Politica de evaluare a riscurilor privind confidențialitatea și DPIA

Politica de evaluare a riscurilor privind confidențialitatea și DPIA definește modul în care o organizație identifică, evaluează, tratează, aprobă, revizuiește și documentează prin dovezi riscurile privind confidențialitatea în cadrul domeniului de aplicare al PIMS. Scopul acesteia este să asigure că riscurile privind confidențialitatea și obligațiile DPIA sunt abordate înainte ca prelucrarea PII să creeze un risc inacceptabil pentru persoanele vizate sau pentru PIMS. Politica se aplică activităților noi și modificate semnificativ de prelucrare a PII în contexte de operator de date, operator asociat, persoană împuternicită și persoană subîmputernicită. Aceasta acoperă, de asemenea, sisteme, aplicații, servicii, procese de afaceri, furnizori, persoane împuternicite, persoane subîmputernicite, transferuri internaționale și relații de partajare a datelor care afectează prelucrarea PII. O caracteristică centrală a politicii este modelul operațional bazat pe REG04. Evaluarea preliminară a riscurilor privind confidențialitatea, evaluarea preliminară DPIA, evaluarea riscurilor, planurile de tratament, acceptarea riscului rezidual, deciziile de consultare, aprobările și starea revizuirii sunt documentate în REG04, cu dovezi-suport corelate cu REG02, REG03, REG08, REG09, REG10, REG11 și REG12. Politica evită în mod expres crearea unor registre separate pentru DPIA, risc sau consultare în afara REG04. Aceasta contribuie la menținerea unei piste unice de dovezi pentru rezultatele evaluării preliminare, deciziile privind DPIA completă, ratingurile de risc, proprietarii tratamentului, termene-limită, riscul rezidual, starea aprobării și datele revizuirii. Politica stabilește declanșatoare obligatorii pentru evaluarea preliminară a riscurilor privind confidențialitatea și determinarea necesității unei DPIA complete. Proprietarii proceselor/proprietarii afacerii trebuie să inițieze evaluarea preliminară REG04 înainte de începerea prelucrării noi sau modificate semnificativ înregistrate în REG02. Prelucrarea efectuată de operatorul de date care este probabil să genereze un risc ridicat necesită o DPIA completă înainte de începerea prelucrării. Politica evidențiază prelucrarea care implică activitate la scară largă, monitorizare sistematică, creare de profiluri, decizii automatizate, PII din categorii speciale, date privind condamnările penale sau infracțiunile, persoane vizate vulnerabile, tehnologie inovatoare și modificare semnificativă a prelucrării ca aspecte care trebuie transmise responsabilului pentru confidențialitate/managerului PIMS înainte de începerea prelucrării. De asemenea, politica impune reluarea evaluării preliminare înainte de utilizarea PII pentru un scop nou, adăugarea unui nou destinatar, introducerea unei noi persoane împuternicite sau persoane subîmputernicite, modificarea arhitecturii sistemului sau inițierea unui nou transfer internațional. Tratamentul riscului și escaladarea sunt, de asemenea, definite clar. Atunci când riscul privind confidențialitatea depășește pragul de acceptare aprobat, proprietarul procesului/proprietarul afacerii trebuie să înregistreze un plan de tratament în REG04 înainte ca prelucrarea să continue. Acțiunile privind securitatea, proiectarea sistemului, furnizorii, aspectele contractuale și de asigurare sunt atribuite rolului relevant și trebuie implementate înainte de intrarea în producție, integrare, reînnoire sau termenul-limită aprobat. Riscul rezidual ridicat privind confidențialitatea pentru prelucrarea efectuată de operatorul de date necesită aprobarea conducerii de vârf înainte ca prelucrarea să înceapă sau să continue. Atunci când riscul rezidual ridicat rămâne după tratament, responsabilul pentru confidențialitate/managerul PIMS înregistrează decizia de consultare prealabilă în REG04, iar conducerea de vârf aprobă acțiunile de continuare, suspendare, reproiectare sau consultare înainte ca prelucrarea să continue. Cerințele de guvernanță, monitorizare și respectare a cerințelor asigură că procesul rămâne activ după aprobarea inițială. Responsabilul pentru confidențialitate/managerul PIMS revizuiește lunar riscurile privind confidențialitatea deschise și acțiunile de tratament restante, raportează trimestrial și înainte de revizuirea de management starea riscurilor privind confidențialitatea și DPIA și reconciliază înregistrările active de risc REG04 cu înregistrările din inventarul prelucrărilor REG02. Politica definește metrici pentru acoperirea evaluării preliminare, DPIA complete active, revizuiri restante, riscuri reziduale ridicate, starea acțiunilor de tratament, timpul mediu de închidere, acțiuni ale furnizorilor, acțiuni de tratament privind securitatea, reevaluare determinată de incidente și constatări de audit. Excepțiile trebuie solicitate înainte de abatere, evaluate din perspectiva impactului asupra confidențialității, juridic, de certificare, operațional și asupra persoanelor vizate și trebuie să primească o dată de expirare care nu depășește 90 de zile. Dovezile REG04 lipsă, inexacte, incomplete, restante sau neaprobate sunt tratate ca neconformitate în REG12.