Policy för bedömning av integritetsrisker och DPIA

Policyn för bedömning av integritetsrisker och DPIA definierar hur en organisation identifierar, bedömer, behandlar, godkänner, granskar och dokumenterar integritetsrisker inom PIMS-omfattningen. Syftet är att säkerställa att integritetsrisker och DPIA-skyldigheter hanteras innan behandling av personuppgifter skapar oacceptabel risk för registrerade eller för ledningssystemet för hantering av integritetsinformation. Policyn gäller nya och väsentligt ändrade behandlingsaktiviteter för personuppgifter i sammanhang där organisationen agerar personuppgiftsansvarig, gemensamt personuppgiftsansvarig, personuppgiftsbiträde eller underbiträde. Den omfattar även system, applikationer, tjänster, verksamhetsprocesser, leverantörer, personuppgiftsbiträden, underbiträden, internationella överföringar och upplägg för datadelning som påverkar behandling av personuppgifter. En central del av policyn är dess REG04-baserade operativa modell. Screening av integritetsrisker, DPIA-screening, riskbedömning, riskbehandlingsplaner, acceptans av resterisk, beslut om förhandssamråd, godkännanden och granskningsstatus dokumenteras i REG04, med stödjande underlag kopplat till REG02, REG03, REG08, REG09, REG10, REG11 och REG12. Policyn undviker uttryckligen att skapa separata DPIA-, risk- eller samrådsregister utanför REG04. Detta bidrar till att bevara ett sammanhållet underlagsspår för screeningresultat, beslut om fullständig DPIA, riskklassningar, ansvariga för riskbehandling, förfallodagar, kvarstående risk, godkännandestatus och granskningsdatum. Policyn anger obligatoriska utlösare för screening av integritetsrisker och fastställande av fullständig DPIA. Processägare / verksamhetsägare ska initiera REG04-screening innan ny eller väsentligt ändrad behandling som registrerats i REG02 påbörjas. Behandling som personuppgiftsansvarig som sannolikt leder till hög risk kräver en fullständig DPIA innan behandlingen påbörjas. Policyn anger att behandling som omfattar storskalig aktivitet, systematisk övervakning, profilering, automatiserade beslut, särskilda kategorier av personuppgifter, uppgifter om fällande domar eller lagöverträdelser, sårbara registrerade, innovativ teknik och väsentlig ändring av behandling ska hänskjutas till dataskyddsansvarig / PIMS-ansvarig innan behandlingen startar. Den kräver även ny screening innan personuppgifter används för ett nytt ändamål, en ny mottagare läggs till, ett nytt personuppgiftsbiträde eller underbiträde införs, systemarkitektur ändras eller en ny internationell överföring påbörjas. Riskbehandling och eskalering är också tydligt definierade. När integritetsrisken överstiger den godkända acceptanströskeln ska processägare / verksamhetsägare dokumentera en riskbehandlingsplan i REG04 innan behandlingen fortsätter. Åtgärder avseende säkerhet, systemdesign, leverantörer, avtal och assurance tilldelas relevant roll och ska genomföras före produktionssättning, introduktion, förnyelse eller godkänt förfallodatum. Hög kvarstående integritetsrisk för behandling som personuppgiftsansvarig kräver godkännande av högsta ledningen innan behandlingen påbörjas eller fortsätter. När hög kvarstående risk kvarstår efter riskbehandling dokumenterar dataskyddsansvarig / PIMS-ansvarig beslutet om förhandssamråd i REG04, och högsta ledningen godkänner fortsättning, avstängning, omdesign eller samrådsåtgärder innan behandlingen fortsätter. Krav på styrning, övervakning och efterlevnad säkerställer att processen förblir aktiv efter det första godkännandet. Dataskyddsansvarig / PIMS-ansvarig granskar öppna integritetsrisker och försenade riskbehandlingsåtgärder månadsvis, rapporterar status för integritetsrisker och DPIA kvartalsvis och inför ledningens genomgång samt stämmer av aktiva riskposter i REG04 mot poster i REG02:s behandlingsförteckning. Policyn definierar mätetal för screeningtäckning, aktiva fullständiga DPIA, försenade granskningar, höga kvarstående risker, status för riskbehandlingsåtgärder, genomsnittlig stängningstid, leverantörsåtgärder, säkerhetsrelaterade riskbehandlingsåtgärder, incidentdriven omprövning och revisionsiakttagelser. Undantag ska begäras före avvikelse, bedömas utifrån påverkan på dataskydd, rättsliga krav, certifiering, drift och registrerade samt ges ett utgångsdatum som inte överstiger 90 dagar. Saknade, felaktiga, ofullständiga, försenade eller ej godkända REG04-underlag behandlas som en avvikelse i REG12.