Polityka systemu zarządzania informacjami o prywatności

Polityka systemu zarządzania informacjami o prywatności ustanawia PIMS organizacji do przetwarzania danych osobowych umożliwiających identyfikację osoby w kontekstach administratora, współadministratora, podmiotu przetwarzającego i podwykonawcy przetwarzania. Jej deklarowanym celem jest zdefiniowanie obowiązkowych wymagań zarządczych dotyczących ustanawiania, wdrażania, utrzymywania, monitorowania i ciągłego doskonalenia PIMS. Polityka ma wspierać rozliczalne, oparte na ryzyku i dowodach zarządzanie przetwarzaniem PII w ramach właściwych ról PIMS. Obejmuje zakres PIMS, kontekst organizacyjny, zainteresowane strony, granice, określenie ról, politykę prywatności, cele prywatności, ocenę ryzyka dla prywatności, postępowanie z ryzykiem dla prywatności, Deklarację stosowania PIMS, zarządzanie, monitorowanie, audyt wewnętrzny, przegląd zarządzania, niezgodności, działania korygujące oraz udokumentowane dowody potrzebne do wykazania zgodności i rozliczalności. Centralnym elementem polityki jest nacisk na zdefiniowaną rozliczalność. Najwyższe kierownictwo musi zatwierdzić zakres PIMS w REG01 przed pierwszym wdrożeniem oraz w ciągu 30 dni od każdej istotnej zmiany, zatwierdzać politykę i cele PIMS w REG12 co roku oraz przeglądać wyniki, otwarte ryzyka, niezgodności, działania korygujące i decyzje dotyczące doskonalenia podczas przeglądu zarządzania. Privacy Lead / Menedżer PIMS utrzymuje podstawowe zapisy PIMS, w tym kwestie kontekstowe, zainteresowane strony, cele, Deklarację stosowania, decyzje dotyczące postępowania z ryzykiem, indeks dowodów, metryki, wyjątki, działania korygujące oraz zapisy z przeglądów polityki. Właściciele procesów klasyfikują rolę PIMS organizacji dla każdej czynności przetwarzania PII przed rozpoczęciem przetwarzania, natomiast właściciele ds. dostawców / zakupów dokumentują podział odpowiedzialności współadministratora, polecenia klienta dotyczące przetwarzania, zatwierdzone uzgodnienia dotyczące dalszego powierzenia przetwarzania, nadzór nad dostawcami oraz procesy istotne dla PIMS zapewniane zewnętrznie. Polityka łączy zarządzanie PIMS z kontrolą operacyjną. Ocena ryzyka dla prywatności musi zostać rozpoczęta przed rozpoczęciem nowego lub istotnie zmienionego przetwarzania PII, a potrzeba przeprowadzenia DPIA musi zostać określona przed kontynuowaniem przetwarzania wysokiego ryzyka przez administratora lub istotnie zmienionego przetwarzania. Zatwierdzone decyzje dotyczące postępowania z ryzykiem dla prywatności są zapisywane przed wdrożeniem postępowania z ryzykiem, a właściciele systemów muszą potwierdzić operacyjne zabezpieczenia PIMS przed uruchomieniem produkcyjnym systemów przetwarzających PII. Osoba odpowiedzialna za bezpieczeństwo informacji odpowiada za udokumentowanie właściwego bazowego zestawu wymagań bezpieczeństwa PII oraz utrzymywanie statusu wdrożenia zabezpieczeń, łącząc zarządzanie prywatnością z bazowym zestawem wymagań bezpieczeństwa PII oraz Deklaracją stosowania. Taka struktura pomaga zapewnić, aby zakres, czynności przetwarzania, stosowalność zabezpieczeń, uzgodnienia z dostawcami oraz zapisy ryzyka pozostawały spójne przed przeglądem zarządzania i zmianami związanymi z certyfikacją. Polityka definiuje również wymagania dotyczące audytowalności i ciągłego doskonalenia. Privacy Lead / Menedżer PIMS musi utrzymywać indeks dowodów PIMS przed każdym audytem wewnętrznym, przechowywać udokumentowaną informację zgodnie z wymaganiami dotyczącymi okresu przechowywania dowodów, utrzymywać metryki skuteczności kwartalnie oraz raportować status celów przed przeglądem zarządzania. Minimalny zestaw pomiarowy obejmuje odsetek objętych zakresem czynności przetwarzania z aktualną klasyfikacją ról, odsetek stosowalnych zabezpieczeń z aktualnym statusem wdrożenia, otwarte niezgodności i przeterminowane działania korygujące oraz oceny ryzyka dla prywatności oczekujące na zatwierdzenie. Audyt wewnętrzny / osoby dokonujące przeglądu zgodności muszą raportować wyniki przeglądu w ciągu 15 dni roboczych, próbkować kompletność dowodów podczas audytów wewnętrznych, weryfikować dowody zamknięcia wygasłych wyjątków oraz weryfikować skuteczność działań korygujących w ciągu 30 dni od zgłoszonego zamknięcia. Wyjątki, stosowanie polityki i utrzymanie są ujęte jako formalne procesy PIMS, a nie nieformalne odstępstwa. Wnioskowane wyjątki muszą zostać udokumentowane przed wystąpieniem odstępstwa, ocenione pod kątem ryzyka dla prywatności przed zatwierdzeniem oraz przeglądane kwartalnie do czasu zamknięcia. Wyjątki przekraczające zaakceptowane progi ryzyka dla prywatności wymagają zatwierdzenia przez najwyższe kierownictwo przed wdrożeniem. Podejrzewane niezgodności muszą zostać zapisane w ciągu pięciu dni roboczych, przeterminowane poważne działania korygujące muszą zostać eskalowane do najwyższego kierownictwa, a nierozwiązane poważne niezgodności muszą być przeglądane podczas każdego przeglądu zarządzania. Sama polityka jest przeglądana corocznie oraz w ciągu 30 dni od istotnych zmian prawnych, organizacyjnych, dotyczących przetwarzania, technologii lub zakresu certyfikacji, przy czym zatwierdzone zmiany są komunikowane w REG11 w ciągu 30 dni od publikacji.