Politiky ochrany osobných údajov

Politiky ochrany osobných údajov (P17) stanovujú komplexný rámec na ochranu osobných údajov a implementáciu princípov privacy-by-design naprieč organizáciou. Táto politika ustanovuje povinné organizačné a technologické požiadavky potrebné na splnenie medzinárodných noriem a vyvíjajúcich sa regulačných rámcov, čím zabezpečuje, že osobné údaje sa spracúvajú zákonným, bezpečným a transparentným spôsobom počas celého životného cyklu. Pokrytie sa vzťahuje na všetky organizačné jednotky, všetok personál a systémy, ktoré spracúvajú osobné údaje, či už na fyzických alebo digitálnych médiách, a zahŕňa cloudové služby, SaaS platformy a mobilné zariadenia. Politika je explicitná v rozsahu a objasňuje, že všetci zamestnanci, dodávatelia a tretie strany podliehajú jej požiadavkám. Zahrnuté sú všetky prostredia, v ktorých sa osobné údaje nachádzajú: produkčné, vývojové, testovacie alebo zálohovacie. Politika rieši nielen zber, uchovávanie a používanie osobných údajov, ale aj uchovávanie, likvidáciu, cezhraničné prenosy a vybavovanie práv dotknutých osôb. Kľúčovým cieľom politiky je zabezpečiť súlad s poprednými predpismi a normami: GDPR (články 5, 6, 12–23, 25, 28, 30, 32–34; odôvodnenie 78), EU NIS2, EU DORA, ISO/IEC 27001:2022 (články 5.1, 6.1.3, 8.1, 10.1), ISO/IEC 27002:2022 (kontroly 5.34, 8.10, 8.11), NIST SP 800-53 Rev. 5 (rôzne kontroly) a COBIT 2019 (APO12, DSS01, DSS05, MEA). Na tento účel nariaďuje priradenie rolí a štruktúr zodpovednosti: vrcholové vedenie zabezpečuje strategický dohľad; DPO koordinuje procesy súladu, presadzovanie práv dotknutých osôb a interakciu s dozornými orgánmi; a bezpečnosť, právne záležitosti a súlad s predpismi, vlastníci údajov a prevádzka IT spoločne implementujú technologické a organizačné ochranné opatrenia, udržiavajú registre a riadia porušenia. Politika vyžaduje formálny rámec správy ochrany súkromia integrovaný so systémom manažérstva informačnej bezpečnosti (ISMS) organizácie na konzistentné vynucovanie. Vymedzuje procesy na udržiavanie registrov rizík ochrany súkromia, vykonávanie DPIA pri spracúvaní s vysokým rizikom a zabezpečenie, aby boli kontroly ochrany súkromia (od minimalizácie údajov a pseudonymizácie až po plánovanie uchovávania a bezpečnú likvidáciu) hlboko zabudované. Zákonné spracúvanie a zdokumentované právne základy sú základom, s explicitným riadením súhlasu, inventárov údajov a cezhraničných tokov údajov. Žiadosti dotknutých osôb sa vybavujú v stanovených lehotách a zaznamenávajú sa na účely vysledovateľnosti a podrobne sú opísané robustné rámce pre riadenie porušení, ošetrenie výnimiek a dohľad nad tretími stranami. Pravidelné preskúmania, auditné stopy a požiadavka na ročné (alebo ad hoc) IT audity pomáhajú zabezpečiť, aby politika zostala účinná a reagovala na regulačné zmeny, auditné zistenia alebo závažné incidenty. Každá významná aktualizácia musí byť schválená vrcholovým vedením a zdokumentovaná v ISMS. Táto politika tvorí integrálnu súčasť širšieho systému informačnej bezpečnosti a riadenia rizík organizácie a úzko nadväzuje na doplnkové politiky o reakcii na incidenty, riadení rizík, klasifikácii, uchovávaní, maskovaní údajov a auditnom monitorovaní.