Politika oznámení o ochraně osobních údajů a transparentnosti

Politika oznámení o ochraně osobních údajů a transparentnosti definuje požadavky organizace na vytváření, schvalování, zveřejňování, udržování, přezkoumávání a dokládání oznámení o ochraně osobních údajů a transparentních informací pro zpracování PII v rámci rozsahu PIMS. Jejím uvedeným účelem je zajistit, aby subjekty PII obdržely „jasná, aktuální, přístupná a auditovatelná oznámení o ochraně osobních údajů před požadovaným okamžikem v životním cyklu zpracování PII nebo v tomto okamžiku“. Politika se uplatní napříč zpracováním správcem, transparentními informacemi společného správce a podporou zpracovatele nebo dílčího zpracovatele pro povinnosti správce týkající se oznámení, pokud organizace jedná podle dokumentovaných pokynů zákazníka nebo zpracovatele. Vlastníkem politiky je vedoucí ochrany soukromí / manažer PIMS, schvaluje ji vrcholové vedení a jako důkazní objekty využívá REG02, REG06, REG07, REG11 a REG12. Ústředním prvkem politiky je řízení obsahu oznámení o ochraně osobních údajů prostřednictvím REG07. Politika stanoví REG07 jako autoritativní důkazní objekt pro evidenci oznámení, schválení, zveřejnění, přezkum, jazykové verze a záznamy správy verzí. U zpracování správcem musí vlastníci procesů / vlastníci podnikových procesů vytvořit záznam oznámení o ochraně osobních údajů REG07 propojený s příslušnou činností zpracování REG02 před spuštěním jakéhokoli nového kanálu pro shromažďování PII, služby, formuláře, kampaně, produktu nebo funkce. Pokud jsou PII získány ze zdroje odlišného od subjektu PII, záznam musí být vytvořen před první komunikací, před prvním zpřístupněním třetí straně nebo do 20 pracovních dnů od získání PII, podle toho, co nastane dříve. Politika dále vyžaduje, aby oznámení odkazovala na aktuální účely zpracování REG02, reference právního základu, kategorie PII, kategorie subjektů PII, kategorie zdrojů, kategorie příjemců, reference uchovávání a reference předávání. Politika definuje strukturovaný životní cyklus schvalování a zveřejňování. Vlastníci procesů / vlastníci podnikových procesů potvrzují přesnost a úplnost obsahu oznámení a předkládají záznam REG07 ke schválení vedoucímu ochrany soukromí / manažerovi PIMS před zveřejněním nebo aktivací kanálu pro shromažďování údajů. Vedoucí ochrany soukromí / manažer PIMS ověřuje soulad s REG02 a oznámení schvaluje nebo zamítá. Vlastníci systémů / vlastníci aplikací smějí zveřejnit pouze schválenou verzi oznámení REG07 před povolením digitálních kanálů pro shromažďování údajů, zatímco vlastníci procesů / vlastníci podnikových procesů musí schválená oznámení zpřístupnit prostřednictvím nedigitálních kanálů před shromažďováním PII. Důkazy o zveřejnění, včetně umístění a časového razítka nebo rovnocenného důkazu, musí být zaznamenány v REG07 do dvou pracovních dnů po zveřejnění. Pokud chybí požadované schválené důkazy k oznámení, nový kanál správce pro shromažďování údajů nesmí být spuštěn do produkčního prostředí. Kvalita transparentnosti je řešena prostřednictvím řízení jazyka, přístupnosti, verzí a změn. Politika vyžaduje identifikaci cílových skupin subjektů PII a požadovaných jazykových verzí před schválením. Vyžaduje důkazy o srozumitelném jazyce a vhodnosti pro cílovou skupinu v REG07, přeložené nebo lokalizované verze před zveřejněním a paritu verzí mezi hlavním a lokalizovanými oznámeními do 10 pracovních dnů po významné aktualizaci. Zastaralé verze oznámení musí být odstraněny, přesměrovány nebo označeny do pěti pracovních dnů po zveřejnění náhradní verze, zatímco nahrazené verze, data účinnosti, důkazy o schválení a důkazy o zveřejnění musí být uchovávány v REG07. Významné změny identity správce, kontaktního místa, účelu zpracování, právního základu, kategorií PII, kategorií příjemců, referencí uchovávání, referencí předávání, kanálů pro žádosti o uplatnění práv, kontaktních kanálů pro stížnosti nebo ochranu soukromí, jazykového pokrytí, publikačních kanálů nebo kontextu zpracování spouštějí opatření pro aktualizaci oznámení. Politika zahrnuje také požadavky na správu a řízení, měření, výjimky, uplatňování a údržbu. Aktivní oznámení REG07 se přezkoumávají alespoň jednou ročně a do 30 dnů po významných právních, regulačních, smluvních nebo zpracovatelských změnách. Záznamy oznámení REG07 se čtvrtletně sesoulazují s účely zpracování REG02 a nevyřešené nesoulady se zaznamenávají v REG12. Metriky zahrnují procento aktivních oznámení propojených s aktuálními účely REG02, oznámení přezkoumaná v termínu, opožděné aktualizace, nevyřešené nesoulady, zablokované nebo zpožděné kanály pro shromažďování údajů, požadavky zákazníků na podporu oznámení dokončené včas a oznámení s aktuálními důkazy o jazyku, verzi, schválení a zveřejnění. Výjimky musí být zaznamenány v REG12 před vznikem odchylek, s požadovaným poradenstvím v oblasti ochrany soukromí a schválením vrcholového vedení pro určené výjimky související s oznámeními. Chybějící, nepřesné, nezveřejněné, neschválené nebo zastaralé důkazy k oznámení se zaznamenávají jako neshoda a významně nepřesná nebo zavádějící oznámení jsou eskalována pověřencům pro ochranu osobních údajů / poradcům pro ochranu soukromí a vrcholovému vedení do dvou pracovních dnů od potvrzení.