Politika vlog, pristojnosti in odgovornosti na področju zasebnosti

Politika vlog, pristojnosti in odgovornosti na področju zasebnosti opredeljuje, kako organizacija dodeljuje, dokumentira, sporoča, pregleduje in izboljšuje odgovornosti v svojem sistemu upravljanja informacij o zasebnosti. Njeno področje uporabe zajema osebje, funkcije, sisteme, dobavitelje, obdelovalce, podobdelovalce in razmerja s skupnimi upravljavci, ki sodelujejo pri obdelavi osebno določljivih podatkov v obsegu PIMS ali nanjo vplivajo. Politika se uporablja v kontekstih upravljavca, skupnega upravljavca, obdelovalca in podobdelovalca, zato je pomembna za celoten nabor operativnih modelov zasebnosti, opisanih v dokumentu. Prav tako jasno določa, da ne ustvarja novih organizacijskih nazivov delovnih mest; namesto tega opredeljuje kanonične vloge PIMS, ki se lahko dodelijo obstoječemu osebju ali funkcijam, kadar so zahtevane dodelitve, usposobljenost, neodvisnost in zahteve glede nasprotij interesov dokumentirane. Politika vzpostavlja strukturiran model vlog PIMS in pristop odgovornosti na podlagi dokazil. Najvišje vodstvo mora pred začetno implementacijo in nato letno odobriti kanonični model vlog v REG01. Vodja zasebnosti / vodja PIMS v REG01 vzdržuje imenovane dodelitve vlog, obsege odgovornosti in ravni pooblastil, vključno s posodobitvami po kadrovskih ali organizacijskih spremembah. Lastništvo obdelave je povezano z REG02, kjer lastniki procesov / lastniki podjetja pred začetkom obdelave dodelijo odgovorne lastnike za vsako dejavnost obdelave osebno določljivih podatkov, lastniki sistemov / lastniki aplikacij pa pred prehodom v produkcijo dokumentirajo odgovorne lastnike sistemov. Lastništvo razmerij z dobavitelji, obdelovalci, podobdelovalci, delitve podatkov s tretjimi osebami in skupnimi upravljavci se evidentira v REG08 pred uvajanjem ali odobritvijo dogovora. Osrednji del politike je upravljanje kombinacij vlog, ločevanja dolžnosti in neodvisnosti. Politika dovoljuje praktično kombiniranje vlog, tudi za male in srednje velike organizacije, vendar zahteva dokumentiranje pred začetkom veljavnosti kombinacij. Kombinacije vlog, ki vključujejo vodjo zasebnosti / vodjo PIMS, pooblaščeno osebo za varstvo podatkov / svetovalca za zasebnost, vodjo informacijske varnosti, koordinatorja odzivanja na incidente ali notranjo revizijo / pregledovalca skladnosti, zahtevajo odobritev najvišjega vodstva v REG01. Notranja revizija / pregledovalec skladnosti mora pred vsako presojo ali pregledom skladnosti v REG12 dokumentirati neodvisnost od procesa PIMS, ki se pregleduje. Kadar se nasprotjem glede ločevanja dolžnosti ni mogoče izogniti, morajo biti evidentirane kompenzacijske kontrole, pooblaščena oseba za varstvo podatkov / svetovalec za zasebnost pa mora v petih delovnih dneh od identifikacije evidentirati pomisleke glede neodvisnosti ali nasprotij interesov. Politika opredeljuje tudi odgovornost v okviru odgovornosti upravljavca, skupnega upravljavca, obdelovalca in podobdelovalca. Obdelava pri upravljavcu zahteva evidentirano lastništvo odgovornosti, lastništvo namena in lastništvo dokazil v REG02 pred začetkom obdelave. Dodelitev odgovornosti skupnega upravljavca, lastništvo navodil naročnika pri obdelovalcu, lastništvo nadzora nad podobdelovalci, status odobritve in eskalacijske poti odgovornosti tretjih oseb se upravljajo prek REG08. Vodja zasebnosti / vodja PIMS četrtletno in v 15 delovnih dneh po bistveni spremembi preveri evidence razvrstitve vlog v REG02 in REG08. Politika nadalje zahteva, da se svetovanje glede zasebnosti, prispevki k odgovornosti za varnost osebno določljivih podatkov, odgovornost za eskalacijo kršitev in incidentov na področju zasebnosti, nerešeni spori glede odgovornosti in eskalacije, povezane z vlogami, dokumentirajo v opredeljenih dokaznih objektih. Upravljanje, merjenje, izjeme, uveljavljanje in vzdrževanje so vgrajeni v model odgovornosti. Najvišje vodstvo med pregledom vodstva pregleduje popolnost, nezasedene vloge, nasprotja vlog, izjeme glede odgovornosti in metrike. Vodja zasebnosti / vodja PIMS izvaja četrtletne preglede odgovornosti, spremlja nezasedene in kombinirane vloge, poroča o dokončanju ozaveščanja o vlogah, upravlja izjeme z določenimi omejitvami poteka veljavnosti ter manjkajoče, netočne ali zastarele dodelitve evidentira kot neskladnosti. Lastniki procesov / lastniki podjetja morajo preprečiti prehod nove ali spremenjene obdelave osebno določljivih podatkov v produkcijo, kadar ni zahtevanih dokazil o vlogah in odgovornosti. Notranja revizija / pregledovalci skladnosti testirajo dokazila o vlogah, poročajo ugotovitve in preverjajo učinkovitost korektivnih ukrepov. Sama politika mora biti pregledana letno in v 30 dneh po bistveni spremembi modela vlog PIMS.