Политика за уведомления за поверителност и прозрачност

Политиката за уведомления за поверителност и прозрачност определя изискванията на организацията за създаване, одобряване, публикуване, поддържане, преглед и доказване на уведомления за поверителност и информация за прозрачност при обработването на лични данни в обхвата на СУНЛИ. Декларираната ѝ цел е да гарантира, че субектите на данни получават „ясни, актуални, достъпни и годни за одит уведомления за поверителност преди или в необходимия момент от жизнения цикъл на обработването на лични данни“. Политиката се прилага за обработване от администратор, информация за прозрачност при съвместен администратор и поддръжка от обработващ лични данни или подизпълнител по обработване във връзка със задълженията на администратора за уведомления, когато организацията действа по документирани нареждания на клиента или обработващ лични данни. Собственик на политиката е ръководителят по поверителност / мениджърът на СУНЛИ, тя се одобрява от висшето ръководство и използва REG02, REG06, REG07, REG11 и REG12 като доказателствени обекти. Централен елемент на политиката е контролът върху съдържанието на уведомленията за поверителност чрез REG07. Политиката установява REG07 като официален доказателствен обект за инвентар на уведомленията, одобрение, публикуване, преглед, език и записи за управление на версиите. При обработване от администратор собствениците на процеси / собствениците на бизнеса трябва да създадат запис за уведомление за поверителност в REG07, свързан със съответната дейност по обработване в REG02, преди стартирането на нов канал за събиране на лични данни, услуга, формуляр, кампания, продукт или функционалност. Когато личните данни са получени от източник, различен от субекта на данни, записът трябва да бъде създаден преди първата комуникация, преди първото разкриване на трета страна или в срок до 20 работни дни от получаването на личните данни, в зависимост от това кое от тези събития настъпи първо. Политиката също така изисква уведомленията да бъдат свързани с актуалните цели на обработването в REG02, препратки към правно основание, категории лични данни, категории субекти на данни, категории източници, категории получатели, препратки към сроковете за съхранение и препратки към предавания. Политиката определя структуриран жизнен цикъл за одобрение и публикуване. Собствениците на процеси / собствениците на бизнеса удостоверяват точността и пълнотата на съдържанието на уведомлението и подават записа в REG07 за одобрение от ръководителя по поверителност / мениджъра на СУНЛИ преди публикуване или активиране на канал за събиране. Ръководителят по поверителност / мениджърът на СУНЛИ проверява съгласуваността с REG02 и одобрява или отхвърля уведомлението. Собствениците на системи / собствениците на приложения могат да публикуват само одобрената версия на уведомлението в REG07 преди активиране на цифрови канали за събиране, а собствениците на процеси / собствениците на бизнеса трябва да осигурят наличност на одобрените уведомления чрез нецифрови канали преди събирането на лични данни. Доказателства за публикуване, включително местоположение и времеви маркер или еквивалентно доказателство, трябва да бъдат записани в REG07 в срок до два работни дни след публикуването. Ако липсват необходимите доказателства за одобрено уведомление, новият канал за събиране от администратор не трябва да се въвежда в експлоатация. Качеството на прозрачността се управлява чрез контроли за език, достъпност, версии и промени. Политиката изисква идентифициране на целевите аудитории от субекти на данни и необходимите езикови версии преди одобрение. Тя изисква доказателства в REG07 за ясен език и пригодност за аудиторията, преведени или локализирани версии преди публикуване и паритет на версиите между основното и локализираните уведомления в срок до 10 работни дни след съществена актуализация. Остарелите версии на уведомленията трябва да бъдат премахнати, пренасочени или обозначени в срок до пет работни дни след публикуването на заместващата версия, а заменените версии, датите на влизане в сила, доказателствата за одобрение и доказателствата за публикуване трябва да се съхраняват в REG07. Съществени промени в идентичността на администратора, точката за контакт, целта на обработването, правното основание, категориите лични данни, категориите получатели, препратките към сроковете за съхранение, препратките към предавания, каналите за искания за упражняване на права, каналите за жалби или контакт по поверителността, езиковото покритие, каналите за публикуване или контекста на обработването задействат контроли за актуализация на уведомлението. Политиката включва също изисквания за управление, измерване, изключения, прилагане и поддръжка. Активните уведомления в REG07 се преглеждат най-малко ежегодно и в срок до 30 дни след съществени правни, регулаторни, договорни промени или промени в обработването. Записите за уведомления в REG07 се съпоставят с целите на обработването в REG02 на тримесечна база, като нерешените несъответствия се записват в REG12. Показателите включват процента на активните уведомления, свързани с актуалните цели в REG02, уведомленията, прегледани в срок, просрочените актуализации, нерешените несъответствия, блокираните или забавени канали за събиране, исканията от клиенти за поддръжка на уведомления, изпълнени в срок, и уведомленията с актуални доказателства за език, версия, одобрение и публикуване. Изключенията трябва да бъдат записани в REG12 преди възникване на отклонения, с необходима консултация по поверителността и одобрение от висшето ръководство за определени изключения, свързани с уведомленията. Липсващи, неточни, непубликувани, неодобрени или остарели доказателства за уведомление се записват като несъответствие, а съществено неточни или подвеждащи уведомления се ескалират към длъжностното лице по защита на данните / съветника по поверителност и висшето ръководство в срок до два работни дни от потвърждаването.