Политика за управление на правата на субектите на данни

Политиката за управление на правата на субектите на данни установява задължителния подход на организацията за управление на искания от субекти на данни или от техни упълномощени представители. Нейният обхват включва пълния жизнен цикъл на обработването на искания за упражняване на права: получаване, валидиране, оценяване, изпълнение, отказване, удължаване, приключване, мониторинг и доказване на исканията. Тя се прилага за достъп, коригиране, изтриване, ограничаване, преносимост, възражение, автоматизирано вземане на решения, маршрутизиране на оттегляне на съгласие, жалби и свързани запитвания. Политиката е предназначена за контексти на администратор, съвместен администратор, обработващ лични данни и подизпълнител по обработване, като задълженията на обработващия лични данни и подизпълнителя по обработване се прилагат, когато се предоставя подкрепа на администратор, клиент или обработващ лични данни нагоре по веригата по документирани указания. Целта на политиката е да гарантира, че исканията за упражняване на права на субектите на данни се обработват последователно, законосъобразно, сигурно, в определени срокове и с доказателства, подходящи за одит. Тя изисква всяко искане да бъде записано в REG06 в рамките на два работни дни от получаването и класифицирано преди започване на оценката. Задължителните полета за класификация включват вид на искането, канал на искането, дата на искането, референтен идентификатор на самоличността на заявителя, определен собственик, вътрешен краен срок, законоустановен или договорен краен срок и текущ статус. За администраторите Ръководителят по поверителност / Мениджърът на СУНЛИ трябва да потвърди получаването или да предостави следващата необходима комуникация в рамките на пет работни дни от приемането. Исканията трябва също да бъдат свързани със съответните дейности по обработване в REG02, преди да бъдат възложени действия по изпълнение, за да се гарантира, че решенията за отговор са основани на записи за обработването, цели, категории лични данни, системи, получатели и ограничения за съхранение. Основен оперативен акцент е проверката на самоличността и сигурното оценяване. Преди разкриване на лични данни или извършване на поисканите промени Ръководителят по поверителност / Мениджърът на СУНЛИ трябва да провери самоличността на заявителя или представителните правомощия в REG06. Когато самоличността или правомощията са недостатъчни, може да бъде поискана само минималната допълнителна информация, необходима за проверката. Политиката възлага високорискови, спорни, неясни, прекомерни, повтарящи се, отказани или частично изпълнени искания на Длъжностното лице по защита на данните / Съветника по поверителност за преглед преди съобщаване на решението. Тя също изисква Собственикът на система / собственикът на приложение да преглежда извадките за отговор, за да изключи несвързани лични данни и неоторизирани данни на трети страни, както и Ръководителят по информационна сигурност да преглежда методите за предоставяне, преди да бъдат разкрити големи обеми, чувствителни, специални категории или високорискови лични данни. Изискванията за изпълнение са специфични според естеството на правото. Собствениците на бизнес процеси трябва да предоставят резултатите от търсенето за достъп не по-късно от десет работни дни преди крайния срок за отговор. Собствениците на системи трябва да завършат одобрените действия за коригиране, изтриване, ограничаване или потискане и да запишат доказателства за завършване в REG06. Пакетите с отговор за достъп и преносимост трябва да бъдат предоставени чрез разрешен метод, като доказателствата за предоставяне се записват преди приключване. Исканията за възражение трябва да бъдат оценени и записани, преди оспорваното обработване да продължи или да бъде прекратено. Исканията, включващи единствено автоматизирани решения, изискват преглед преди организацията да предостави резултат, маршрут за човешки преглед или мотиви за отказ. Когато одобрените резултати изискват уведомяване на обработващи лични данни, подизпълнители по обработване, съвместни администратори, получатели или страни по споделяне на данни, записани в REG08, Собственикът по доставчици / набавяне трябва да координира това уведомяване. Политиката определя също изисквания за управление, измерване, изключения и прилагане. Ръководителят по поверителност / Мениджърът на СУНЛИ е собственик на работния поток за искания за упражняване на права, структурата на REG06, сроковете, правилата за възлагане и критериите за приключване, с поне годишен преглед и актуализации след съществена промяна. Показателите включват месечно измерване на исканията по вид, статус, собственик на бизнес процес и дейност по обработване; месечно докладване на просрочени елементи; тримесечно измерване на честотата на откази, частично изпълнение и удължавания; както и тримесечен преглед на повтарящи се теми, жалби, спорове и коригиращи действия. Планираните одити трябва да проверяват извадка от приключени записи в REG06 и да записват в REG12 констатации относно качеството на доказателствата, спазването на сроковете и приключването. Изключенията трябва да бъдат одобрени в REG12 преди прилагане, с определени дати на изтичане, собственици и компенсиращи контроли. Разпоредбите за спазване изискват несъответствия, ескалация при несъдействие от трети страни, възлагане от ръководството на собственост върху коригиращи действия при системни откази и преглед в REG10, когато несъответствие предполага неоторизирано разкриване, загуба, изменение, неналичност или друг предполагаем инцидент с лични данни.