Politika riadenia incidentov týkajúcich sa osobných údajov a porušení ochrany osobných údajov

Politika riadenia incidentov týkajúcich sa osobných údajov a porušení ochrany osobných údajov definuje, ako organizácia identifikuje, hlási, triedi, posudzuje, obmedzuje, notifikuje, dokumentuje, uzatvára a zlepšuje sa na základe incidentov týkajúcich sa osobných údajov a porušení ochrany osobných údajov v rámci rozsahu systému riadenia informácií o súkromí. Jej deklarovaným účelom je zabezpečiť, aby sa incidenty a porušenia ochrany údajov riešili konzistentne, včas, zákonne, bezpečne a s dôkazmi pripravenými na audit. Politika sa uplatňuje v kontextoch prevádzkovateľa, spoločného prevádzkovateľa, sprostredkovateľa a ďalšieho sprostredkovateľa a vzťahuje sa na systémy, aplikácie, služby, procesy, dodávateľov, sprostredkovateľov, ďalších sprostredkovateľov a tretie strany, ktoré spracúvajú, uchovávajú, prenášajú, podporujú, sprístupňujú alebo inak ovplyvňujú osobné údaje v rozsahu PIMS. Ústredným prvkom politiky je jej integrovaný dôkazový model. REG10 — Register incidentov týkajúcich sa osobných údajov a porušení ochrany osobných údajov je primárny dôkazový objekt pre riadenie incidentov a porušení ochrany údajov, zatiaľ čo podporné registre poskytujú kontext a sledovateľnosť. REG01 podporuje kontext rozsahu, právny, zmluvný, odvetvový, zákaznícky a oznamovací kontext. REG02 prepája dotknuté spracovateľské činnosti, kategórie PII, kategórie dotknutých osôb, účely a systémy. REG04 podporuje prepojenie na riziká ochrany súkromia, DPIA a zostatkové riziko. REG08 zaznamenáva rozhrania incidentov so sprostredkovateľmi, ďalšími sprostredkovateľmi, zákazníkmi, dodávateľmi a tretími stranami. REG09 sa používa, keď incidenty ovplyvňujú cezhraničné spracúvanie, REG11 podporuje dôkazy o školeniach a kompetenciách a REG12 zachytáva dôkazy o audite, nezhodách, nápravných opatreniach a zlepšovaní. Táto štruktúra pomáha zabezpečiť, aby záznamy o incidentoch neboli izolované od širšieho PIMS. Politika stanovuje podrobné požiadavky na pripravenosť, príjem, klasifikáciu, posúdenie porušenia ochrany osobných údajov, zamedzenie šírenia, obnovu, notifikáciu, komunikáciu, ochranu dôkazov a získané poznatky. Podozrivé incidenty týkajúce sa osobných údajov musia byť zaznamenané bezodkladne, pričom každý nahlásený alebo zistený podozrivý incident musí byť zapísaný do REG10 do jedného pracovného dňa od prijatia alebo skôr, ak môžu byť spustené lehoty na notifikáciu alebo hlásenie zákazníkovi. Technická triáž bezpečnostných udalostí zahŕňajúcich osobné údaje musí byť dokončená do 24 hodín od zistenia a každý záznam REG10 musí byť do 24 hodín od prijatia klasifikovaný ako udalosť bez PII, podozrivý incident týkajúci sa osobných údajov, potvrdený incident týkajúci sa osobných údajov alebo potvrdené porušenie ochrany osobných údajov, ak nie je zdokumentovaný dôvod čakajúcej klasifikácie. Pri posúdení porušenia ochrany osobných údajov politika vyžaduje identifikáciu dotknutých spracovateľských činností, kategórií PII, kategórií dotknutých osôb, systémov, sprostredkovateľov, ďalších sprostredkovateľov, miest prenosu a rizík ochrany súkromia pred finalizáciou rozhodnutí o notifikácii. Notifikačné a komunikačné povinnosti sú oddelené podľa roly. Pre prevádzkovateľov politika vyžaduje zdokumentované rozhodnutia o notifikácii regulačnému orgánu pri každom potvrdenom porušení ochrany osobných údajov bez zbytočného odkladu, pričom notifikácia, odôvodnenie neuskutočnenia notifikácie alebo odôvodnenie oneskorenia sa uchovávajú v REG10. Ak je spustená komunikácia s dotknutými osobami, politika vyžaduje zaznamenanie obsahu, cieľovej skupiny, načasovania, spôsobu doručenia a dôkazov o schválení. Pre sprostredkovateľov a ďalších sprostredkovateľov politika vyžaduje notifikáciu dotknutým prevádzkovateľom, zákazníkom, nadradeným sprostredkovateľom alebo prostredníctvom schválených zmluvných kanálov bez zbytočného odkladu a v príslušných zmluvných lehotách. Pri incidentoch s vysokým dopadom týkajúcich sa osobných údajov vyžaduje aj vyhodnotenie právnych, odvetvových, finančno-sektorových, kyberneticko-bezpečnostných, zmluvných a zákazníckych spúšťačov hlásenia a spúšťačov hlásenia príjemcov služieb, ak sú uplatniteľné. Správa a riadenie, meranie a zlepšovanie sú zabudované do procesu. Vedúci ochrany súkromia / manažér PIMS vlastní proces riadenia incidentov a porušení ochrany údajov a musí zabezpečiť udržiavanie REG10 až do uzavretia. Koordinátor reakcie na incidenty riadi príjem, triáž, pracovný tok zamedzenia šírenia, sledovanie stavu, uzavretie a získané poznatky. Informačná bezpečnosť vedie technické vyšetrovanie, zamedzenie šírenia, odstránenie, obnovu, uchovanie dôkazov a analýzu koreňovej príčiny tam, kde sú zapojené systémy alebo bezpečnostné kontroly. Vrcholový manažment dostáva eskaláciu pri potvrdených incidentoch s vysokým dopadom týkajúcich sa osobných údajov do 24 hodín od klasifikácie a počas preskúmania manažmentom preskúmava incidenty s vysokým dopadom, porušenia podliehajúce oznamovaniu, oneskorené nápravné opatrenia a podstatné dopady. Metriky zahŕňajú objemy incidentov, časy klasifikácie a zamedzenia šírenia, včasnosť notifikácií, dobu otvorenosti nápravných opatrení, výkonnosť reakcie tretích strán a absolvovanie cvičení. Politika tiež vyžaduje ročné preskúmanie, poincidentnú revíziu po incidentoch s vysokým dopadom alebo potvrdených porušeniach ochrany údajov a ročné preskúmanie implementácie vnútorným auditom.