Politik for fortegnelse over PII-behandlingsaktiviteter og behandlingsgrundlag

Politikken for fortegnelse over PII-behandlingsaktiviteter og behandlingsgrundlag definerer, hvordan en organisation vedligeholder sin fortegnelse over PII-behandlingsaktiviteter / RoPA og dokumenterer de centrale fakta, der er nødvendige for at dokumentere ansvarlig behandling inden for PIMS-omfang. Den gælder for alle omfattede PII-behandlingsaktiviteter, herunder behandling udført som dataansvarlig, fælles dataansvarlig, databehandler eller underdatabehandler. Politikken dækker behandling gennem forretningsprocesser, systemer, applikationer, leverandører, databehandlere, underdatabehandlere og modtagere i datadelingsordninger, og den gælder for ny, væsentligt ændret og afsluttet behandling. En registrering i fortegnelsen over behandlingsaktiviteter defineres som en REG02-post, der beskriver en særskilt PII-behandlingsaktivitet, herunder dens formål, rolle, ejer, PII-kategorier, kategorier af registrerede, reference til behandlingsgrundlag eller kundens instruks, systemer, modtagere, opbevaringsreference, overførselsreference, status for risikovurdering vedrørende databeskyttelse og status for gennemgang. Et centralt mål med politikken er at gøre REG02 til det autoritative bevisobjekt for fortegnelsen over PII-behandlingsaktiviteter og fortegnelser over behandlingsaktiviteter. Politikken kræver, at en procesejer eller virksomhedsejer opretter en REG02-registrering, før ny PII-behandling påbegyndes, og registrerer de obligatoriske felter, før aktiviteten starter. Den kræver også, at organisationens PIMS-rolle klassificeres for hver aktivitet, og den kobler systemer, applikationer, leverandører, databehandlere, underdatabehandlere, tredjepartsdeling og forhold som fælles dataansvarlig til den relevante REG02-registrering. Dette skaber en struktureret registrering af behandling, der kan forbindes med privatlivsmeddelelser, samtykke, DPIA, risiko, leverandør-, overførsels-, kontrol- og revisionsbevismateriale, hvor det er relevant. For aktiviteter som dataansvarlig kræver politikken, at det specifikke behandlingsformål dokumenteres, før PII indsamles, anvendes, videregives eller på anden måde behandles. Den databeskyttelsesansvarlige / PIMS-ansvarlige skal validere det behandlingsgrundlag, der er registreret i REG02, før behandling som dataansvarlig påbegyndes, og før en formålsændring får virkning. Politikken behandler også særlige situationer: Samtykke skal kobles til REG05, legitime interesser skal henvise til REG04, særlige kategorier af personoplysninger kræver en registreret betingelse, og oplysninger om straffedomme og lovovertrædelser kræver et autorisationsgrundlag. For databehandler- og underdatabehandlersammenhænge kræver politikken, at referencer til kundens instruks, kundens formål, genstand, varighed, PII-kategorier og kategorier af registrerede registreres, før behandling påbegyndes, mens aftale- og instruksbevismateriale vedligeholdes i REG08. Politikken definerer også, hvordan fortegnelsen holdes aktuel. Væsentlige ændringer i behandling omfatter ændringer i formål, behandlingsgrundlag, PIMS-rolle, PII-kategori, kategori af registrerede, modtager, system, leverandør, underdatabehandler, behandlingslokation, overførsel, opbevaringsregel, sikkerhedsklassificering, privatlivsmeddelelse, samtykkeafhængighed, DPIA-status, kundens instruks eller certificeringsomfang. REG02 skal opdateres inden for 10 arbejdsdage efter identifikation af en sådan ændring, og risikovurdering vedrørende databeskyttelse og DPIA-screening skal iværksættes i REG04, før ny eller væsentligt ændret behandling fortsætter. Den databeskyttelsesansvarlige / PIMS-ansvarlige afstemmer REG02 mod REG01, REG03, REG04, REG08 og REG09 kvartalsvist, mens intern revision / efterlevelsesgennemgangsansvarlige udtager stikprøver af fuldstændighed, nøjagtighed og aktualitet under planlagte gennemgange. Styring, måling, undtagelser og håndhævelse er indbygget i politikken. Den databeskyttelsesansvarlige / PIMS-ansvarlige indsender kvartalsvise sammenfatninger af fortegnelsens sundhedstilstand i REG12, registrerer fortegnelsesmetrikker, validerer nye REG02-registreringer og vedligeholder regler for minimumsfelter og gennemgangskadence. Øverste ledelse gennemgår fuldstændighed, forsinkede gennemgange, væsentlige forhold vedrørende behandlingsgrundlag og uafklarede afvigelser som led i ledelsens gennemgang. Undtagelser skal anmodes om og vurderes i REG12 med udløbsdatoer på højst 90 dage, og visse undtagelser kræver rådgivning fra databeskyttelsesrådgiveren / rådgiveren inden for databeskyttelse og godkendelse fra øverste ledelse. Håndhævelse omfatter registrering af afvigelser, suspension af ny behandling, når bevismateriale mangler, blokering af idriftsættelse i produktionsmiljøet eller onboarding af leverandører, når påkrævede koblinger mangler, og verifikation af effektiviteten af korrigerende handlinger.