Politika ochrany osobních údajů již od návrhu a ve výchozím nastavení

Politika ochrany osobních údajů již od návrhu a ve výchozím nastavení vymezuje, jak musí být požadavky na ochranu soukromí začleněny do nových a změněných činností zpracování PII v rámci rozsahu PIMS. Vztahuje se na projekty, produkty, služby, systémy, aplikace, integrace, činnosti pořizování a změny obchodních procesů. Politika je určena pro kontexty správce, společného správce, zpracovatele a dílčího zpracovatele, včetně situací, kdy organizace navrhuje, konfiguruje, mění nebo provozuje zpracování jménem zákazníka, správce nebo nadřazeného zpracovatele podle dokumentovaných pokynů. Jejím hlavním účelem je zajistit, aby byly požadavky na ochranu soukromí identifikovány, implementovány a doloženy před zahájením nebo významnou změnou zpracování PII. Politika klade zvláštní důraz na účel, nezbytnost, minimalizaci a výchozí nastavení chránící soukromí. Vlastníci procesů a vlastníci podnikových procesů musí před schválením návrhu shromažďování nebo importu v REG02 a REG04 dokumentovat minimální kategorie PII, kategorie subjektů PII, zdroje a účely. Vlastníci systémů a vlastníci aplikací musí nakonfigurovat výchozí nastavení zpracování na minimální shromažďování a zpracování PII potřebné pro dokumentovaný účel a před spuštěním do produkčního prostředí musí zaznamenat důkazy v REG04. Volitelná pole PII, volitelné možnosti zpracování, nastavení vypnutá ve výchozím stavu, nastavení expozice pro pohledy a reporty a nakládání s dočasnými soubory, cache, logy nebo záznamy ve stagingovém prostředí se považují za povinnosti ochrany soukromí ve fázi návrhu, nikoli za následné provozní opravy. Vazba na posouzení rizik pro soukromí a předběžné posouzení nutnosti DPIA je začleněna do návrhového procesu, aniž nahrazuje samostatnou metodiku definovanou v PII07. Vedoucí ochrany soukromí / manažer PIMS musí potvrdit, že posouzení rizik pro soukromí a předběžné posouzení nutnosti DPIA jsou před schválením návrhu u nového nebo významně změněného zpracování PII zaznamenána v REG04. Opatření k ošetření návrhu z hlediska ochrany soukromí, vlastníci a termíny splnění musí být zaznamenány před uzavřením přezkumu a důkazy o implementaci musí být zachyceny před spuštěním do produkčního prostředí. U vysoce rizikového nebo významně změněného zpracování v roli správce politika rovněž vyžaduje kontrolu návrhu z hlediska ochrany soukromí po implementaci v REG04 do 30 kalendářních dnů od spuštění do produkčního prostředí. Pokud návrhové otázky chybí, jsou neúčinné, opožděné nebo obcházené, otevírá se nápravné opatření v REG12. Politika dále rozšiřuje ochranu osobních údajů již od návrhu na pořizování a vztahy se třetími stranami. Vlastníci dodavatelů a pořizování musí před schválením pořizování zaznamenat v REG08 požadavky ochrany osobních údajů již od návrhu pro dodavatele, zpracovatele, dílčí zpracovatele, služby SaaS, platformy nebo externě hostované systémy. Nezbytnost PII u třetí strany, účel a minimální kategorie PII musí být dokumentovány před externím zpracováním, sdílením údajů nebo schválením pořizování. Podpora dodavatele pro nastavení ochrany soukromí ve výchozím nastavení, minimalizaci a potřeby konfigurace zákazníka musí být zaznamenána před onboardingem, zatímco nevyřešené mezery v návrhu ochrany soukromí u dodavatele se eskalují do REG12 do pěti pracovních dnů a před podpisem smlouvy. Správa, monitorování, uplatňování a údržba jsou vymezeny prostřednictvím opakujících se důkazů a cyklů přezkumu. Vedoucí ochrany soukromí / manažer PIMS předkládá v REG12 čtvrtletní shrnutí stavu návrhu z hlediska ochrany soukromí, vypočítává metriky dokončení a opožděných opatření a před interním auditem ověřuje, že důkazy k návrhu zůstávají konsolidovány v REG02, REG04, REG08 a REG12. Vrcholové vedení přezkoumává výjimky s významným dopadem, zablokovaná rozhodnutí o spuštění do produkčního prostředí a opakující se zjištění v rámci přezkoumání vedením. Ustanovení o uplatňování požadavků vyžadují zabránění spuštění do produkčního prostředí, pokud není dokončen přezkum REG04, zabránění onboardingu, pokud chybí důkazy REG08, a pozastavení nového nebo změněného zpracování PII, dokud není dokončen přezkum REG04, provedena aktualizace REG02 a dokončeny požadované výjimky REG12.