Policy för dataskyddsroller, ansvar och ansvarsskyldighet

Policy för dataskyddsroller, ansvar och ansvarsskyldighet definierar hur organisationen tilldelar, dokumenterar, kommunicerar, granskar och förbättrar ansvar inom sitt ledningssystem för hantering av integritetsinformation. Omfattningen täcker personal, funktioner, system, leverantörer, personuppgiftsbiträden, underbiträden och relationer med gemensamt personuppgiftsansvariga som deltar i eller påverkar behandling av personuppgifter inom PIMS-omfattningen. Policyn gäller i kontexter där organisationen agerar personuppgiftsansvarig, gemensamt personuppgiftsansvarig, personuppgiftsbiträde och underbiträde, vilket gör den relevant för hela uppsättningen av operativa modeller för dataskydd som beskrivs i dokumentet. Den klargör också att den inte skapar nya organisatoriska befattningstitlar; i stället definierar den kanoniska PIMS-roller som kan tilldelas befintlig personal eller befintliga funktioner när de krav som gäller tilldelning, kompetens, oberoende och intressekonflikter är dokumenterade. Policyn fastställer en strukturerad PIMS-rollmodell och en underlagsbaserad metod för ansvarsskyldighet. Högsta ledningen ska godkänna den kanoniska rollmodellen i REG01 före det första genomförandet och därefter årligen. Ansvarig för dataskydd / PIMS-ansvarig upprätthåller namngivna rolltilldelningar, ansvarsomfattningar och befogenhetsnivåer i REG01, inklusive uppdateringar efter personalförändringar eller organisatoriska ändringar. Behandlingsägarskap kopplas till REG02, där processägare / verksamhetsägare tilldelar ansvariga ägare för varje behandlingsaktivitet för personuppgifter innan behandlingen inleds och systemägare / applikationsägare dokumenterar ansvariga systemägare före produktionssättning. Ägarskap för leverantörsrelationer, personuppgiftsbiträden, underbiträden, tredjepartsdelning av data och relationer med gemensamt personuppgiftsansvariga registreras i REG08 före leverantörsintroduktion eller godkännande av avtal. En central del av policyn är hanteringen av rollkombinationer, funktionsuppdelning och oberoende. Policyn tillåter praktiska rollkombinationer, även för små och medelstora organisationer, men kräver dokumentation innan kombinationer börjar gälla. Rollkombinationer som omfattar ansvarig för dataskydd / PIMS-ansvarig, dataskyddsombud / integritetsrådgivare, ansvarig för informationssäkerhet, incidenthanteringskoordinator eller internrevision / granskare av regelefterlevnad kräver godkännande av högsta ledningen i REG01. Internrevision / granskare av regelefterlevnad ska dokumentera oberoende från den PIMS-process som granskas i REG12 före varje revision eller granskning av regelefterlevnad. Där konflikter i funktionsuppdelning inte kan undvikas ska kompenserande kontroller registreras, och dataskyddsombud / integritetsrådgivare ska registrera frågor om oberoende eller intressekonflikter inom fem arbetsdagar från identifiering. Policyn definierar också ansvarsskyldighet för ansvar som personuppgiftsansvarig, gemensamt personuppgiftsansvarig, personuppgiftsbiträde och underbiträde. Behandling som personuppgiftsansvarig kräver registrerat ansvarsägarskap, ändamålsägarskap och underlagsägarskap i REG02 innan behandlingen inleds. Ansvarsfördelning för gemensamt personuppgiftsansvariga, ägarskap för personuppgiftsbiträdets kundinstruktion, tillsynsansvar för underbiträden, godkännandestatus och eskaleringsvägar för tredjepartsansvar hanteras genom REG08. Ansvarig för dataskydd / PIMS-ansvarig verifierar poster för rollklassificering i REG02 och REG08 kvartalsvis och inom 15 arbetsdagar efter väsentlig ändring. Policyn kräver vidare att dataskyddsrådgivning, indata om ansvar för säkerhet för personuppgifter, eskaleringsansvar för personuppgiftsincident och integritetsincident, olösta ansvarstvister och rollrelaterade eskaleringar dokumenteras i definierade underlagsobjekt. Styrning, mätning, undantag, tillämpning och underhåll är inbyggda i modellen för ansvarsskyldighet. Högsta ledningen granskar fullständigheten, otillsatta roller, rollkonflikter, undantag från ansvarsskyldighet och mätetal under ledningens genomgång. Ansvarig för dataskydd / PIMS-ansvarig genomför kvartalsvisa granskningar av ansvarsskyldighet, följer upp otillsatta och kombinerade roller, rapporterar genomförande av rollmedvetenhet, hanterar undantag med definierade utgångsgränser och registrerar saknade, felaktiga eller inaktuella tilldelningar som avvikelser. Processägare / verksamhetsägare ska förhindra produktionssättning av ny eller ändrad behandling av personuppgifter där nödvändiga roll- och ansvarsskyldighetsunderlag saknas. Internrevision / granskare av regelefterlevnad testar rollunderlag, rapporterar iakttagelser och verifierar effektiviteten i korrigerande åtgärder. Själva policyn ska granskas årligen och inom 30 dagar efter väsentlig ändring av PIMS-rollmodellen.