Polityka oceny ryzyka dla prywatności i DPIA

Polityka oceny ryzyka dla prywatności i DPIA określa, w jaki sposób organizacja identyfikuje i ocenia ryzyka dla prywatności w zakresie PIMS, postępuje z nimi, zatwierdza je, przegląda i dokumentuje. Jej celem jest zapewnienie, aby ryzyka dla prywatności i obowiązki DPIA zostały uwzględnione, zanim przetwarzanie PII stworzy niedopuszczalne ryzyko dla osób, których dane dotyczą, lub dla PIMS. Polityka ma zastosowanie do nowych i istotnie zmienionych czynności przetwarzania PII w kontekstach administratora, współadministratora, podmiotu przetwarzającego oraz podwykonawcy przetwarzania. Obejmuje również systemy, aplikacje, usługi, procesy biznesowe, dostawców, podmioty przetwarzające, podwykonawców przetwarzania, transfery międzynarodowe oraz uzgodnienia dotyczące udostępniania danych, które wpływają na przetwarzanie PII. Centralnym elementem polityki jest model operacyjny oparty na REG04. Ocena wstępna ryzyka dla prywatności, ocena potrzeby przeprowadzenia DPIA, ocena ryzyka, plany postępowania z ryzykiem, akceptacja ryzyka rezydualnego, decyzje dotyczące uprzednich konsultacji, zatwierdzenia i status przeglądu są dokumentowane w REG04, a dowody wspierające są powiązane z REG02, REG03, REG08, REG09, REG10, REG11 i REG12. Polityka wyraźnie wyklucza tworzenie odrębnych rejestrów DPIA, ryzyka lub konsultacji poza REG04. Pomaga to zachować jedną ścieżkę dowodową dla wyników oceny wstępnej, decyzji o pełnej DPIA, poziomów ryzyka, właścicieli postępowania z ryzykiem, terminów realizacji, ryzyka rezydualnego, statusu zatwierdzenia i dat przeglądu. Polityka ustanawia obowiązkowe kryteria uruchomienia oceny wstępnej ryzyka dla prywatności oraz ustalenia potrzeby pełnej DPIA. Właściciele procesów / właściciele biznesowi muszą zainicjować ocenę wstępną w REG04 przed rozpoczęciem nowego lub istotnie zmienionego przetwarzania odnotowanego w REG02. Przetwarzanie przez administratora, które prawdopodobnie spowoduje wysokie ryzyko, wymaga pełnej DPIA przed rozpoczęciem przetwarzania. Polityka wskazuje przetwarzanie obejmujące działania na dużą skalę, systematyczne monitorowanie, profilowanie, zautomatyzowane decyzje, szczególne kategorie PII, dane dotyczące wyroków skazujących lub czynów zabronionych, osoby, których dane dotyczą, znajdujące się w szczególnej sytuacji, innowacyjną technologię oraz istotną zmianę przetwarzania jako kwestie, które muszą zostać skierowane do osoby odpowiedzialnej za prywatność / Menedżera PIMS przed rozpoczęciem przetwarzania. Wymaga również ponownej oceny wstępnej przed wykorzystaniem PII w nowym celu, dodaniem nowego odbiorcy, wprowadzeniem nowego podmiotu przetwarzającego lub podwykonawcy przetwarzania, zmianą architektury systemu albo rozpoczęciem nowego transferu międzynarodowego. Postępowanie z ryzykiem i eskalacja są również jasno określone. Jeżeli ryzyko dla prywatności przekracza zatwierdzony próg akceptacji, właściciel procesu / właściciel biznesowy musi odnotować plan postępowania z ryzykiem w REG04 przed kontynuowaniem przetwarzania. Działania dotyczące bezpieczeństwa, projektu systemu, dostawców, umów i zapewnienia są przypisywane do właściwej roli i muszą zostać wdrożone przed uruchomieniem produkcyjnym, onboardingiem, odnowieniem lub zatwierdzonym terminem realizacji. Wysokie ryzyko rezydualne dla prywatności w przypadku przetwarzania przez administratora wymaga zatwierdzenia przez najwyższe kierownictwo przed rozpoczęciem lub kontynuowaniem przetwarzania. Jeżeli po postępowaniu z ryzykiem utrzymuje się wysokie ryzyko rezydualne, osoba odpowiedzialna za prywatność / Menedżer PIMS odnotowuje decyzję dotyczącą uprzednich konsultacji w REG04, a najwyższe kierownictwo zatwierdza kontynuację, zawieszenie, przeprojektowanie lub działania konsultacyjne przed rozpoczęciem przetwarzania. Wymagania dotyczące ładu zarządczego, monitorowania i egzekwowania zapewniają aktywne funkcjonowanie procesu po początkowym zatwierdzeniu. Osoba odpowiedzialna za prywatność / Menedżer PIMS co miesiąc przegląda otwarte ryzyka dla prywatności i zaległe działania w ramach postępowania z ryzykiem, raportuje status ryzyka dla prywatności i DPIA kwartalnie oraz przed przeglądem zarządzania, a także uzgadnia aktywne zapisy ryzyka w REG04 z zapisami inwentarza przetwarzania w REG02. Polityka definiuje metryki dotyczące pokrycia oceną wstępną, aktywnych pełnych DPIA, zaległych przeglądów, wysokich ryzyk rezydualnych, statusu działań w ramach postępowania z ryzykiem, średniego czasu zamknięcia, działań dostawców, działań bezpieczeństwa w ramach postępowania z ryzykiem, ponownej oceny wywołanej incydentem oraz ustaleń z audytu. Wyjątki muszą być wnioskowane przed odstępstwem, oceniane pod kątem wpływu na prywatność, kwestie prawne, certyfikację, operacje oraz osoby, których dane dotyczą, a także otrzymać datę wygaśnięcia nieprzekraczającą 90 dni. Brakujące, niedokładne, niekompletne, zaległe lub niezatwierdzone dowody REG04 są traktowane jako niezgodność w REG12.