Politik for styring af registreredes rettigheder

Politik for styring af registreredes rettigheder fastlægger organisationens obligatoriske tilgang til håndtering af anmodninger fra registrerede eller deres bemyndigede repræsentanter. Dens omfang dækker hele livscyklussen for håndtering af rettighedsanmodninger: modtagelse, validering, evaluering, opfyldelse, afvisning, forlængelse, lukning, overvågning og dokumentation af anmodninger. Den gælder for indsigt, berigtigelse, sletning, begrænsning, dataportabilitet, indsigelse, automatiseret beslutningstagning, routing af tilbagetrækning af samtykke, klager og relaterede forespørgsler. Politikken er udformet til dataansvarlige, fælles dataansvarlige, databehandlere og underdatabehandlere, hvor databehandler- og underdatabehandlerforpligtelser gælder, når der ydes bistand til en dataansvarlig, kunde eller overordnet databehandler efter dokumenterede instrukser. Politikkens formål er at sikre, at rettighedsanmodninger fra registrerede håndteres konsekvent, lovligt, sikkert, inden for fastsatte frister og med revisionsklart bevismateriale. Den kræver, at hver anmodning registreres i REG06 inden for to arbejdsdage efter modtagelse og klassificeres, før evalueringen påbegyndes. Påkrævede klassificeringsfelter omfatter anmodningstype, anmodningskanal, anmodningsdato, identitetsreference for anmoderen, tildelt ejer, intern forfaldsdato, lovbestemt eller kontraktlig forfaldsdato og aktuel status. For dataansvarlige skal den ansvarlige for databeskyttelse/PIMS-ansvarlige bekræfte modtagelsen eller give den næste påkrævede kommunikation inden for fem arbejdsdage efter modtagelsen. Anmodninger skal også knyttes til relevante REG02-behandlingsaktiviteter, før opfyldelseshandlinger tildeles, så svarbeslutninger er baseret på behandlingsregistreringer, formål, PII-kategorier, systemer, modtagere og opbevaringsbegrænsninger. Et væsentligt driftsmæssigt fokus er identitetsverifikation og sikker evaluering. Før PII videregives, eller anmodede ændringer foretages, skal den ansvarlige for databeskyttelse/PIMS-ansvarlige verificere anmoderens identitet eller repræsentantens bemyndigelse i REG06. Hvor identitet eller bemyndigelse er utilstrækkelig, må der kun anmodes om de minimale yderligere oplysninger, der er nødvendige for verifikation. Politikken tildeler højrisiko-, omtvistede, uklare, overdrevne, gentagne, afviste eller delvist opfyldte anmodninger til databeskyttelsesrådgiveren (DPO)/rådgiveren inden for databeskyttelse til gennemgang, før beslutningen kommunikeres. Den kræver også gennemgang af svarudtræk af systemejeren/applikationsansvarlige for at udelukke uvedkommende PII og uautoriserede tredjepartsdata samt gennemgang af den ansvarlige for informationssikkerhed af leveringsmetoder, før PII i stort omfang, følsomme PII, særlige kategorier af personoplysninger eller PII med høj risiko videregives. Krav til opfyldelse er specifikke for rettighedens karakter. Forretningsejere skal levere søgeresultater vedrørende indsigt senest ti arbejdsdage før svarfristen. Systemejere skal gennemføre godkendte handlinger vedrørende berigtigelse, sletning, begrænsning eller suppression og registrere bevismateriale for gennemførelse i REG06. Svarpakker vedrørende indsigt og dataportabilitet skal leveres via en autoriseret metode, og leveringsbevismateriale skal registreres før lukning. Indsigelsesanmodninger skal evalueres og registreres, før den anfægtede behandling fortsætter eller stoppes. Anmodninger, der vedrører udelukkende automatiserede afgørelser, kræver gennemgang, før organisationen giver et resultat, en rute for menneskelig gennemgang eller en begrundelse for afvisning. Når godkendte resultater kræver underretning til databehandlere, underdatabehandlere, fælles dataansvarlige, modtagere eller datadelingsparter registreret i REG08, skal den leverandør-/indkøbsansvarlige koordinere denne underretning. Politikken definerer også krav til styring, måling, undtagelser og håndhævelse. Den ansvarlige for databeskyttelse/PIMS-ansvarlige ejer arbejdsgangen for rettighedsanmodninger, REG06-strukturen, frister, tildelingsregler og lukkekriterier med mindst årlig gennemgang og opdateringer efter væsentlig ændring. Målepunkter omfatter månedlig måling af anmodninger efter type, status, forretningsejer og behandlingsaktivitet, månedlig rapportering af forsinkede poster, kvartalsvis måling af afvisnings-, delvis opfyldelses- og forlængelsesrater samt kvartalsvis gennemgang af tilbagevendende temaer, klager, tvister og korrigerende handlinger. Planlagte revisioner skal udtage stikprøver af lukkede REG06-registreringer og registrere konstateringer om beviskvalitet, rettidighed og lukning i REG12. Undtagelser skal godkendes i REG12 før implementering med udløbsdatoer, ejere og kompenserende kontroller. Håndhævelsesbestemmelser kræver afvigelser, eskalering af tredjeparts manglende samarbejde, ledelsens tildeling af ejerskab til korrigerende handling ved systemiske svigt og REG10-gennemgang, hvor en afvigelse tyder på uautoriseret videregivelse, tab, ændring, utilgængelighed eller en anden mistænkt PII-hændelse.