Politik for indsamling, brug, videregivelse og deling af personhenførbare oplysninger (PII)

Politik for indsamling, brug, videregivelse og deling af personhenførbare oplysninger (PII) fastlægger operationelle krav til, hvordan personhenførbare oplysninger (PII) indsamles, bruges, videregives og deles inden for PIMS-omfang. Det angivne formål er at sikre, at personhenførbare oplysninger (PII) kun håndteres til dokumenterede, godkendte, begrænsede og ansvarlige formål. Politikken gælder på tværs af kontekster som dataansvarlig, fælles dataansvarlig, databehandler og underdatabehandler og omfatter indsamling via direkte, indirekte, automatiserede, manuelle, interne, eksterne og tredjepartskanaler. Den adresserer også godkendt intern brug i forretningsprocesser, systemer og applikationer, viderebehandling til nye eller væsentligt ændrede formål, ekstern videregivelse til modtagere og tredjeparter samt både tilbagevendende datadelingsordninger og enkeltstående videregivelser. Et centralt element i politikken er brugen af registre for bevismateriale til at forbinde databeskyttelsesbeslutninger med revisionsbare registreringer. REG02 anvendes til fortegnelse over behandling af personhenførbare oplysninger (PII), godkendte formål, indsamlingsregler, brugsregler og forenelighedsvurderinger ved viderebehandling. REG08 anvendes til registreringer vedrørende databehandler, underdatabehandler og datadeling, herunder modtagerens identitet, modtagerens rolle, formål med videregivelsen, PII-kategorier, delingshyppighed, behandlingslokation og autoritativ kilde. REG09 anvendes, når deling omfatter et nyt land, en international organisation, en lokation for fjernadgang, en modtagerlokation eller en lokation for videreoverførsel. REG12 anvendes til undtagelser, afvigelser, revisionskonstateringer, korrigerende handlinger, forhold, der blokerer implementering, og registreringer af politikgennemgang. Politikken fastsætter klare kontrolpunkter, før behandling starter. Procesejere eller virksomhedsejere skal registrere indsamlingsformål, kilder eller kanaler, PII-kategorier, kategorier af registrerede og minimale dataelementer i REG02, før ny indsamling eller en væsentlig ændring påbegyndes. De skal også dokumentere en nødvendighedsbegrundelse for hvert PII-dataelement før indsamling. Systemejere eller applikationsejere må kun implementere godkendte indsamlingsfelter, workflowfelter, rapporter, eksporter eller outputs til videregivelse, som matcher godkendelsen i REG02 eller REG08. I databehandlerkontekster skal overensstemmelse med kundens instruks registreres, før kundens personhenførbare oplysninger (PII) indsamles, bruges eller videregives. Viderebehandling behandles som en styret beslutning og ikke som en uformel udvidelse af en eksisterende aktivitet. Før personhenførbare oplysninger (PII) bruges til et formål, der ikke allerede er godkendt i REG02, skal procesejeren eller virksomhedsejeren registrere en forenelighedsvurdering, der dækker det oprindelige formål, det foreslåede formål, afhængighed af behandlingsgrundlag, PII-kategorier, forventninger hos registrerede, begrundelse for dataminimering, påvirkning fra videregivelse eller overførsel og routing til andre PIMS-politikker, hvor det er nødvendigt. Privacy Lead eller PIMS-ansvarlig skal registrere en godkendelse eller afvisning, før viderebehandlingen begynder. Hvor følsom tilbagevendende deling, sårbare registrerede, registreringer med stor betydning eller væsentligt ændrede forventninger er involveret, skal rådgivning fra databeskyttelsesrådgiver (DPO) eller rådgiver inden for databeskyttelse registreres før godkendelse. Styring, måling og håndhævelse er indbygget i politikken. Privacy Lead eller PIMS-ansvarlig gennemgår godkendte brugsregler mindst årligt, afstemmer REG02-godkendte formål med aktive delingsregistreringer i REG08 mindst årligt og registrerer resultater i REG12. Leverandør- eller indkøbsansvarlige afstemmer aktive delingsposter i REG08 med aktive relationer til databehandlere, underdatabehandlere, modtagere og datadelingsrelationer mindst kvartalsvist. Intern revision eller efterlevelseskontrollanter udtager årligt stikprøver af REG02-, REG08- og REG09-bevismateriale og registrerer resultater i REG12. Ikke-godkendt indsamling, brug, videregivelse eller deling skal registreres som en afvigelse inden for fem arbejdsdage, og behandling kan suspenderes inden for én arbejdsdag, hvis godkendt bevismateriale mangler.