Polityka ról, odpowiedzialności i rozliczalności w zakresie prywatności

Polityka ról, odpowiedzialności i rozliczalności w zakresie prywatności określa, w jaki sposób organizacja przypisuje, dokumentuje, komunikuje, przegląda i doskonali odpowiedzialności w ramach systemu zarządzania informacjami o prywatności. Jej zakres obejmuje personel, funkcje, systemy, dostawców, podmioty przetwarzające, podwykonawców przetwarzania oraz relacje współadministratorów, które uczestniczą w przetwarzaniu PII w zakresie PIMS lub wywierają na nie wpływ. Polityka ma zastosowanie w kontekście administratora, współadministratora, podmiotu przetwarzającego i podwykonawcy przetwarzania, dlatego jest istotna dla pełnego zestawu operacyjnych modeli prywatności opisanych w dokumencie. Wyjaśnia również, że nie tworzy nowych stanowisk organizacyjnych; definiuje natomiast kanoniczne role PIMS, które mogą zostać przypisane istniejącemu personelowi lub funkcjom, gdy udokumentowano wymagane przypisanie, kompetencje, niezależność oraz wymagania dotyczące konfliktu interesów. Polityka ustanawia ustrukturyzowany model ról PIMS oraz podejście do rozliczalności oparte na dowodach. Najwyższe kierownictwo musi zatwierdzić kanoniczny model ról w REG01 przed pierwszym wdrożeniem, a następnie co roku. Osoba odpowiedzialna za prywatność / Menedżer PIMS utrzymuje imienne przypisania ról, zakresy odpowiedzialności i poziomy uprawnień w REG01, w tym aktualizacje po zmianach personalnych lub organizacyjnych. Własność przetwarzania jest powiązana z REG02, w którym właściciele procesów / właściciele biznesowi przypisują rozliczalnych właścicieli dla każdej czynności przetwarzania PII przed rozpoczęciem przetwarzania, a właściciele systemów / właściciele aplikacji dokumentują rozliczalnych właścicieli systemów przed uruchomieniem produkcyjnym. Własność relacji z dostawcami, podmiotami przetwarzającymi, podwykonawcami przetwarzania, stronami trzecimi w zakresie udostępniania danych oraz współadministratorami jest rejestrowana w REG08 przed onboardingiem lub zatwierdzeniem umowy. Centralnym elementem polityki jest zarządzanie łączeniem ról, rozdzieleniem obowiązków i niezależnością. Polityka dopuszcza praktyczne łączenie ról, w tym w małych i średnich organizacjach, ale wymaga dokumentacji przed wejściem takich połączeń w życie. Łączenie ról obejmujące Osobę odpowiedzialną za prywatność / Menedżera PIMS, Inspektora Ochrony Danych (IOD) / Doradcę ds. prywatności, osobę odpowiedzialną za bezpieczeństwo informacji, Koordynatora reagowania na incydenty lub osobę dokonującą przeglądu w ramach audytu wewnętrznego / zgodności wymaga zatwierdzenia przez najwyższe kierownictwo w REG01. Osoba dokonująca przeglądu w ramach audytu wewnętrznego / zgodności musi przed każdym audytem lub przeglądem zgodności udokumentować w REG12 niezależność od przeglądanego procesu PIMS. Jeżeli konfliktów w zakresie rozdzielenia obowiązków nie można uniknąć, należy odnotować środki kompensujące, a Inspektor Ochrony Danych (IOD) / Doradca ds. prywatności musi odnotować kwestie dotyczące niezależności lub konfliktu interesów w ciągu pięciu dni roboczych od ich identyfikacji. Polityka definiuje również rozliczalność w ramach odpowiedzialności administratora, współadministratora, podmiotu przetwarzającego i podwykonawcy przetwarzania. Przetwarzanie przez administratora wymaga odnotowania własności odpowiedzialności, własności celu i własności dowodów w REG02 przed rozpoczęciem przetwarzania. Podział odpowiedzialności współadministratorów, własność poleceń klienta dla podmiotu przetwarzającego, własność nadzoru nad podwykonawcami przetwarzania, status zatwierdzenia oraz ścieżki eskalacji odpowiedzialności stron trzecich są zarządzane poprzez REG08. Osoba odpowiedzialna za prywatność / Menedżer PIMS weryfikuje zapisy klasyfikacji ról w REG02 i REG08 kwartalnie oraz w ciągu 15 dni roboczych od istotnej zmiany. Polityka wymaga ponadto dokumentowania w zdefiniowanych obiektach dowodowych doradztwa w zakresie prywatności, wkładu dotyczącego odpowiedzialności za bezpieczeństwo PII, odpowiedzialności za eskalację naruszeń i incydentów dotyczących prywatności, nierozstrzygniętych sporów dotyczących odpowiedzialności oraz eskalacji związanych z rolami. Ład zarządczy, pomiar, wyjątki, stosowanie polityki i utrzymanie są wbudowane w model rozliczalności. Najwyższe kierownictwo przegląda kompletność, nieobsadzone role, konflikty ról, wyjątki dotyczące rozliczalności oraz metryki podczas przeglądu zarządzania. Osoba odpowiedzialna za prywatność / Menedżer PIMS przeprowadza kwartalne przeglądy rozliczalności, śledzi nieobsadzone i łączone role, raportuje ukończenie działań w zakresie świadomości ról, zarządza wyjątkami z określonymi limitami wygaśnięcia oraz rejestruje brakujące, niedokładne lub nieaktualne przypisania jako niezgodności. Właściciele procesów / właściciele biznesowi muszą zapobiec uruchomieniu produkcyjnemu nowego lub zmienionego przetwarzania PII, jeżeli brakuje wymaganych dowodów ról i rozliczalności. Osoby dokonujące przeglądu w ramach audytu wewnętrznego / zgodności testują dowody ról, raportują ustalenia oraz weryfikują skuteczność działań korygujących. Sama polityka musi być przeglądana corocznie oraz w ciągu 30 dni od istotnej zmiany modelu ról PIMS.