Politika upravljanja incidentov v zvezi z osebno določljivimi podatki in kršitev varnosti osebnih podatkov

Politika upravljanja incidentov v zvezi z osebno določljivimi podatki in kršitev varnosti osebnih podatkov določa, kako organizacija prepoznava, prijavlja, triažira, ocenjuje, zajezuje, sporoča, dokumentira, zapira in izboljšuje obravnavo incidentov v zvezi z osebno določljivimi podatki in kršitev varnosti osebnih podatkov znotraj obsega sistema upravljanja informacij o zasebnosti. Njen navedeni namen je zagotoviti, da se incidenti in kršitve obravnavajo dosledno, pravočasno, zakonito, varno in z dokazili, pripravljenimi na revizijo. Politika se uporablja v kontekstih upravljavca, skupnega upravljavca, obdelovalca in podobdelovalca ter zajema sisteme, aplikacije, storitve, procese, dobavitelje, obdelovalce, podobdelovalce in tretje osebe, ki obdelujejo, hranijo, prenašajo, podpirajo, dostopajo do osebno določljivih podatkov ali drugače vplivajo nanje znotraj obsega PIMS. Osrednja značilnost politike je njen integrirani model dokazil. REG10 — Register incidentov v zvezi z osebno določljivimi podatki in kršitev varnosti osebnih podatkov je primarni dokazni objekt za upravljanje incidentov in kršitev, podporni registri pa zagotavljajo kontekst in sledljivost. REG01 podpira kontekst obsega, pravnih, pogodbenih, sektorskih, naročniških in poročevalskih zahtev. REG02 povezuje prizadete dejavnosti obdelave, kategorije osebno določljivih podatkov, kategorije posameznikov, na katere se nanašajo osebno določljivi podatki, namene in sisteme. REG04 podpira povezave s tveganji za zasebnost, DPIA in preostalim tveganjem. REG08 evidentira stične točke za obravnavo incidentov z obdelovalci, podobdelovalci, naročniki, dobavitelji in tretjimi osebami. REG09 se uporablja, kadar incidenti vplivajo na čezmejno obdelavo, REG11 podpira dokazila o usposabljanju in kompetencah, REG12 pa zajema dokazila o reviziji, neskladnostih, korektivnih ukrepih in izboljšavah. Ta struktura pomaga zagotoviti, da zapisi o incidentih niso ločeni od širšega PIMS. Politika določa podrobne zahteve za pripravljenost, sprejem, razvrščanje, oceno kršitve, zajezitev, obnovitev, obveščanje, komuniciranje, varovanje dokazil in pridobljene izkušnje. Domnevni incidenti v zvezi z osebno določljivimi podatki morajo biti evidentirani pravočasno, pri čemer mora biti vsak prijavljeni ali zaznani domnevni incident vnesen v REG10 v enem delovnem dnevu od prejema ali prej, kadar se lahko sprožijo časovni roki za obveščanje ali poročanje naročniku. Tehnična triaža varnostnih dogodkov, ki vključujejo osebno določljive podatke, mora biti zaključena v 24 urah od zaznave, vsak vnos v REG10 pa mora biti v 24 urah od sprejema razvrščen kot dogodek brez osebno določljivih podatkov, domnevni incident v zvezi z osebno določljivimi podatki, potrjeni incident v zvezi z osebno določljivimi podatki ali potrjena kršitev varnosti osebnih podatkov, razen če je dokumentiran razlog za čakajočo razvrstitev. Za oceno kršitve politika zahteva identifikacijo prizadetih dejavnosti obdelave, kategorij osebno določljivih podatkov, kategorij posameznikov, na katere se nanašajo osebno določljivi podatki, sistemov, obdelovalcev, podobdelovalcev, lokacij prenosa in tveganj za zasebnost pred dokončanjem odločitev o obveščanju. Obveznosti obveščanja in komuniciranja so ločene po vlogah. Za upravljavce politika zahteva dokumentirane odločitve o obveščanju regulatorja za vsako potrjeno kršitev varnosti osebnih podatkov brez nepotrebnega odlašanja, pri čemer se obvestilo, utemeljitev neobveščanja ali utemeljitev zamude hrani v REG10. Kadar se sproži obveščanje prizadetih posameznikov, na katere se nanašajo osebno določljivi podatki, politika zahteva evidentiranje vsebine, ciljne skupine, časovnega okvira, načina dostave in dokazil o odobritvi. Za obdelovalce in podobdelovalce politika zahteva obveščanje prizadetih upravljavcev, naročnikov, nadrejenih obdelovalcev ali odobrenih pogodbenih kanalov brez nepotrebnega odlašanja in v veljavnih pogodbenih rokih. Za incidente v zvezi z osebno določljivimi podatki z velikim vplivom zahteva tudi oceno pravnih, sektorskih, finančnosektorskih, kibernetskovarnostnih, pogodbenih, naročniških in storitvenih sprožitvenih pogojev za poročanje, kjer je to ustrezno. Upravljanje, merjenje in izboljševanje so vključeni v proces. Vodja zasebnosti / vodja PIMS je lastnik procesa upravljanja incidentov in kršitev ter mora zagotoviti, da se REG10 vzdržuje do zaprtja. Koordinator odzivanja na incidente upravlja sprejem, triažo, delovni tok zajezitve, sledenje statusu, zaprtje in pridobljene izkušnje. Informacijska varnost vodi tehnično preiskavo, zajezitev, odstranitev, obnovitev, ohranitev dokazil in analizo temeljnega vzroka, kadar so vključeni sistemi ali varnostne kontrole. Najvišje vodstvo prejme eskalacijo za potrjene incidente v zvezi z osebno določljivimi podatki z velikim vplivom v 24 urah od razvrstitve ter med vodstvenim pregledom pregleda incidente z velikim vplivom, prijavljive kršitve, zapadle korektivne ukrepe in bistvene vplive. Kazalniki vključujejo obseg incidentov, čas razvrščanja in zajezitve, pravočasnost obveščanja, staranje korektivnih ukrepov, uspešnost odziva tretjih oseb in dokončanje vaj. Politika zahteva tudi letni pregled, pregled po incidentu po incidentih z velikim vplivom ali potrjenih kršitvah ter letni pregled implementacije v okviru notranje revizije.