Politika sistema upravljanja informacij o zasebnosti

Politika sistema upravljanja informacij o zasebnosti vzpostavlja PIMS organizacije za obdelavo osebno določljivih podatkov v kontekstih upravljavca, skupnega upravljavca, obdelovalca in podobdelovalca. Njen navedeni namen je določiti obvezne zahteve upravljanja za vzpostavitev, implementacijo, vzdrževanje, spremljanje in nenehno izboljševanje PIMS. Politika je zasnovana tako, da podpira odgovorno, na tveganjih temelječe in z dokazili podprto upravljanje obdelave osebno določljivih podatkov v vseh uporabljivih vlogah PIMS. Uporablja se za obseg PIMS, organizacijski kontekst, zainteresirane strani, meje, določitev vlog, politiko zasebnosti, cilje zasebnosti, oceno tveganj za zasebnost, obravnavo tveganj za zasebnost, izjavo o uporabnosti PIMS, upravljanje, spremljanje, notranjo revizijo, pregled vodstva, neskladnost, korektivni ukrep in dokumentirana dokazila, potrebna za dokazovanje skladnosti in odgovornosti. Osrednja značilnost politike je poudarek na jasno določeni odgovornosti. Najvišje vodstvo mora odobriti obseg PIMS v REG01 pred začetno implementacijo in v 30 dneh po vsaki bistveni spremembi, letno odobriti politiko in cilje PIMS v REG12 ter med pregledom vodstva pregledati uspešnost, odprta tveganja, neskladnosti, korektivne ukrepe in odločitve o izboljšavah. Vodja zasebnosti / vodja PIMS vzdržuje ključne evidence PIMS, vključno z vprašanji konteksta, zainteresiranimi stranmi, cilji, izjavo o uporabnosti, odločitvami o obravnavi tveganj, indeksom dokazil, metrikami, izjemami, korektivnimi ukrepi in zapisi o pregledu politike. Lastniki procesov razvrstijo vlogo PIMS organizacije za vsako dejavnost obdelave osebno določljivih podatkov pred začetkom obdelave, medtem ko lastniki dobaviteljev / nabave dokumentirajo razdelitev odgovornosti skupnega upravljavca, navodila naročnika za obdelavo, odobrene dogovore o podobdelavi, upravljanje dobaviteljev in zunanje zagotovljene procese, pomembne za PIMS. Politika povezuje upravljanje PIMS z operativno kontrolo. Ocena tveganj za zasebnost se mora začeti pred začetkom nove ali bistveno spremenjene obdelave osebno določljivih podatkov, potreba po DPIA pa mora biti določena, preden se nadaljuje visoko tvegana ali bistveno spremenjena obdelava v vlogi upravljavca. Odobrene odločitve o obravnavi tveganj za zasebnost se evidentirajo pred implementacijo obravnave, lastniki sistemov pa morajo potrditi operativne kontrole PIMS pred prehodom v produkcijo za sisteme, ki obdelujejo osebno določljive podatke. Vodja informacijske varnosti je odgovoren za dokumentiranje uporabljivega osnovnega nabora varnostnih zahtev za osebno določljive podatke in vzdrževanje statusa implementacije varnostnih kontrol, s čimer povezuje upravljanje zasebnosti z osnovnim naborom varnostnih zahtev za osebno določljive podatke in izjavo o uporabnosti. Ta struktura pomaga zagotoviti, da obseg, dejavnosti obdelave, uporabljivost kontrol, dogovori z dobavitelji in evidence tveganj ostanejo usklajeni pred pregledom vodstva in spremembami, povezanimi s certifikacijo. Politika določa tudi zahteve glede preverljivosti in nenehnega izboljševanja. Vodja zasebnosti / vodja PIMS mora pred vsako notranjo revizijo vzdrževati indeks dokazil PIMS, hraniti dokumentirane informacije v skladu z zahtevami glede hrambe dokazil, četrtletno vzdrževati kazalnike uspešnosti in pred pregledom vodstva poročati o statusu ciljev. Minimalni nabor meritev vključuje odstotek dejavnosti obdelave znotraj obsega z aktualno razvrstitvijo vlog, odstotek uporabljivih kontrol z aktualnim statusom implementacije, odprte neskladnosti in zapadle korektivne ukrepe ter ocene tveganj za zasebnost, ki čakajo na odobritev. Pregledovalci notranje revizije / skladnosti morajo o rezultatih pregleda poročati v 15 delovnih dneh, med notranjimi revizijami vzorčno preveriti popolnost dokazil, preveriti dokazila o zaprtju poteklih izjem in preveriti učinkovitost korektivnega ukrepa v 30 dneh od prijavljenega zaprtja. Izjeme, uveljavljanje in vzdrževanje so obravnavani kot formalni procesi PIMS in ne kot neformalne deviacije. Zahtevane izjeme morajo biti dokumentirane pred nastankom odstopanja, ocenjene glede tveganja za zasebnost pred odobritvijo in pregledane četrtletno do zaprtja. Izjeme, ki presegajo sprejete pragove tveganja za zasebnost, zahtevajo odobritev najvišjega vodstva pred implementacijo. Domnevne neskladnosti morajo biti evidentirane v petih delovnih dneh, zapadli večji korektivni ukrepi morajo biti eskalirani najvišjemu vodstvu, nerešene večje neskladnosti pa morajo biti pregledane pri vsakem pregledu vodstva. Sama politika se pregleda letno in v 30 dneh po bistvenih pravnih, organizacijskih, obdelovalnih, tehnoloških spremembah ali spremembah certifikacijskega obsega, odobrene spremembe pa se sporočijo v REG11 v 30 dneh od objave.