Politika upravljanja dokumentiranih informacij in dokazil PIMS

Politika upravljanja dokumentiranih informacij in dokazil PIMS določa obvezne zahteve za nadzor celotnega življenjskega cikla dokumentiranih informacij sistema upravljanja informacij o zasebnosti. Njeno področje uporabe zajema ustvarjanje, odobritev, nadzor različic, zaščito, hrambo, pridobivanje, prevajanje, umik in dokazovanje evidenc PIMS. Politika se uporablja za politike PIMS, registre, dokumentirane odobritve, dokazne zapise, revizijske dokaze, zapise vodstvenega pregleda, dokazila o korektivnih ukrepih in nadzorovane prevode, ki se uporabljajo za dokazovanje skladnosti PIMS. Napisana je za kontekste upravljavca, skupnega upravljavca, obdelovalca in podobdelovalca, zato je uporabna za različne vloge, ki jih ima lahko organizacija pri obdelavi osebno določljivih podatkov. Osrednja značilnost politike je uporaba kanoničnih dokaznih objektov PIMS REG01 do REG12, namesto ustvarjanja ločenega registra nadzora dokumentov. Politika določa, da se dokazila o nadzoru dokumentiranih informacij vzdržujejo prek teh dokaznih objektov, pri čemer se REG03 in REG12 posebej uporabljata za uporabljivost kontrol, presojo, neskladnost, korektivni ukrep in dokazila o izboljšavah. Ta pristop je namenjen preprečevanju nepotrebne birokracije pri nadzoru dokumentov, ob hkratnem ohranjanju evidenc, pripravljenih za revizijo, za certifikacijo, programe zagotavljanja zaupanja naročnikov in nenehno izboljševanje. REG12 se obsežno uporablja za indeks dokumentiranih informacij, ravni dostopa, razvrstitve občutljivosti, status odobritve, evidenco različic, zahteve za pridobivanje, odobritve razkritja, kategorije hrambe, status umika, izjeme in sledenje korektivnim ukrepom. Politika vzpostavlja podrobne kontrole za ustvarjanje, odobritev, nadzor različic in objavo. Pred objavo dokumentiranih informacij PIMS mora vodja zasebnosti / vodja PIMS v REG12 dodeliti identifikator dokumenta, lastnika, številko različice, status odobritve, datum začetka veljavnosti in datum pregleda. Najvišje vodstvo mora pred objavo odobriti ključne politike PIMS in bistvene spremembe politike, vodja zasebnosti / vodja PIMS pa pred operativno uporabo odobri predloge dokazil ali vgrajene razdelke registra. Politika zahteva tudi, da se pred izdajo zabeležita evidenca različic in utemeljitev sprememb, komunikacija odobrenih sprememb pa se zabeleži v REG11 v 30 dneh po objavi. Kakovost dokazil in sledljivost sta obravnavani kot operativni zahtevi, ne kot neobvezni dokumentacijski nalogi. Vodja zasebnosti / vodja PIMS mora določiti pravila poimenovanja dokazil, četrtletno in pred zunanjo presojo uskladiti sklice na kontrole v REG03 z zapisi dokazil politike ter uporabiti odobreno pravilo poimenovanja izvoza, preden se dokazila delijo za certifikacijsko presojo, programe zagotavljanja zaupanja naročnikov ali regulativni odziv. Lastniki procesov / lastniki podjetja morajo zagotoviti, da dokazila o obdelavi vključujejo lastnika dokazila, datum, sklic na dejavnost obdelave, status odločitve in status odobritve, preden se uporabijo za presojo. Notranja revizija / pregledovalci skladnosti morajo med načrtovanimi presojami ali pregledi skladnosti zabeležiti vrzeli v popolnosti, točnosti ali sledljivosti. Politika določa tudi kontrole za dostop, zaščito, pridobivanje, razkritje, hrambo, umik, arhiviranje, odstranjevanje in nadzor večjezičnih različic. Omejitve dostopa do repozitorija morajo biti zabeležene pred dodelitvijo dostopa in pregledane četrtletno, dostop do dokazil PIMS, ki vsebujejo PII, pa mora biti odobren pred dodelitvijo. Razkritja dokazil zunanjim presojevalcem, naročnikom, obdelovalcem, upravljavcem, nadzornim organom ali drugim zunanjim strankam zahtevajo zabeleženo odobritev in obseg razkritja. Zastarele različice morajo biti umaknjene v določenih časovnih okvirih, prejšnje odobrene različice politik morajo biti ohranjene, arhiviranje ali izbris pa se ne smeta izvesti, dokler niso preverjene odvisnosti od revizijskega zadržanja, pravnega zadržanja, preiskave incidenta ali korektivnega ukrepa. Kazalniki, obravnava izjem, uveljavljanje in zahteve za letni pregled zagotavljajo, da dokumentirane informacije ostajajo aktualne, pridobljive, zaščitene in usklajene s potrebami skladnosti PIMS.