Политика за защита на личните данни още при проектиране и по подразбиране

Политиката за защита на личните данни още при проектиране и по подразбиране определя как изискванията за поверителност трябва да бъдат внедрени в нови и променени дейности по обработване на лични данни в обхвата на СУНЛИ. Тя се прилага за проекти, продукти, услуги, системи, приложения, интеграции, дейности по набавяне и промени в бизнес процеси. Политиката е предназначена за контексти на администратор, съвместен администратор, обработващ лични данни и подизпълнител по обработване, включително ситуации, в които организацията проектира, конфигурира, променя или експлоатира обработване от името на клиент, администратор или обработващ лични данни нагоре по веригата по документирани нареждания. Основната ѝ цел е да гарантира, че изискванията за поверителност се идентифицират, прилагат и доказват преди обработването на лични данни да започне или съществено да се промени. Политиката поставя специален акцент върху целта, необходимостта, минимизирането и защитаващите поверителността настройки по подразбиране. Собствениците на процеси и собствениците на бизнеса трябва да документират минималните категории лични данни, категориите субекти на данни, източниците и целите в REG02 и REG04 преди одобрение на дизайна за събиране или импортиране. Собствениците на системи и собствениците на приложения трябва да конфигурират настройките за обработване по подразбиране така, че да ограничават събирането и обработването на лични данни до минимално необходимото за документираната цел, и трябва да запишат доказателства в REG04 преди въвеждане в експлоатация. Незадължителните полета с лични данни, незадължителните избори за обработване, изключените по подразбиране настройки, настройките за експозиция при изгледи и отчети и обработването на временни файлове, кешове, журнали или записи в среди за тестване се третират като задължения за поверителност на етап дизайн, а не като последващи оперативни корекции. Връзката с риска за поверителността и DPIA е вградена в процеса на дизайн, без да замества отделната методология, определена в PII07. Ръководителят по поверителност / мениджърът на СУНЛИ трябва да потвърди, че рискът за поверителността и проверката за необходимост от DPIA са записани в REG04 преди одобрение на дизайна за ново или съществено променено обработване на лични данни. Действията за третиране в дизайна за поверителност, собствениците и крайните срокове трябва да бъдат записани преди приключване на прегледа, а доказателствата за прилагане трябва да бъдат събрани преди въвеждане в експлоатация. За високорисково или съществено променено обработване от администратор политиката също изисква проверка на дизайна за поверителност след внедряване в REG04 в срок до 30 календарни дни след въвеждането в експлоатация. Когато контролите по дизайна липсват, са неефективни, просрочени или заобиколени, в REG12 се открива коригиращо действие. Политиката разширява защитата на личните данни още при проектиране и към набавянето и взаимоотношенията с трети страни. Собствениците по доставчици и набавяне трябва да записват изискванията за защита на личните данни още при проектиране за доставчици, обработващи лични данни, подизпълнители по обработване, SaaS услуги, платформи или външно хоствани системи в REG08 преди одобрение на набавянето. Необходимостта от лични данни при трети страни, целта и минималните категории лични данни трябва да бъдат документирани преди външно обработване, споделяне на данни или одобрение на набавянето. Поддръжката от доставчика за настройки за поверителност по подразбиране, минимизиране и нужди от клиентска конфигурация трябва да бъде записана преди въвеждането на доставчици, а нерешените пропуски в дизайна за поверителност при доставчици се ескалират към REG12 в срок до пет работни дни и преди подписването на договора. Управлението, мониторингът, спазването и поддръжката са определени чрез периодични цикли на доказателства и преглед. Ръководителят по поверителност / мениджърът на СУНЛИ подава тримесечни обобщения за статуса на дизайна за поверителност в REG12, изчислява показатели за завършване и просрочени действия и проверява дали доказателствата за дизайна остават консолидирани в REG02, REG04, REG08 и REG12 преди вътрешен одит. Висшето ръководство преглежда изключенията с високо въздействие, блокираните решения за въвеждане в експлоатация и повтарящите се констатации по време на преглед от ръководството. Разпоредбите за спазване изискват предотвратяване на въвеждането в експлоатация, когато прегледът по REG04 е непълен, предотвратяване на въвеждането на доставчици, когато липсват доказателства в REG08, и спиране на ново или променено обработване на лични данни, докато прегледът по REG04, актуализациите в REG02 и необходимите изключения в REG12 не бъдат завършени.