Politika rolí, zodpovedností a preukázateľnej zodpovednosti v oblasti ochrany súkromia

Politika rolí, zodpovedností a preukázateľnej zodpovednosti v oblasti ochrany súkromia definuje, ako organizácia priraďuje, dokumentuje, komunikuje, preskúmava a zlepšuje zodpovednosti v rámci svojho systému PIMS. Jej rozsah zahŕňa personál, funkcie, systémy, dodávateľov, sprostredkovateľov, ďalších sprostredkovateľov a vzťahy spoločného prevádzkovateľa, ktoré sa podieľajú na spracúvaní PII v rámci rozsahu PIMS alebo ho ovplyvňujú. Politika sa uplatňuje v kontextoch prevádzkovateľa, spoločného prevádzkovateľa, sprostredkovateľa a ďalšieho sprostredkovateľa, čím je relevantná pre celý súbor prevádzkových modelov ochrany súkromia opísaných v dokumente. Zároveň objasňuje, že nevytvára nové organizačné pracovné pozície; namiesto toho definuje kanonické roly PIMS, ktoré možno priradiť existujúcemu personálu alebo funkciám, ak sú zdokumentované požiadavky na priradenie, odbornú spôsobilosť, nezávislosť a konflikt záujmov. Politika ustanovuje štruktúrovaný model rolí PIMS a prístup k preukázateľnej zodpovednosti založený na dôkazoch. Vrcholový manažment musí schváliť kanonický model rolí v REG01 pred počiatočnou implementáciou a následne každoročne. Vedúci ochrany súkromia / manažér PIMS udržiava v REG01 menovité priradenia rolí, rozsahy zodpovednosti a úrovne právomocí vrátane aktualizácií po personálnych alebo organizačných zmenách. Vlastníctvo spracúvania je naviazané na REG02, kde vlastníci procesov / vlastníci organizácie priraďujú zodpovedných vlastníkov za každú činnosť spracúvania PII pred začatím spracúvania a vlastníci systémov / vlastníci aplikácií dokumentujú zodpovedných vlastníkov systémov pred spustením do produkčného prostredia. Vlastníctvo vzťahov s dodávateľmi, sprostredkovateľmi, ďalšími sprostredkovateľmi, zdieľaním údajov s tretími stranami a spoločnými prevádzkovateľmi sa zaznamenáva v REG08 pred zavedením dodávateľa alebo schválením dohody. Ústrednou súčasťou politiky je riadenie kombinácií rolí, oddelenia povinností a nezávislosti. Politika umožňuje praktickú kombináciu rolí, a to aj pre malé a stredné organizácie, vyžaduje však dokumentáciu pred tým, ako kombinácie nadobudnú účinnosť. Kombinácie rolí zahŕňajúce vedúceho ochrany súkromia / manažéra PIMS, zodpovednú osobu pre ochranu osobných údajov / poradcu pre ochranu súkromia, vedúceho informačnej bezpečnosti, koordinátora reakcie na incidenty alebo preskúmavateľa vnútorného auditu / súladu vyžadujú schválenie vrcholovým manažmentom v REG01. Preskúmavateľ vnútorného auditu / súladu musí v REG12 pred každým auditom alebo preskúmaním súladu zdokumentovať nezávislosť od preskúmavaného procesu PIMS. Ak sa konfliktom oddelenia povinností nemožno vyhnúť, musia sa zaznamenať kompenzačné kontroly a zodpovedná osoba pre ochranu osobných údajov / poradca pre ochranu súkromia musí do piatich pracovných dní od identifikácie zaznamenať obavy týkajúce sa nezávislosti alebo konfliktu záujmov. Politika takisto definuje preukázateľnú zodpovednosť naprieč zodpovednosťami prevádzkovateľa, spoločného prevádzkovateľa, sprostredkovateľa a ďalšieho sprostredkovateľa. Spracúvanie vykonávané prevádzkovateľom vyžaduje zaznamenané vlastníctvo zodpovednosti, vlastníctvo účelu a vlastníctvo dôkazov v REG02 pred začatím spracúvania. Rozdelenie zodpovedností spoločného prevádzkovateľa, vlastníctvo pokynov zákazníka pre sprostredkovateľa, vlastníctvo dohľadu nad ďalším sprostredkovateľom, stav schválenia a eskalačné postupy zodpovednosti tretích strán sa riadia prostredníctvom REG08. Vedúci ochrany súkromia / manažér PIMS overuje záznamy klasifikácie rolí v REG02 a REG08 štvrťročne a do 15 pracovných dní od podstatnej zmeny. Politika ďalej vyžaduje, aby poradenstvo v oblasti ochrany súkromia, vstupy k zodpovednosti za bezpečnosť PII, zodpovednosť za eskaláciu porušení ochrany údajov a incidentov ochrany súkromia, nevyriešené spory o zodpovednosť a eskalácie súvisiace s rolami boli zdokumentované v určených dôkazových objektoch. Správa a riadenie, meranie, výnimky, uplatňovanie politiky a údržba sú zabudované do modelu preukázateľnej zodpovednosti. Vrcholový manažment preskúmava úplnosť, neobsadené roly, konflikty rolí, výnimky z preukázateľnej zodpovednosti a metriky počas preskúmania manažmentom. Vedúci ochrany súkromia / manažér PIMS vykonáva štvrťročné preskúmania preukázateľnej zodpovednosti, sleduje neobsadené a kombinované roly, vykazuje absolvovanie aktivít zvyšovania povedomia podľa rolí, riadi výnimky s určenými limitmi platnosti a zaznamenáva chýbajúce, nepresné alebo neaktuálne priradenia ako nezhody. Vlastníci procesov / vlastníci organizácie musia zabrániť spusteniu nového alebo zmeneného spracúvania PII do produkčného prostredia, ak chýbajú požadované dôkazy o rolách a preukázateľnej zodpovednosti. Preskúmavatelia vnútorného auditu / súladu testujú dôkazy o rolách, hlásia zistenia a overujú účinnosť nápravných opatrení. Samotná politika sa musí preskúmať každoročne a do 30 dní od podstatnej zmeny modelu rolí PIMS.