Розробка та підтримка Privacy Information Management System (PIMS)
Побудова надійної системи управління персональними даними в середині компанії є завжди пріоритетною задачею, враховуючи що компанії, в умовах сучасного бізнесу, доводиться здійснювати збір та обробку персональних даних, а також дотримуватися вимог того чи іншого законодавства, спрямованого на захист таких персональних даних. У таких умовах виникає потреба в розробці та впровадженні Privacy Information Management System (або Privacy Program).
Що передує розробці PIMS
Перед прийняттям рішення щодо розробки Privacy Information Management System, компанія повинна усвідомити необхідність захистити права та інтереси фізичних осіб, чиї персональні дані вона обробляє, а також необхідність захистити інтереси та репутацію компанії в бізнес середовищі.
В одних випадках необхідність мати розроблену PIMS виникає, коли компанія є об’єктом вимог законодавства певного регіону або країни. Наприклад, мова може йти про GDPR або про законодавство України щодо захисту персональних даних, яке так чи інакше накладає на компанію необхідність вчиняти певні дії та запроваджувати певні заходи. У таких випадках компанія розробляє власну PIMS, яка базується виключно на тих законодавчих вимогах, що до неї застосовуються.
В інших випадках, мова може наприклад йти про необхідність розробки PIMS в поєднанні з іншими процесами, що пов’язані з розробкою та реалізацією програми інформаційної безпеки або Information Security Management System (ISMS). Таке поєднання зазвичай виникає, коли в рамках компанії реалізовані заходи, що забезпечують відповідність міжнародному стандарту ISO 27001, але, разом з тим, планується підготовка до реалізації заходів для відповідності міжнародному стандарту ISO 27701.
Основні елементи PIMS
Основними елементами будь якої системи, і в тому числі PIMS, є мета, задачі, обсяг, розподілення ролей та обов’язків, та зацікавлені особи.
Мета PIMS повинна полягати в наданні фізичним особам – власникам персональних даних («суб’єктам даних») повного контролю над їхніми персональними даними шляхом впровадження прозорих і ефективних механізмів управління, що забезпечують безпеку, конфіденційність та відповідність даних вимогам законодавства. Це включає організацію збору, зберігання, обробки та видалення інформації, створюючи довіру між суб’єктами даних і організаціями через реалізацію прав на доступ, виправлення та обмеження обробки даних у цифровому середовищі.
Privacy Information Management System для компанії є інтегрованим рішенням, яке дозволяє охоплювати всі персональні дані, які збираються та обробляються компанією будь яким чином. Окрім того, обсяг PIMS покриває всіх осіб, які прямо або опосередковано залучаються до процесу обробки персональних даних від імені компанії або в її інтересах.
Розподілення ролей має не менш важливе призначення, оскільки те, кого компанія призначить відповідальним за розробку PIMS, визначатиме її успішну реалізацію та досягнення поставлених цілей і мети. Найбільш ключовими ролями в рамках реалізації PIMS є спеціаліст по приватності, який повинна прийняти на себе основний скоуп обов’язків по впровадженню заходів в рамках PIMS. Немаловажним залишається також визначення інших ролей, які в рамках компанії можуть виконувати основну роль, але поряд з цим, можуть також здійснювати обробку персональних даних. В такому випадку, мова може наприклад йти про юридичну команду, команду з інформаційних технологій, інформаційної безпеки та людських ресурсів (HR).
Основними завданнями PIMS повинні бути (1) моніторинг відповідних законів про конфіденційність і захист даних, нормативних актів і договірних зобов’язань, пов’язаних з обробкою персональних даних, і внесення відповідних поправок до PIMS для забезпечення їх дотримання компанією; (2) управління ризиками конфіденційності. Це включає постійну ідентифікацію, оцінку та управління ризиками конфіденційності, пов’язаними з обробкою персональних даних протягом їх життєвого циклу; (3) управління взаємовідносинами з третіми сторонами, що включає оцінку діяльності сторонніх обробників і партнерів, щоб переконатися, що вони відповідають вимогам захисту даних. Це також включає укладення та моніторинг угод про обробку даних із третіми сторонами; (4) навчання та обізнаність, що включає регулярне безперервне навчання персоналу щодо вимог і заходів щодо захисту конфіденційності та ідентифікаційної інформації (для внутрішніх процесів і продуктів і у співпраці з третіми сторонами – постачальниками, партнерами та клієнтами); (5) управління запитами суб’єктів даних (DSR), що включає в себе здатність компанії розглядати та обробляти запити суб’єктів даних щодо реалізації їхніх прав, передбачених чинним законодавством про захист даних; (6) управління інцидентами конфіденційності/порушеннями персональних даних, що включає в себе здатність компанії виявляти порушення персональних даних та своєчасно повідомляти про це всім зацікавленим сторонам відповідно до чинного законодавства про захист даних; (7) керування політиками та процедурами, що передбачає, що всі політики та процедури в рамках PIMS необхідно регулярно переглядати та оновлювати.
Зацікавленими особами в рамках Personal Information Management System повинні вважатися всі внутрішні та зовнішні сторони, які мають прямий або непрямий інтерес до управління персональними даними компанії. Це можуть бути користувачі, які надають свої дані, регуляторні органи, що контролюють відповідність законодавству, партнери та постачальники, які обробляють дані, а також співробітники компанії, відповідальні за підтримку процесів збору, зберігання та захисту інформації. Усі ці сторони впливають на цілісність, ефективність і дотримання вимог системи, що робить їх ключовими гравцями в екосистемі PIMS.
Перевірка ефективності PIMS
Окрім всього іншого, компанії, враховуючи завдання, які визначає собою PIMS, необхідно розробити процес оцінювання ефективності PIMS, що має відбуватися на регулярній основі, і як правило, не менше одного разу на рік. Для можливості здійснювати таке оцінювання, необхідно впровадити метрики оцінювання, які визначатимуть шкалу ефективності в рамках проведення внутрішнього аудиту. Таке оцінювання забезпечить можливість компанії підтримувати впроваджені заходи на належному рівні і зрозуміти, де компанії потрібно допрацювати цілісність Personal Information Management System.
