Policy för ledningssystem för hantering av integritetsinformation

Policyn för ledningssystem för hantering av integritetsinformation etablerar organisationens PIMS för behandling av personuppgifter i sammanhang där organisationen är personuppgiftsansvarig, gemensamt personuppgiftsansvarig, personuppgiftsbiträde eller underbiträde. Det angivna syftet är att definiera obligatoriska styrningskrav för att etablera, införa, underhålla, övervaka och kontinuerligt förbättra PIMS. Policyn är utformad för att stödja ansvarstagande, riskbaserad och underlagsdriven hantering av behandling av personuppgifter inom tillämpliga PIMS-roller. Den omfattar PIMS-omfattning, organisatoriskt sammanhang, berörda parter, gränser, rollfastställande, integritetspolicy, integritetsmål, bedömning av integritetsrisker, riskbehandling av integritetsrisker, PIMS-tillämpbarhetsförklaring, styrning, övervakning, internrevision, ledningens genomgång, avvikelse, korrigerande åtgärder och dokumenterat underlag som behövs för att visa överensstämmelse och ansvarsskyldighet. Ett centralt inslag i policyn är dess fokus på definierad ansvarsskyldighet. Högsta ledningen ska godkänna PIMS-omfattning i REG01 före första införandet och inom 30 dagar efter varje väsentlig ändring, godkänna policyn och PIMS-målen i REG12 årligen samt granska prestanda, öppna risker, avvikelser, korrigerande åtgärder och förbättringsbeslut vid ledningens genomgång. Integritetsansvarig/PIMS-ansvarig underhåller centrala PIMS-poster, inklusive frågor kopplade till sammanhang, berörda parter, mål, tillämpbarhetsförklaring, beslut om riskbehandling, underlagsindex, mätetal, undantag, korrigerande åtgärder och poster från policygranskning. Processägare klassificerar organisationens PIMS-roll för varje behandlingsaktivitet avseende personuppgifter innan behandlingen påbörjas, medan leverantörs-/upphandlingsansvariga dokumenterar ansvarsfördelning för gemensamt personuppgiftsansvar, kundinstruktioner för behandling, godkända upplägg för underbiträden, leverantörsstyrning och externt tillhandahållna PIMS-relevanta processer. Policyn kopplar PIMS-styrning till operativ styrning. Bedömning av integritetsrisker ska initieras innan ny eller väsentligt ändrad behandling av personuppgifter påbörjas, och behov av DPIA ska fastställas innan högriskbehandling eller väsentligt ändrad behandling där organisationen är personuppgiftsansvarig fortsätter. Godkända beslut om riskbehandling av integritetsrisker registreras före genomförande av behandlingen, och systemägare ska bekräfta PIMS-operativa kontroller före produktionsstart för system som behandlar personuppgifter. Informationssäkerhetsansvarig ansvarar för att dokumentera tillämplig säkerhetsbaslinje för personuppgifter och underhålla genomförandestatus för säkerhetskontroller, vilket kopplar integritetsstyrning till säkerhetsbaslinjen för personuppgifter och tillämpbarhetsförklaringen. Denna struktur bidrar till att säkerställa att omfattning, behandlingsaktiviteter, kontrollernas tillämplighet, leverantörsupplägg och riskposter förblir samordnade före ledningens genomgång och certifieringsrelaterade ändringar. Policyn definierar även krav på revisionsbarhet och ständig förbättring. Integritetsansvarig/PIMS-ansvarig ska underhålla ett PIMS-underlagsindex före varje internrevision, bevara dokumenterad information enligt krav på bevarande av underlag, underhålla prestandamätetal kvartalsvis och rapportera målstatus före ledningens genomgång. Den minsta uppsättningen mätetal omfattar andelen behandlingsaktiviteter inom omfattningen med aktuell rollklassificering, andelen tillämpliga kontroller med aktuell genomförandestatus, öppna avvikelser och försenade korrigerande åtgärder samt bedömningar av integritetsrisker som väntar på godkännande. Internrevision/regelefterlevnadsgranskare ska rapportera granskningsresultat inom 15 arbetsdagar, göra stickprov på underlagens fullständighet vid internrevisioner, verifiera stängningsunderlag för utgångna undantag och verifiera effektiviteten i korrigerande åtgärder inom 30 dagar från rapporterad stängning. Undantag, tillämpning och underhåll hanteras som formella PIMS-processer snarare än informella avvikelser. Begärda undantag ska dokumenteras innan avvikelse sker, bedömas avseende integritetsrisk före godkännande och granskas kvartalsvis fram till stängning. Undantag som överskrider accepterade tröskelvärden för integritetsrisk kräver godkännande av högsta ledningen före genomförande. Misstänkta avvikelser ska registreras inom fem arbetsdagar, försenade större korrigerande åtgärder ska eskaleras till högsta ledningen och olösta större avvikelser ska granskas vid varje ledningsgenomgång. Själva policyn granskas årligen och inom 30 dagar efter väsentliga rättsliga, organisatoriska, behandlingsrelaterade, tekniska eller certifieringsomfattningsrelaterade ändringar, och godkända ändringar kommuniceras i REG11 inom 30 dagar från publicering.