Politika riadenia incidentov týkajúcich sa osobných údajov a porušení ochrany osobných údajov vo finančnom sektore

Politika riadenia incidentov týkajúcich sa osobných údajov a porušení ochrany osobných údajov vo finančnom sektore definuje požiadavky na identifikáciu, hlásenie, triáž, klasifikáciu, posúdenie, zamedzenie šírenia, oznamovanie, dokumentovanie, uzatváranie a zlepšovanie na základe incidentov týkajúcich sa osobných údajov a porušení ochrany osobných údajov v rozsahoch PIMS vo finančnom sektore. Uplatňuje sa tam, kde organizácia vo finančnom sektore koná ako prevádzkovateľ osobných údajov, spoločný prevádzkovateľ, sprostredkovateľ alebo ďalší sprostredkovateľ, a vzťahuje sa aj na systémy, aplikácie, služby, procesy, dodávateľov, sprostredkovateľov, ďalších sprostredkovateľov a tretie strany, ktoré spracúvajú, uchovávajú, prenášajú, podporujú, pristupujú k osobným údajom alebo ich inak ovplyvňujú v rámci rozsahu. Politika je výslovne navrhnutá ako náhradný variant PII15 pre finančný sektor a vyžaduje, aby si organizácie pre rovnaký rozsah zvolili buď PII15, alebo PII15-FS, čím sa zabráni duplicitným povinnostiam, registrom a práci s auditnými dôkazmi. Účelom politiky je zabezpečiť, aby sa incidenty týkajúce sa osobných údajov a porušenia ochrany osobných údajov riešili konzistentne, včas, zákonne, bezpečne a s dôkazmi pripravenými na audit. REG10 — Register incidentov týkajúcich sa osobných údajov a porušení ochrany osobných údajov sa ustanovuje ako primárny dôkazový objekt, zatiaľ čo podporné registre prepájajú záznam o incidente so širším dôkazovým modelom PIMS. REG01 sa používa pre rozsah, zainteresované strany, sektorový, zákaznícky, zmluvný a reportovací kontext. REG02 prepája dotknuté spracovateľské činnosti, kategórie osobných údajov, kategórie dotknutých osôb, účely, systémy a služby. REG03 zachytáva Vyhlásenie o uplatniteľnosti a aktualizácie uplatniteľnosti kontrol vrátane nahradenia PII15 politikou PII15-FS. REG04 podporuje väzby na riziká ochrany súkromia, DPIA, zostatkové riziko a ošetrenie rizík, zatiaľ čo REG08, REG09, REG11 a REG12 pokrývajú rozhrania s tretími stranami, medzinárodné prenosy, školenia a dôkazy z auditu alebo nápravných opatrení. Z prevádzkového hľadiska politika vyžaduje, aby sa každý nahlásený alebo zistený podozrivý incident vo finančnom sektore týkajúci sa osobných údajov zaznamenal do REG10 do jedného pracovného dňa od prijatia alebo skôr, ak sa môžu spustiť lehoty na notifikáciu, zákaznícku komunikáciu alebo hlásenie. Incidenty musia byť do 24 hodín od prijatia klasifikované ako udalosť bez osobných údajov, podozrivý incident týkajúci sa osobných údajov, potvrdený incident týkajúci sa osobných údajov, potvrdené porušenie ochrany osobných údajov, incident vo finančnom sektore týkajúci sa osobných údajov, závažný incident vo finančnom sektore, významná kybernetická hrozba alebo položka čakajúca na klasifikáciu. Posúdenie porušenia ochrany osobných údajov musí zohľadniť dotknuté osobné údaje, dotknuté osoby, systémy, služby, spracovateľské činnosti, sprostredkovateľov, ďalších sprostredkovateľov, prenosy, riziká, zákazníkov, protistrany a nápravné opatrenia. Politika tiež vyžaduje uchovanie dôkazov, zamedzenie šírenia v určených lehotách, validáciu obnovy a zdokumentované rozhodnutia o uzatvorení, ktoré zahŕňajú klasifikáciu, rozhodnutie o notifikácii, stav zamedzenia šírenia, stav obnovy, zostatkové riziko, nápravné opatrenia a úplnosť dôkazov. Politika rozlišuje povinnosti prevádzkovateľa, spoločného prevádzkovateľa, sprostredkovateľa a ďalšieho sprostredkovateľa. Prevádzkovatelia musia zaznamenávať rozhodnutia o oznámení porušenia ochrany osobných údajov, pripraviť dôkazy o oznámení dozornému orgánu, ak sa vyžadujú, a preskúmať komunikáciu s dotknutou osobou, ak sa zistí vysoké riziko. Sprostredkovatelia a ďalší sprostredkovatelia musia posúdiť pokyny zákazníka, zmluvné notifikačné povinnosti, reťazce oznamovania smerom nahor a požiadavky na smerovanie dôkazov, pričom záznamy sa vedú v REG08 a REG10. Zodpovednosti spoločných prevádzkovateľov musia byť koordinované a zdokumentované pred príslušnými lehotami na externé oznámenie. Pri incidentoch s vysokým dopadom týkajúcich sa osobných údajov vo finančnom sektore a významných kybernetických hrozbách musí koordinátor reakcie na incidenty vyhodnotiť spúšťače regulačného hlásenia vo finančnom sektore a uchovať dôkazy o rozhodnutí v REG10. Správa, meranie a zlepšovanie sú zabudované do životného cyklu politiky. Vedúci ochrany súkromia / manažér PIMS musí preskúmavať otvorené incidenty v REG10 najmenej raz týždenne až do ich uzatvorenia a vrcholový manažment musí dostať eskaláciu pri potvrdených incidentoch s vysokým dopadom vo finančnom sektore, závažných incidentoch alebo významných kybernetických hrozbách do 24 hodín po klasifikácii. Metriky zahŕňajú mesačné počty podozrivých a potvrdených incidentov, porušení ochrany osobných údajov, závažných incidentov vo finančnom sektore a významných kybernetických hrozieb, ako aj včasnosť oznámenia porušenia ochrany osobných údajov, včasnosť hlásenia vo finančnom sektore, zamedzenie šírenia, obnovu, validáciu rekonštrukcie a výkonnosť reakcie tretích strán. Politika ďalej vyžaduje ročné preskúmanie, preskúmanie po incidente po závažných udalostiach, preskúmanie vnútorným auditom, riadenie výnimiek, uplatňovanie prostredníctvom nezhôd REG12 a nápravné školenie prostredníctvom REG11, ak dôjde k zlyhaniam povedomia alebo komunikácie.