Politika systému manažérstva ochrany súkromia (PIMS)

Politika systému manažérstva ochrany súkromia (PIMS) ustanovuje PIMS organizácie pre spracúvanie osobne identifikovateľných informácií v kontextoch prevádzkovateľa, spoločného prevádzkovateľa, sprostredkovateľa a ďalšieho sprostredkovateľa. Jej uvedeným účelom je definovať povinné požiadavky na správu a riadenie pri zavádzaní, implementácii, udržiavaní, monitorovaní a neustálom zlepšovaní PIMS. Politika je navrhnutá tak, aby podporovala zodpovedné, rizikovo orientované a dôkazmi podložené riadenie spracúvania osobných údajov naprieč uplatniteľnými rolami PIMS. Vzťahuje sa na rozsah PIMS, organizačný kontext, zainteresované strany, hranice, určenie rolí, politiku ochrany súkromia, ciele ochrany súkromia, posúdenie rizík ochrany súkromia, ošetrenie rizík ochrany súkromia, Vyhlásenie o uplatniteľnosti PIMS, správu a riadenie, monitorovanie, vnútorný audit, preskúmanie manažmentom, nezhody, nápravné opatrenia a zdokumentované dôkazy potrebné na preukázanie zhody a preukázateľnej zodpovednosti. Ústredným prvkom politiky je dôraz na vymedzenú zodpovednosť. Vrcholový manažment musí schváliť rozsah PIMS v REG01 pred úvodnou implementáciou a do 30 dní od akejkoľvek podstatnej zmeny, každoročne schváliť politiku a ciele PIMS v REG12 a počas preskúmania manažmentom preskúmať výkonnosť, otvorené riziká, nezhody, nápravné opatrenia a rozhodnutia o zlepšení. Vedúci ochrany súkromia / manažér PIMS udržiava základné záznamy PIMS vrátane otázok kontextu, zainteresovaných strán, cieľov, Vyhlásenia o uplatniteľnosti, rozhodnutí o ošetrení rizík, indexu dôkazov, metrík, výnimiek, nápravných opatrení a záznamov o preskúmaní politiky. Vlastníci procesov klasifikujú rolu PIMS organizácie pre každú činnosť spracúvania osobných údajov pred začatím spracúvania, zatiaľ čo vlastníci dodávateľov / obstarávania dokumentujú rozdelenie zodpovedností spoločného prevádzkovateľa, pokyny zákazníka na spracúvanie, schválené nastavenia ďalšieho sprostredkovania, správu a riadenie dodávateľov a externe poskytované procesy relevantné pre PIMS. Politika prepája správu a riadenie PIMS s prevádzkovou kontrolou. Posúdenie rizík ochrany súkromia musí byť iniciované pred začatím nového alebo podstatne zmeneného spracúvania osobných údajov a potreba DPIA musí byť určená pred pokračovaním vysoko rizikového alebo podstatne zmeneného spracúvania vykonávaného prevádzkovateľom. Schválené rozhodnutia o ošetrení rizík ochrany súkromia sa zaznamenávajú pred implementáciou ošetrenia a vlastníci systémov musia potvrdiť prevádzkové kontroly PIMS pred spustením systémov spracúvajúcich osobné údaje do produkčného prostredia. Vedúci informačnej bezpečnosti je zodpovedný za zdokumentovanie uplatniteľnej referenčnej úrovne bezpečnosti PII a udržiavanie stavu implementácie bezpečnostných kontrol, čím prepája správu a riadenie ochrany súkromia s referenčnou úrovňou bezpečnosti PII a Vyhlásením o uplatniteľnosti. Táto štruktúra pomáha zabezpečiť, aby rozsah, činnosti spracúvania, uplatniteľnosť kontrol, dodávateľské nastavenia a záznamy o rizikách zostali zosúladené pred preskúmaním manažmentom a zmenami súvisiacimi s certifikáciou. Politika tiež definuje požiadavky na auditovateľnosť a neustále zlepšovanie. Vedúci ochrany súkromia / manažér PIMS musí udržiavať index dôkazov PIMS pred každým vnútorným auditom, uchovávať zdokumentované informácie podľa požiadaviek na uchovávanie dôkazov, štvrťročne udržiavať metriky výkonnosti a pred preskúmaním manažmentom vykazovať stav cieľov. Minimálny súbor meraní zahŕňa percentuálny podiel činností spracúvania v rozsahu s aktuálnou klasifikáciou rolí, percentuálny podiel uplatniteľných kontrol s aktuálnym stavom implementácie, otvorené nezhody a nápravné opatrenia po lehote a posúdenia rizík ochrany súkromia čakajúce na schválenie. Preskúmavatelia vnútorného auditu / súladu musia nahlásiť výsledky preskúmania do 15 pracovných dní, vzorkovaním overovať úplnosť dôkazov počas vnútorných auditov, overovať dôkazy o uzavretí výnimiek po uplynutí platnosti a overiť účinnosť nápravných opatrení do 30 dní od nahláseného uzavretia. Výnimky, uplatňovanie politiky a údržba sú riešené ako formálne procesy PIMS, nie ako neformálne odchýlky. Požadované výnimky musia byť zdokumentované pred vznikom odchýlky, posúdené z hľadiska rizika ochrany súkromia pred schválením a štvrťročne preskúmavané až do uzavretia. Výnimky, ktoré prekračujú prijaté prahové hodnoty rizika ochrany súkromia, vyžadujú pred implementáciou schválenie vrcholovým manažmentom. Podozrenia na nezhody musia byť zaznamenané do piatich pracovných dní, závažné nápravné opatrenia po lehote musia byť eskalované vrcholovému manažmentu a nevyriešené závažné nezhody musia byť preskúmané pri každom preskúmaní manažmentom. Samotná politika sa preskúmava každoročne a do 30 dní od podstatných zmien právneho, organizačného, spracovateľského, technologického alebo certifikačného rozsahu, pričom schválené zmeny sa komunikujú v REG11 do 30 dní od zverejnenia.