Politika ocene tveganj za zasebnost in DPIA

Politika ocene tveganj za zasebnost in DPIA določa, kako organizacija v okviru obsega PIMS identificira, ocenjuje, obravnava, odobrava, pregleduje in dokazuje tveganja za zasebnost. Njen namen je zagotoviti, da so tveganja za zasebnost in obveznosti DPIA obravnavani, preden obdelava osebno določljivih podatkov ustvari nesprejemljivo tveganje za posameznike, na katere se nanašajo osebno določljivi podatki, ali za PIMS. Politika se uporablja za nove in bistveno spremenjene dejavnosti obdelave osebno določljivih podatkov v kontekstih upravljavca, skupnega upravljavca, obdelovalca in podobdelovalca. Zajema tudi sisteme, aplikacije, storitve, poslovne procese, dobavitelje, obdelovalce, podobdelovalce, mednarodne prenose in ureditve deljenja podatkov, ki vplivajo na obdelavo osebno določljivih podatkov. Osrednja značilnost politike je operativni model na podlagi REG04. Preverjanje tveganj za zasebnost, preverjanje potrebe po DPIA, ocena tveganja, načrti obravnave tveganja, sprejem preostalega tveganja, odločitve o posvetovanju, odobritve in status pregleda se dokumentirajo v REG04, podporna dokazila pa so povezana z REG02, REG03, REG08, REG09, REG10, REG11 in REG12. Politika izrecno preprečuje oblikovanje ločenih evidenc DPIA, tveganj ali posvetovanj zunaj REG04. To pomaga ohraniti enotno revizijsko sled dokazil za rezultate preverjanja, odločitve o celoviti DPIA, ocene tveganj, lastnike obravnave tveganj, roke zapadlosti, preostalo tveganje, status odobritve in datume pregledov. Politika določa obvezne sprožitvene pogoje za preverjanje tveganj za zasebnost in odločanje o celoviti DPIA. Lastniki procesov / lastniki poslovnih področij morajo začeti preverjanje v REG04, preden se začne nova ali bistveno spremenjena obdelava, evidentirana v REG02. Obdelava v vlogi upravljavca, za katero je verjetno, da bo povzročila visoko tveganje, zahteva celovito DPIA pred začetkom obdelave. Politika posebej določa, da je treba obdelavo, ki vključuje obsežno obdelavo, sistematično spremljanje, oblikovanje profilov, avtomatizirane odločitve, posebne vrste osebno določljivih podatkov, podatke v zvezi s kazenskimi obsodbami ali prekrški, ranljive posameznike, na katere se nanašajo osebno določljivi podatki, inovativno tehnologijo in bistveno spremembo obdelave, pred začetkom obdelave predložiti vodji zasebnosti / vodji PIMS. Prav tako zahteva ponovno preverjanje pred uporabo osebno določljivih podatkov za nov namen, dodajanjem novega prejemnika, uvedbo novega obdelovalca ali podobdelovalca, spremembo arhitekture sistema ali začetkom novega mednarodnega prenosa. Jasno sta opredeljena tudi obravnava tveganja in eskalacija. Kadar tveganje za zasebnost presega odobreni prag sprejema, mora lastnik procesa / lastnik poslovnega področja v REG04 evidentirati načrt obravnave tveganja, preden se obdelava nadaljuje. Ukrepi glede varnosti, zasnove sistema, dobaviteljev, pogodbenih določil in zagotovil se dodelijo ustrezni vlogi ter morajo biti izvedeni pred prehodom v produkcijo, uvajanjem, podaljšanjem ali odobrenim rokom zapadlosti. Visoko preostalo tveganje za zasebnost pri obdelavi v vlogi upravljavca zahteva odobritev najvišjega vodstva, preden se obdelava začne ali nadaljuje. Kadar po obravnavi tveganja ostane visoko preostalo tveganje, vodja zasebnosti / vodja PIMS evidentira odločitev o predhodnem posvetovanju v REG04, najvišje vodstvo pa odobri nadaljevanje, začasno ustavitev, preoblikovanje ali posvetovalne ukrepe, preden se obdelava nadaljuje. Zahteve glede upravljanja, spremljanja in uveljavljanja zagotavljajo, da proces ostane aktiven tudi po začetni odobritvi. Vodja zasebnosti / vodja PIMS mesečno pregleduje odprta tveganja za zasebnost in zapadle ukrepe obravnave tveganj, četrtletno in pred pregledom vodstva poroča o statusu tveganj za zasebnost in DPIA ter usklajuje aktivne zapise tveganj v REG04 z zapisi v popisu dejavnosti obdelave REG02. Politika določa kazalnike za pokritost preverjanja, aktivne celovite DPIA, zapadle preglede, visoka preostala tveganja, status ukrepov obravnave tveganj, povprečni čas zapiranja, ukrepe dobaviteljev, varnostne ukrepe obravnave tveganj, ponovno ocenjevanje zaradi incidentov in ugotovitve presoje. Izjeme je treba zahtevati pred odstopanjem, jih oceniti glede vpliva na zasebnost, pravni vidik, certifikacijo, operativno delovanje in posameznike, na katere se nanašajo osebno določljivi podatki, ter jim določiti datum poteka, ki ne presega 90 dni. Manjkajoča, netočna, nepopolna, zapadla ali neodobrena dokazila REG04 se v REG12 obravnavajo kot neskladnost.