Politica de protecție a datelor și confidențialitate

Politica de protecție a datelor și confidențialitate (P17) stabilește un cadru cuprinzător pentru protecția datelor cu caracter personal și implementarea principiilor de confidențialitate prin proiectare în întreaga organizație. Această politică stabilește cerințele organizaționale și tehnice obligatorii necesare pentru a respecta standardele internaționale și cadrele de reglementare în evoluție, asigurând că datele cu caracter personal sunt gestionate într-un mod legal, sigur și transparent pe tot parcursul ciclului lor de viață. Acoperirea se extinde la toate unitățile organizaționale, întregul personal și sistemele care prelucrează date cu caracter personal, fie pe suport fizic, fie digital, și include servicii cloud, platforme SaaS și dispozitive mobile. Politica este explicită în ceea ce privește domeniul de aplicare, clarificând faptul că toți angajații, contractanții și terții sunt supuși cerințelor sale. Sunt incluse toate mediile în care se află date cu caracter personal — mediu de producție, dezvoltare, testare sau sisteme de backup. Politica abordează nu doar colectarea, stocarea și utilizarea datelor cu caracter personal, ci și păstrarea, eliminarea, transferurile transfrontaliere și gestionarea drepturilor persoanelor vizate. Un obiectiv central al politicii este asigurarea conformității cu reglementări și standarde de referință: GDPR (Articolele 5, 6, 12–23, 25, 28, 30, 32–34; Considerentul 78), EU NIS2, EU DORA, ISO/IEC 27001:2022 (Clauzele 5.1, 6.1.3, 8.1, 10.1), ISO/IEC 27002:2022 (Controalele 5.34, 8.10, 8.11), NIST SP 800-53 Rev. 5 (diverse controale) și COBIT 2019 (APO12, DSS01, DSS05, MEA). În acest scop, impune atribuirea rolurilor și a structurilor de responsabilitate: Conducerea executivă asigură supravegherea strategică; DPO coordonează procesele de conformitate, aplicarea drepturilor persoanelor vizate și interacțiunea cu autoritățile de supraveghere; iar Securitatea, Juridicul, Proprietarii de date și IT implementează în colaborare măsuri de protecție tehnice și organizaționale, mențin registre și gestionează încălcările securității datelor. Politica impune un cadru de guvernanță a confidențialității integrat cu Sistemul de management al securității informației (SMSI) al organizației pentru aplicare consecventă. Aceasta delimitează procesele pentru menținerea registrelor de risc privind confidențialitatea, efectuarea DPIA pentru prelucrări cu risc ridicat și asigurarea faptului că controalele de confidențialitate (de la minimizarea datelor și pseudonimizare până la programarea păstrării și eliminarea securizată) sunt profund integrate. Prelucrarea legală a informațiilor și temeiurile juridice documentate sunt fundamentale, cu management explicit al consimțământului, inventarelor de date și fluxurilor transfrontaliere de date. Solicitările persoanelor vizate sunt gestionate în termene stabilite și jurnalizate pentru trasabilitate, iar cadre robuste pentru managementul încălcărilor securității datelor, gestionarea excepțiilor și supravegherea furnizorilor terți de servicii sunt descrise în detaliu. Revizuirile regulate, pistele de audit și cerința de audituri interne anuale (sau ad-hoc) ajută la asigurarea faptului că politica rămâne eficace și receptivă la schimbări de reglementare, constatări de audit sau incidente majore. Fiecare actualizare semnificativă trebuie aprobată de Conducerea executivă și documentată în SMSI. Această politică reprezintă o parte integrantă a sistemului mai larg de securitate a informației și management al riscului al organizației, fiind strâns legată de politici complementare privind răspunsul la incidente, managementul riscurilor, clasificarea, păstrarea, mascarea datelor și monitorizarea auditului.