Politika upravljanja incidentov v zvezi z osebno določljivimi podatki in kršitev varnosti osebnih podatkov v finančnem sektorju

Politika upravljanja incidentov v zvezi z osebno določljivimi podatki in kršitev varnosti osebnih podatkov v finančnem sektorju določa zahteve za identifikacijo, poročanje, triažo, razvrščanje, ocenjevanje, zajezitev, obveščanje, dokumentiranje, zapiranje in izboljševanje na podlagi incidentov v zvezi z osebno določljivimi podatki in kršitev varnosti osebnih podatkov v obsegih PIMS v finančnem sektorju. Uporablja se, kadar organizacija deluje kot upravljavec osebno določljivih podatkov, skupni upravljavec, obdelovalec ali podobdelovalec v finančnem sektorju, ter zajema tudi sisteme, aplikacije, storitve, procese, dobavitelje, obdelovalce, podobdelovalce in tretje osebe, ki obdelujejo, hranijo, prenašajo, podpirajo, dostopajo do osebno določljivih podatkov ali drugače vplivajo nanje znotraj obsega. Politika je izrecno zasnovana kot nadomestna različica PII15 za finančni sektor in od organizacij zahteva, da za isti obseg izberejo PII15 ali PII15-FS, da se prepreči podvajanje obveznosti, registrov in dela z revizijskimi dokazi. Namen politike je zagotoviti, da se incidenti v zvezi z osebno določljivimi podatki in kršitve obravnavajo dosledno, pravočasno, zakonito, varno in z dokazili, pripravljenimi na revizijo. REG10 — register incidentov v zvezi z osebno določljivimi podatki in kršitev — je določen kot primarni dokazni objekt, podporni registri pa zapis o incidentu povezujejo s širšim dokazilnim modelom PIMS. REG01 se uporablja za obseg, zainteresirane strani, sektorski, naročniški, pogodbeni in poročevalski kontekst. REG02 povezuje prizadete dejavnosti obdelave, kategorije osebno določljivih podatkov, kategorije posameznikov, na katere se nanašajo osebno določljivi podatki, namene, sisteme in storitve. REG03 zajema posodobitve izjave o uporabnosti in uporabljivosti kontrol, vključno z nadomestitvijo PII15 s PII15-FS. REG04 podpira povezave z zasebnostnim tveganjem, DPIA, preostalim tveganjem in obravnavo tveganja, medtem ko REG08, REG09, REG11 in REG12 zajemajo stične točke s tretjimi osebami, mednarodne prenose, usposabljanje ter dokazila o presoji ali korektivnih ukrepih. Operativno politika zahteva, da se vsak prijavljeni ali zaznani domnevni incident v zvezi z osebno določljivimi podatki v finančnem sektorju evidentira v REG10 v enem delovnem dnevu od prejema ali prej, kadar se lahko sprožijo roki za obveščanje naročnika ali poročanje. Incidenti morajo biti v 24 urah od prejema razvrščeni kot dogodek brez osebno določljivih podatkov, domnevni incident v zvezi z osebno določljivimi podatki, potrjeni incident v zvezi z osebno določljivimi podatki, potrjena kršitev varnosti osebnih podatkov, incident v zvezi z osebno določljivimi podatki v finančnem sektorju, večji incident v finančnem sektorju, pomembna kibernetska grožnja ali vnos s čakajočo razvrstitvijo. Ocena kršitve mora upoštevati prizadete osebno določljive podatke, posameznike, na katere se nanašajo osebno določljivi podatki, sisteme, storitve, dejavnosti obdelave, obdelovalce, podobdelovalce, prenose, tveganja, naročnike, nasprotne stranke in sanacijske ukrepe. Politika zahteva tudi ohranitev dokazil, zajezitev v določenih časovnih okvirih, preverjanje obnovitve in dokumentirane odločitve o zaprtju, ki vključujejo razvrstitev, odločitev o obveščanju, status zajezitve, status obnovitve, preostalo tveganje, korektivne ukrepe in popolnost dokazil. Politika razlikuje obveznosti upravljavca, skupnega upravljavca, obdelovalca in podobdelovalca. Upravljavci morajo evidentirati odločitve o obveščanju o kršitvi, pripraviti dokazila za obvestilo nadzornemu organu, kadar je to potrebno, in pregledati komunikacijo s posameznikom, na katerega se nanašajo osebno določljivi podatki, kadar je ugotovljeno visoko tveganje. Obdelovalci in podobdelovalci morajo oceniti navodila naročnika, pogodbene obveznosti obveščanja, verige obveščanja navzgor in zahteve za usmerjanje dokazil, pri čemer se zapisi hranijo v REG08 in REG10. Odgovornosti skupnih upravljavcev morajo biti usklajene in dokumentirane pred veljavnimi roki za zunanje obveščanje. Pri incidentih v zvezi z osebno določljivimi podatki z velikim vplivom v finančnem sektorju in pomembnih kibernetskih grožnjah mora koordinator odzivanja na incidente oceniti sprožitvene pogoje za regulativno poročanje v finančnem sektorju in dokazila o odločitvi hraniti v REG10. Upravljanje, merjenje in izboljševanje so vključeni v življenjski cikel politike. Vodja zasebnosti / vodja PIMS mora odprte incidente REG10 pregledovati najmanj tedensko do zaprtja, najvišje vodstvo pa mora v 24 urah po razvrstitvi prejeti eskalacijo za potrjene incidente z velikim vplivom v finančnem sektorju, večje incidente ali pomembne kibernetske grožnje. Kazalniki vključujejo mesečna števila domnevnih in potrjenih incidentov, kršitev, večjih incidentov v finančnem sektorju in pomembnih kibernetskih groženj ter pravočasnost obveščanja o kršitvah, pravočasnost poročanja v finančnem sektorju, zajezitev, obnovitev, validacijo obnovitve in uspešnost odziva tretjih oseb. Politika nadalje zahteva letni pregled, pregled po incidentu po večjih dogodkih, pregled notranje revizije, upravljanje izjem, izvajanje prek neskladnosti REG12 in korektivno usposabljanje prek REG11, kadar pride do napak pri ozaveščenosti ali komuniciranju.