Политика за събиране, използване, разкриване и споделяне на лични данни

Политиката за събиране, използване, разкриване и споделяне на лични данни определя оперативните изисквания за това как лично идентифициращата информация се събира, използва, разкрива и споделя в обхвата на СУНЛИ. Заявената ѝ цел е да гарантира, че личните данни се обработват само за документирани, одобрени, ограничени и отчетни цели. Политиката се прилага в контексти на администратор, съвместен администратор, обработващ лични данни и подизпълнител по обработване и обхваща събиране чрез преки, непреки, автоматизирани, ръчни, вътрешни и външни канали и канали на трети страни. Тя също така разглежда одобрено вътрешно използване от бизнес процеси, системи и приложения, вторично използване за нови или съществено променени цели, външно разкриване към получатели и трети страни, както и повтарящи се договорености за споделяне на данни и еднократни разкривания. Централна характеристика на политиката е използването на регистри с доказателства за свързване на решенията по поверителност с одитируеми записи. REG02 се използва за инвентар на обработването на лични данни, одобрени цели, правила за събиране, правила за използване и проверки за съвместимост на целите при вторично използване. REG08 се използва за записи за обработващи лични данни, подизпълнители по обработване и споделяне на данни, включително самоличност на получателя, роля на получателя, цел на разкриването, категории лични данни, честота на споделяне, място на обработване и източник на правомощие. REG09 се използва, когато споделянето включва нова държава, международна организация, място на отдалечен достъп, място на получателя или място на последващо предаване. REG12 се използва за изключения, несъответствия, одитни констатации, коригиращи действия, проблеми, блокиращи внедряването, и записи от преглед на политиката. Политиката определя ясни контролни точки преди започване на обработването. Собствениците на процеси или собствениците на бизнеса трябва да запишат в REG02 целите на събирането, източниците или каналите, категориите лични данни, категориите субекти на данни и минималните елементи от данни преди започване на ново събиране или съществена промяна. Те трябва също да документират обосновка на необходимостта за всеки елемент от лични данни преди събирането. Собствениците на системи или собствениците на приложения могат да внедряват само одобрени полета за събиране, полета в работни потоци, отчети, експорти или изходи за разкриване, които съответстват на одобрението в REG02 или REG08. В контексти на обработващ лични данни съответствието с нареждането на клиента трябва да бъде записано преди личните данни на клиента да бъдат събрани, използвани или разкрити. Вторичното използване се третира като управлявано решение, а не като неформално разширяване на съществуваща дейност. Преди личните данни да се използват за цел, която още не е одобрена в REG02, собственикът на процеса или собственикът на бизнеса трябва да запише проверка за съвместимост на целите, обхващаща първоначалната цел, предложената цел, зависимостта от правно основание, категориите лични данни, очакванията на субекта на данни, обосновката за минимизиране, въздействието върху разкриването или предаването и маршрутизиране към други политики на СУНЛИ, когато е необходимо. Ръководителят по поверителност или мениджърът на СУНЛИ трябва да запише одобрение или отказ преди започване на вторичното използване. Когато са включени чувствително повтарящо се споделяне, уязвими субекти на данни, записи с високо въздействие или съществено променени очаквания, съвет от длъжностно лице по защита на данните или съветник по поверителност трябва да бъде записан преди одобрение. Управлението, измерването и прилагането са вградени в политиката. Ръководителят по поверителност или мениджърът на СУНЛИ преглежда правилата за одобрено използване най-малко ежегодно, съгласува одобрените цели в REG02 с активните записи за споделяне в REG08 най-малко ежегодно и записва резултатите в REG12. Собствениците в областта на доставчиците или закупуването съгласуват активните записи за споделяне в REG08 с активните взаимоотношения с обработващи лични данни, подизпълнители по обработване, получатели и за споделяне на данни най-малко на тримесечна база. Вътрешният одит или преглеждащите лица по съответствието извършват ежегодно извадкова проверка на доказателствата в REG02, REG08 и REG09 и записват резултатите в REG12. Неодобрено събиране, използване, разкриване или споделяне трябва да бъде записано като несъответствие в срок до пет работни дни, а обработването може да бъде спряно в срок до един работен ден, когато липсват одобрени доказателства.