornitur, mal-proċessur, mas-subproċessur, mal-qsim tad-data ma’ partijiet terzi u mal-kontrollur konġunt tiġi rreġistrata f’REG08 qabel l-onboarding jew l-approvazzjoni tal-ftehim. Parti ċentrali tal-politika hija l-ġestjoni tal-kombinazzjonijiet ta’ rwoli, is-segregazzjoni u l-indipendenza. Il-politika tippermetti kombinazzjoni prattika ta’ rwoli, inkluż għal organizzazzjonijiet żgħar u ta’ daqs medju, iżda teħtieġ dokumentazzjoni qabel ma l-kombinazzjonijiet jidħlu fis-seħħ. Kombinazzjonijiet ta’ rwoli li jinvolvu lill-Privacy Lead / Maniġer tal-PIMS, lid-Data Protection Officer / Konsulent tal-Privatezza, lir-Responsabbli tas-Sigurtà tal-Informazzjoni, lill-Koordinatur tar-Rispons għall-Inċidenti jew lir-Rieżaminatur tal-Awditjar Intern / Konformità jeħtieġu approvazzjoni mit-Tmexxija Għolja f’REG01. Ir-Rieżaminatur tal-Awditjar Intern / Konformità għandu jiddokumenta l-indipendenza mill-proċess tal-PIMS li jkun qed jiġi rieżaminat f’REG12 qabel kull awditu jew rieżami tal-konformità. Fejn kunflitti ta’ segregazzjoni ma jistgħux jiġu evitati, għandhom jiġu rreġistrati kontrolli kumpensatorji, u d-Data Protection Officer / Konsulent tal-Privatezza għandu jirreġistra tħassib dwar l-indipendenza jew il-kunflitt ta’ interess fi żmien ħamest ijiem tax-xogħol mill-identifikazzjoni. Il-politika tiddefinixxi wkoll ir-responsabbiltà fir-responsabbiltajiet tal-kontrollur, tal-kontrollur konġunt, tal-proċessur u tas-subproċessur. L-ipproċessar tal-kontrollur jeħtieġ sjieda tar-responsabbiltà, sjieda tal-għan u sjieda tal-evidenza rreġistrati f’REG02 qabel ma jibda l-ipproċessar. L-allokazzjoni tar-responsabbiltà tal-kontrollur konġunt, is-sjieda tal-istruzzjoni tal-klijent tal-proċessur, is-sjieda tas-sorveljanza tas-subproċessur, l-istatus tal-approvazzjoni u l-mogħdijiet ta’ eskalazzjoni tar-responsabbiltà ta’ partijiet terzi jiġu ġestiti permezz ta’ REG08. Il-Privacy Lead / Maniġer tal-PIMS jivverifika r-reġistri tal-klassifikazzjoni tar-rwoli f’REG02 u REG08 kull tliet xhur u fi żmien 15-il jum tax-xogħol minn bidla materjali. Il-politika teħtieġ ukoll li pariri dwar il-privatezza, input dwar ir-responsabbiltà tas-sigurtà tal-PII, responsabbiltà għall-eskalazzjoni ta’ ksur u inċidenti tal-privatezza, tilwim mhux solvut dwar ir-responsabbiltà u eskalazzjonijiet relatati mar-rwoli jiġu dokumentati f’oġġetti ta’ evidenza definiti. Il-governanza, il-kejl, l-eċċezzjonijiet, l-applikazzjoni u l-manutenzjoni huma inkorporati fil-mudell tar-responsabbiltà. It-Tmexxija Għolja tirrieżamina l-kompletezza, ir-rwoli mhux mimlija, il-kunflitti tar-rwoli, l-eċċezzjonijiet għar-responsabbiltà u l-metriċi matul ir-Rieżami tal-Ġestjoni. Il-Privacy Lead / Maniġer tal-PIMS iwettaq rieżamijiet trimestrali tar-responsabbiltà, jittraċċa rwoli mhux mimlija u magħquda, jirrapporta t-tlestija tas-sensibilizzazzjoni dwar ir-rwoli, jimmaniġġja l-eċċezzjonijiet b’limiti ta’ skadenza definiti u jirreġistra assenjazzjonijiet nieqsa, mhux preċiżi jew skaduti bħala nuqqasijiet ta’ konformità. Is-Sidien tal-Proċessi / Sidien tan-Negozju għandhom jipprevjenu d-dħul fl-ambjent ta’ produzzjoni ta’ pproċessar tal-PII ġdid jew mibdul fejn l-evidenza meħtieġa dwar ir-rwoli u r-responsabbiltà tkun assenti. Ir-Rieżaminaturi tal-Awditjar Intern / Konformità jittestjaw l-evidenza tar-rwoli, jirrapportaw sejbiet u jivverifikaw l-effettività tal-azzjonijiet korrettivi. Il-politika nnifisha għandha tiġi rieżaminata kull sena u fi żmien 30 jum minn bidla materjali fil-mudell tar-rwoli tal-PIMS.