Politika evidence zpracování osobně identifikovatelných údajů (PII) a právního základu

Politika evidence zpracování osobně identifikovatelných údajů (PII) a právního základu vymezuje, jak organizace udržuje svou evidenci činností zpracování PII / RoPA a dokumentuje základní skutečnosti potřebné k prokázání odpovědného zpracování v rozsahu PIMS. Vztahuje se na všechny činnosti zpracování PII v rozsahu, včetně zpracování prováděného jako správce, společný správce, zpracovatel nebo dílčí zpracovatel. Politika pokrývá zpracování v rámci obchodních procesů, systémů, aplikací, dodavatelů, zpracovatelů, dílčích zpracovatelů a příjemců sdílení údajů a vztahuje se na nové, významně změněné i ukončené zpracování. Záznam evidence činností zpracování je definován jako položka REG02, která popisuje samostatnou činnost zpracování PII, včetně jejího účelu, role, vlastníka, kategorií PII, kategorií subjektů PII, právního základu nebo odkazu na pokyn zákazníka, systémů, příjemců, odkazu na uchovávání, odkazu na předávání, stavu rizika pro soukromí a stavu přezkumu. Ústředním cílem politiky je stanovit REG02 jako autoritativní důkazní objekt pro evidenci činností zpracování PII a záznamy o činnostech zpracování. Politika vyžaduje, aby vlastník procesu nebo vlastník společnosti vytvořil záznam REG02 před zahájením jakéhokoli nového zpracování PII a aby před zahájením činnosti zaznamenal požadovaná pole. Vyžaduje také klasifikaci role organizace v PIMS pro každou činnost a propojuje systémy, aplikace, dodavatele, zpracovatele, dílčí zpracovatele, sdílení s třetími stranami a vztahy společného správce s příslušným záznamem REG02. Tím vzniká strukturovaný záznam o zpracování, který lze podle potřeby propojit s důkazy týkajícími se oznámení o ochraně osobních údajů, souhlasu, DPIA, rizik, dodavatelů, předávání, opatření a auditu. U činností správce politika vyžaduje, aby byl konkrétní účel zpracování dokumentován před shromažďováním, použitím, zpřístupněním nebo jiným zpracováním PII. Vedoucí ochrany soukromí / manažer PIMS musí ověřit právní základ zaznamenaný v REG02 před zahájením zpracování správcem a před účinností jakékoli změny účelu. Politika řeší také zvláštní situace: souhlas musí být propojen s REG05, oprávněné zájmy musí odkazovat na REG04, zvláštní kategorie PII vyžadují zaznamenanou podmínku a údaje o odsouzeních v trestních věcech nebo trestných činech vyžadují autorizační základ. V kontextu zpracovatele a dílčího zpracovatele politika vyžaduje, aby byly před zahájením zpracování zaznamenány odkazy na pokyn zákazníka, účel zákazníka, předmět, doba trvání, kategorie PII a kategorie subjektů PII, přičemž důkazy o smlouvách a pokynech jsou udržovány v REG08. Politika dále definuje, jak evidence zůstává aktuální. Významné změny zpracování zahrnují změny účelu, právního základu, role PIMS, kategorie PII, kategorie subjektu PII, příjemce, systému, dodavatele, dílčího zpracovatele, místa zpracování, předávání, pravidla uchovávání, bezpečnostní klasifikace, oznámení o ochraně osobních údajů, závislosti na souhlasu, stavu DPIA, pokynu zákazníka nebo rozsahu certifikace. REG02 musí být aktualizována do 10 pracovních dnů od zjištění takové změny a posouzení rizik pro soukromí a předběžné posouzení nutnosti DPIA musí být zahájeno v REG04 před pokračováním nového nebo významně změněného zpracování. Vedoucí ochrany soukromí / manažer PIMS čtvrtletně porovnává REG02 s REG01, REG03, REG04, REG08 a REG09, zatímco přezkoumávající osoby interního auditu / souladu vzorkují úplnost, přesnost a aktuálnost během plánovaných přezkumů. Správa, měření, výjimky a uplatňování požadavků jsou do politiky začleněny. Vedoucí ochrany soukromí / manažer PIMS předkládá v REG12 čtvrtletní souhrny stavu evidence, zaznamenává metriky evidence, validuje nové záznamy REG02 a udržuje pravidla pro minimální pole a periodicitu přezkumů. Vrcholové vedení při přezkoumání vedením přezkoumává úplnost, opožděné přezkumy, závažné problémy právního základu a nevyřešené neshody. Výjimky musí být vyžádány a posouzeny v REG12, s daty skončení platnosti nepřesahujícími 90 dnů, a některé výjimky vyžadují stanovisko pověřence pro ochranu osobních údajů / poradce pro ochranu soukromí a schválení vrcholovým vedením. Uplatňování požadavků zahrnuje zaznamenávání neshod, pozastavení nového zpracování při chybějících důkazech, blokování spuštění systému do produkčního prostředí nebo zařazení dodavatelů při absenci požadovaných vazeb a ověření účinnosti nápravných opatření.