Politika varstva podatkov in zasebnosti

Politika varstva podatkov in zasebnosti (P17) določa celovit okvir za varstvo osebnih podatkov in implementacijo načel zasebnosti že v zasnovi v celotni organizaciji. Ta politika vzpostavlja obvezne organizacijske in tehnološke zahteve, potrebne za skladnost z mednarodnimi standardi in razvijajočimi se regulativnimi okviri, ter zagotavlja, da se z osebnimi podatki ravna zakonito, varno in pregledno skozi celoten življenjski cikel. Pokritost se razteza na vse organizacijske enote, vse osebje in sisteme, ki obdelujejo osebne podatke, ne glede na to, ali so na fizičnih ali digitalnih medijih, ter vključuje storitve v oblaku, platforme SaaS in mobilne naprave. Politika je izrecna glede obsega in pojasnjuje, da so vsi zaposleni, pogodbeni izvajalci in tretje osebe zavezani njenim zahtevam. Zajeta so vsa okolja, kjer se nahajajo osebni podatki: produkcijsko okolje, razvoj, test ali sistemi za varnostno kopiranje. Politika ne obravnava le zbiranja, hrambe in uporabe osebnih podatkov, temveč tudi hrambo, odstranjevanje, čezmejne prenose ter obravnavo pravic posameznikov. Osrednji cilj politike je zagotoviti skladnost z vodilnimi predpisi in standardi: GDPR (členi 5, 6, 12–23, 25, 28, 30, 32–34; uvodna izjava 78), EU NIS2, EU DORA, ISO/IEC 27001:2022 (klavzule 5.1, 6.1.3, 8.1, 10.1), ISO/IEC 27002:2022 (kontrole 5.34, 8.10, 8.11), NIST SP 800-53 Rev. 5 (različne kontrole) in COBIT 2019 (APO12, DSS01, DSS05, MEA). V ta namen zahteva dodelitev vlog in struktur odgovornosti: izvršno vodstvo zagotavlja strateški nadzor; DPO usklajuje procese skladnosti, uveljavljanje pravic posameznikov in interakcijo z nadzornimi organi; varnost, pravo, lastniki podatkov in IT skupaj implementirajo tehnološke nadzorne ukrepe in organizacijske varovalne ukrepe, vzdržujejo registre ter upravljajo kršitve. Politika zahteva formalni okvir upravljanja zasebnosti, integriran v sistem upravljanja informacijske varnosti (ISMS) za dosledno uveljavljanje. Opredeljuje procese za vzdrževanje registrov tveganj zasebnosti, izvajanje DPIA za obdelave z visokim tveganjem ter zagotavljanje, da so kontrole zasebnosti (od minimizacije podatkov in psevdonimizacije do razporejanja hrambe in varnega odstranjevanja) globoko vgrajene. Zakonita obdelava in dokumentirane pravne podlage so temeljne, z izrecnim upravljanjem privolitev, popisov podatkov in čezmejnih tokov podatkov. Zahteve posameznikov se obravnavajo v določenih rokih in beležijo za sledljivost, podrobno pa so opisani tudi robustni okviri za upravljanje kršitev, obravnavo izjem in nadzor tretjih oseb. Redni pregledi, revizijske sledi in zahteva po letnih (ali ad hoc) notranjih revizijah pomagajo zagotavljati, da politika ostaja učinkovita in odzivna na regulativne spremembe, ugotovitve presoje ali večje incidente. Vsaka pomembna posodobitev mora biti odobrena s strani izvršnega vodstva in dokumentirana v ISMS. Ta politika je sestavni del širšega sistema informacijske varnosti in upravljanja tveganj organizacije ter je tesno povezana z dopolnilnimi politikami o odzivu na incidente, obvladovanju tveganj informacijske varnosti, razvrščanju, hrambi, maskiranju podatkov in spremljanju presoje.