1: Obiectiv
Scopul politicii de protectie a datelor este reprezentarea aspectelor legale privind protectia datelor intr-un singur document de sinteza. De asemenea, poate fi folosit ca baza pentru inspectiile legale privind protectia datelor, de exemplu de catre client in domeniul prelucrarii comandate. Acest lucru nu este numai pentru a asigura respectarea Regulamentului European General privind Protectia Datelor (GDPR), ci si pentru a furniza dovada conformitatii.
2: Preambul
Scurta descriere a companiei si motivatia de a respecta protectia datelor.
3: Politica de securitate si responsabilitatile companiei
- Pentru o companie, pe langa obiectivele corporative existente, trebuie definite si documentate cele mai inalte obiective de protectie a datelor. Obiectivele privind protectia datelor se bazeaza pe principiile de protectie a datelor si trebuie modificate individual pentru fiecare companie.
- Determinarea rolurilor si responsabilitatilor (de exemplu, reprezentanti ai companiei, ofiteri operationali de protectie a datelor, coordonatori sau echipa de protectie a datelor si manageri operationali)
- Angajamentul de imbunatatire continua a unui sistem de management al protectiei datelor
- Instruirea, sensibilizarea si obligatia angajatilor
4: Cadrul legal in cadrul companiei
- Reguli legale sau de conduita specifice industriei pentru tratarea datelor cu caracter personal
- Cerintele partilor interne si externe
- Legile aplicabile, eventual cu reglementari locale speciale
5: Documentatie
A efectuat inspectii interne si externe
Necesitatea protectiei datelor: determinarea necesitatii de protectie cu privire la confidentialitate, integritate si disponibilitate.
6: Masurile tehnice si organizatorice existente
Masuri tehnice si organizatorice adecvate care trebuie puse in aplicare si justificate, luand in considerare, printre altele, scopul prelucrarii, stadiul tehnologiei si costurile de punere in aplicare.
Descrierea masurilor tehnice si organizatorice implementata poate fi bazata, de exemplu, pe structura ISO / IEC 27002, tinand seama de ISO / IEC 29151 (orientari pentru protectia datelor cu caracter personal). Capitolele respective trebuie sa fie justificate prin referirea la liniile directoare existente.
Exemple de astfel de orientari includ:
- Orientari privind drepturile persoanelor vizate
- Controlul accesului
- Clasificarea informatiilor (si manipularea acestora)
- Securitatea fizica si de mediu pentru utilizatorii finali, cum ar fi:
- Utilizarea permisa a valorilor
- Ghid pentru transferul de informatii in functie de mediul de lucru si blocarile ecranului
- Dispozitive mobile si telecomunicatii
- Restrictionarea instalarii si utilizarii software-ului
- Copia de rezerva a datelor
- Transfer de informatii
- Protectia impotriva programelor malware
- Manipularea punctelor slabe tehnice
- Masuri criptografice
- Securitatea comunicarii
- Confidentialitatea si protectia informatiilor personale
- Relatiile furnizorilor: Nota inspectia si evaluarea periodica a procesarii datelor, in special eficacitatea masurilor tehnice si organizatorice implementate.