Политика за инвентар на обработването на лични данни и правно основание

Политиката за инвентар на обработването на лични данни и правно основание определя как организацията поддържа своя инвентар на обработването на лични данни / RoPA и документира основните факти, необходими за доказване на отчетно обработване в рамките на обхвата на СУНЛИ. Тя се прилага за всички дейности по обработване на лични данни в обхвата, включително обработване, извършвано като администратор, съвместен администратор, обработващ лични данни или подизпълнител по обработване. Политиката обхваща обработването чрез бизнес процеси, системи, приложения, доставчици, обработващи лични данни, подизпълнители по обработване и получатели при споделяне на данни, и се прилага за ново, съществено променено и прекратено обработване. Записът в инвентара на обработването се определя като запис в REG02, който описва отделна дейност по обработване на лични данни, включително нейната цел, роля, собственик, категории лични данни, категории субекти на данни, правно основание или препратка към нареждане на клиента, системи, получатели, препратка към срок за съхранение, препратка към предаване, статус на риска за поверителността и статус на прегледа. Централна цел на политиката е REG02 да бъде официалният доказателствен обект за инвентара на обработването на лични данни и записите за дейностите по обработване. Политиката изисква собственик на процеса или собственик на бизнеса да създаде запис в REG02 преди започване на всяко ново обработване на лични данни и да запише изискваните полета преди началото на дейността. Тя също така изисква ролята на организацията в СУНЛИ да бъде класифицирана за всяка дейност и свързва системи, приложения, доставчици, обработващи лични данни, подизпълнители по обработване, споделяне с трети страни и взаимоотношения със съвместен администратор със съответния запис в REG02. Това създава структуриран запис на обработването, който може да се свързва с уведомления за поверителност, съгласие, DPIA, риск, доставчици, предаване, контроли и доказателства за одит, когато е приложимо. За дейности като администратор политиката изисква конкретната цел на обработването да бъде документирана преди личните данни да бъдат събрани, използвани, разкрити или обработени по друг начин. Ръководителят по поверителност / Мениджърът на СУНЛИ трябва да валидира правното основание, записано в REG02, преди започване на обработване като администратор и преди влизане в сила на всяка промяна на целта. Политиката разглежда и специални ситуации: съгласието трябва да бъде свързано с REG05, легитимните интереси трябва да препращат към REG04, специалните категории лични данни изискват записано условие, а данните за присъди или нарушения изискват основание за разрешение. В контексти на обработващ лични данни и подизпълнител по обработване политиката изисква препратки към нарежданията на клиента, цел на клиента, предмет, продължителност, категории лични данни и категории субекти на данни да бъдат записани преди началото на обработването, като доказателствата за споразумение и нареждане се поддържат в REG08. Политиката също така определя как инвентарът остава актуален. Съществените промени в обработването включват промени в целта, правното основание, ролята в СУНЛИ, категорията лични данни, категорията субекти на данни, получателя, системата, доставчика, подизпълнителя по обработване, мястото на обработване, предаването, правилото за съхранение, класификацията по сигурност, уведомлението за поверителност, зависимостта от съгласие, статуса на DPIA, нареждането на клиента или обхвата на сертификацията. REG02 трябва да бъде актуализиран в срок до 10 работни дни от идентифицирането на такава промяна, а оценката на риска за поверителността и проверката за необходимост от DPIA трябва да бъдат инициирани в REG04, преди новото или съществено променено обработване да продължи. Ръководителят по поверителност / Мениджърът на СУНЛИ съгласува REG02 с REG01, REG03, REG04, REG08 и REG09 на тримесечна база, докато Вътрешен одит / проверяващите по съответствие извършват извадкова проверка на пълнотата, точността и актуалността по време на планирани прегледи. Управлението, измерването, изключенията и прилагането са вградени в политиката. Ръководителят по поверителност / Мениджърът на СУНЛИ подава на тримесечна база в REG12 обобщения за състоянието на инвентара, записва показатели за инвентара, валидира нови записи в REG02 и поддържа минимални правила за полета и периодичност на прегледите. Висшето ръководство преглежда пълнотата, просрочените прегледи, съществените проблеми с правното основание и нерешените несъответствия по време на прегледа от ръководството. Изключенията трябва да бъдат заявявани и оценявани в REG12, със срокове на изтичане не по-дълги от 90 дни, като определени изключения изискват становище от длъжностното лице по защита на данните / съветника по поверителност и одобрение от висшето ръководство. Прилагането включва записване на несъответствия, спиране на ново обработване, когато липсват доказателства, блокиране на въвеждане на система в експлоатация или въвеждане на доставчици, когато липсва изискваната връзка, и проверка на ефективността на коригиращите действия.