Politika řízení práv subjektů PII

Politika řízení práv subjektů PII stanoví povinný přístup organizace k řízení žádostí subjektů PII nebo jejich oprávněných zástupců. Její rozsah pokrývá celý životní cyklus vyřizování žádostí o uplatnění práv: příjem, validaci, vyhodnocení, vyřízení, odmítnutí, prodloužení, uzavření, monitorování a doložení žádostí. Uplatňuje se na přístup, opravu, výmaz, omezení, přenositelnost, námitku, automatizované rozhodování, směrování odvolání souhlasu, stížnosti a související dotazy. Politika je navržena pro kontexty správce, společného správce, zpracovatele a dílčího zpracovatele, přičemž povinnosti zpracovatele a dílčího zpracovatele se uplatní, pokud je poskytována podpora správci, zákazníkovi nebo nadřazenému zpracovateli podle dokumentovaných pokynů. Účelem politiky je zajistit, aby žádosti subjektů PII o uplatnění práv byly vyřizovány konzistentně, zákonně, bezpečně, ve stanovených lhůtách a s důkazy připravenými na audit. Vyžaduje, aby každá žádost byla do dvou pracovních dnů od přijetí zaznamenána v REG06 a klasifikována před zahájením vyhodnocení. Povinná klasifikační pole zahrnují typ žádosti, kanál žádosti, datum žádosti, referenci identity žadatele, přiřazeného vlastníka, interní termín splnění, zákonný nebo smluvní termín splnění a aktuální stav. U správců musí Vedoucí ochrany soukromí / manažer PIMS potvrdit přijetí nebo poskytnout další požadovanou komunikaci do pěti pracovních dnů od příjmu. Žádosti musí být před přiřazením úkonů vyřízení také propojeny s příslušnými činnostmi zpracování REG02, aby rozhodnutí o odpovědi vycházela ze záznamů o zpracování, účelů, kategorií PII, systémů, příjemců a omezení uchovávání. Významný provozní důraz je kladen na ověření identity a bezpečné vyhodnocení. Před zpřístupněním PII nebo provedením požadovaných změn musí Vedoucí ochrany soukromí / manažer PIMS ověřit identitu žadatele nebo oprávnění zástupce v REG06. Pokud identita nebo oprávnění nejsou dostatečné, smí být vyžádány pouze minimální dodatečné informace potřebné k ověření. Politika přiřazuje vysoce rizikové, sporné, nejasné, nadměrné, opakované, odmítnuté nebo částečně vyřízené žádosti Pověřenci pro ochranu osobních údajů / poradci pro ochranu soukromí k přezkumu před sdělením rozhodnutí. Vyžaduje také, aby Vlastník systému / vlastník aplikace přezkoumal výpisy odpovědí s cílem vyloučit nesouvisející PII a neoprávněná data třetích stran, a aby Vedoucí informační bezpečnosti přezkoumal metody doručení před zpřístupněním velkoobjemových, citlivých, zvláštních kategorií nebo vysoce rizikových PII. Požadavky na vyřízení jsou specifické podle povahy práva. Vlastníci podnikových procesů musí poskytnout výsledky vyhledávání pro přístup nejpozději deset pracovních dnů před lhůtou pro odpověď. Vlastníci systémů musí dokončit schválené úkony opravy, výmazu, omezení nebo potlačení a zaznamenat důkazy o dokončení v REG06. Balíčky odpovědí k přístupu a přenositelnosti musí být doručeny autorizovanou metodou a důkaz o doručení musí být zaznamenán před uzavřením. Žádosti o námitku musí být vyhodnoceny a zaznamenány před tím, než napadené zpracování pokračuje nebo se zastaví. Žádosti zahrnující výhradně automatizovaná rozhodnutí vyžadují přezkum před tím, než organizace poskytne výsledek, cestu lidského přezkumu nebo odůvodnění odmítnutí. Pokud schválené výsledky vyžadují oznámení zpracovatelům, dílčím zpracovatelům, společným správcům, příjemcům nebo stranám sdílení údajů zaznamenaným v REG08, musí Vlastník dodavatele / pořizování tuto notifikaci koordinovat. Politika rovněž definuje požadavky na správu a řízení, měření, výjimky a prosazování požadavků politiky. Vedoucí ochrany soukromí / manažer PIMS vlastní pracovní postup žádostí o uplatnění práv, strukturu REG06, termíny, pravidla přiřazování a kritéria uzavření, s přezkumem nejméně jednou ročně a aktualizacemi po významné změně. Metriky zahrnují měsíční měření žádostí podle typu, stavu, vlastníka podnikové oblasti a činnosti zpracování, měsíční vykazování opožděných položek, čtvrtletní měření míry odmítnutí, částečného vyřízení a prodloužení a čtvrtletní přezkum opakujících se témat, stížností, sporů a nápravných opatření. Plánované audity musí vzorkovat uzavřené záznamy REG06 a zaznamenat v REG12 zjištění týkající se kvality důkazů, včasnosti a uzavření. Výjimky musí být před implementací schváleny v REG12, s přiřazenými daty expirace, vlastníky a kompenzačními opatřeními. Ustanovení o uplatňování požadavků vyžadují zaznamenávání neshod, eskalaci nespolupráce třetích stran, přiřazení vlastnictví nápravných opatření vedením pro systémová selhání a přezkum REG10, pokud neshoda naznačuje neoprávněné zpřístupnění, ztrátu, změnu, nedostupnost nebo jiný podezřelý incident týkající se PII.