Politika posúdenia rizík ochrany súkromia a DPIA

Politika posúdenia rizík ochrany súkromia a DPIA definuje, ako organizácia identifikuje, posudzuje, ošetruje, schvaľuje, preskúmava a dokladá riziká ochrany súkromia v rámci rozsahu PIMS. Jej účelom je zabezpečiť, aby sa riziká ochrany súkromia a povinnosti DPIA riešili skôr, ako spracúvanie osobných údajov vytvorí neprijateľné riziko pre dotknuté osoby alebo pre PIMS. Politika sa vzťahuje na nové a podstatne zmenené činnosti spracúvania osobných údajov v kontextoch prevádzkovateľa, spoločného prevádzkovateľa, sprostredkovateľa a ďalšieho sprostredkovateľa. Zahŕňa aj systémy, aplikácie, služby, obchodné procesy, dodávateľov, sprostredkovateľov, ďalších sprostredkovateľov, medzinárodné prenosy a nastavenia zdieľania údajov, ktoré ovplyvňujú spracúvanie osobných údajov. Ústredným prvkom politiky je prevádzkový model založený na REG04. Preverenie rizík ochrany súkromia, preverenie potreby DPIA, posúdenie rizík, plány ošetrenia rizík, akceptácia zvyškového rizika, rozhodnutia o predchádzajúcej konzultácii, schválenia a stav preskúmania sa dokumentujú v REG04, pričom podporné dôkazy sú prepojené s REG02, REG03, REG08, REG09, REG10, REG11 a REG12. Politika výslovne predchádza vytváraniu samostatných registrov DPIA, rizík alebo predchádzajúcich konzultácií mimo REG04. Pomáha to zachovať jednotnú dôkazovú stopu pre výsledky preverenia, rozhodnutia o úplnej DPIA, hodnotenia rizika, vlastníkov ošetrenia, lehoty plnenia, zvyškové riziko, stav schválenia a dátumy preskúmania. Politika stanovuje povinné spúšťače preverenia rizík ochrany súkromia a určenia potreby úplnej DPIA. Vlastníci procesov / vlastníci organizácie musia iniciovať preverenie v REG04 pred začatím nového alebo podstatne zmeneného spracúvania zaznamenaného v REG02. Spracúvanie prevádzkovateľom, pri ktorom je pravdepodobné vysoké riziko, vyžaduje úplnú DPIA pred začatím spracúvania. Politika osobitne uvádza spracúvanie zahŕňajúce činnosť vo veľkom rozsahu, systematické monitorovanie, profilovanie, automatizované rozhodovanie, osobitné kategórie osobných údajov, údaje o odsúdeniach za trestné činy alebo o priestupkoch, zraniteľné dotknuté osoby, inovatívnu technológiu a podstatnú zmenu spracúvania ako záležitosti, ktoré sa musia postúpiť vedúcemu ochrany súkromia / manažérovi PIMS pred začatím spracúvania. Vyžaduje tiež opätovné preverenie pred použitím osobných údajov na nový účel, pridaním nového príjemcu, zavedením nového sprostredkovateľa alebo ďalšieho sprostredkovateľa, zmenou systémovej architektúry alebo začatím nového medzinárodného prenosu. Jasne sú definované aj ošetrenie rizík a eskalácia. Ak riziko ochrany súkromia prekročí schválenú prahovú hodnotu akceptácie, vlastník procesu / vlastník organizácie musí v REG04 zaznamenať plán ošetrenia rizík pred pokračovaním spracúvania. Činnosti v oblasti bezpečnosti, návrhu systému, dodávateľov, zmluvných podmienok a uistenia sa priraďujú príslušnej role a musia sa vykonať pred spustením do produkčného prostredia, zavedením dodávateľa, obnovením zmluvy alebo schválenou lehotou plnenia. Vysoké zvyškové riziko ochrany súkromia pri spracúvaní prevádzkovateľom vyžaduje schválenie vrcholovým manažmentom pred začatím alebo pokračovaním spracúvania. Ak po ošetrení zostáva vysoké zvyškové riziko, vedúci ochrany súkromia / manažér PIMS zaznamená rozhodnutie o predchádzajúcej konzultácii v REG04 a vrcholový manažment schváli pokračovanie, pozastavenie, prepracovanie návrhu alebo konzultačné kroky pred pokračovaním spracúvania. Požiadavky na správu a riadenie, monitorovanie a uplatňovanie politiky zabezpečujú, aby proces zostal aktívny aj po počiatočnom schválení. Vedúci ochrany súkromia / manažér PIMS mesačne preskúmava otvorené riziká ochrany súkromia a omeškané činnosti ošetrenia, štvrťročne a pred preskúmaním manažmentom predkladá stav rizík ochrany súkromia a DPIA a zosúlaďuje aktívne záznamy o rizikách v REG04 so záznamami v evidencii spracúvania REG02. Politika definuje metriky pokrytia prevereniami, aktívnych úplných DPIA, omeškaných preskúmaní, vysokých zvyškových rizík, stavu činností ošetrenia, priemerného času uzavretia, činností dodávateľov, bezpečnostných činností ošetrenia, prehodnotenia vyvolaného incidentom a auditných zistení. Výnimky sa musia vyžiadať pred odchýlkou, posúdiť z hľadiska dopadu na ochranu súkromia, právnych požiadaviek, certifikácie, prevádzky a dotknutých osôb a musí sa im určiť dátum skončenia platnosti s platnosťou nepresahujúcou 90 dní. Chýbajúce, nepresné, neúplné, omeškané alebo neschválené dôkazy REG04 sa považujú za nezhodu v REG12.