Politik for privatlivsmeddelelser og gennemsigtighed

Politikken for privatlivsmeddelelser og gennemsigtighed definerer organisationens krav til oprettelse, godkendelse, offentliggørelse, vedligeholdelse, gennemgang og dokumentation af privatlivsmeddelelser og gennemsigtighedsoplysninger for PII-behandling inden for PIMS-omfanget. Det angivne formål er at sikre, at de registrerede modtager "klare, aktuelle, tilgængelige og revisionsbare privatlivsmeddelelser før eller på det krævede tidspunkt i PII-behandlingens livscyklus". Politikken gælder for dataansvarliges behandling, gennemsigtighedsoplysninger fra fælles dataansvarlige og databehandleres eller underdatabehandleres understøttelse af dataansvarliges forpligtelser vedrørende privatlivsmeddelelser, hvor organisationen handler efter dokumenteret kundeinstruks eller instruks fra en databehandler. Politikken ejes af den ansvarlige for databeskyttelse / PIMS-ansvarlige, godkendes af øverste ledelse og anvender REG02, REG06, REG07, REG11 og REG12 som bevisobjekter. Et centralt element i politikken er styringen af indholdet i privatlivsmeddelelser gennem REG07. Politikken etablerer REG07 som det autoritative bevisobjekt for fortegnelser over privatlivsmeddelelser, godkendelse, offentliggørelse, gennemgang, sprog og registreringer vedrørende versionsstyring. For dataansvarliges behandling skal procesejere / forretningsejere oprette en REG07-registrering for privatlivsmeddelelse, der er koblet til den relevante REG02-behandlingsaktivitet, før lancering af en ny PII-indsamlingskanal, tjeneste, formular, kampagne, et nyt produkt eller en ny funktion. Hvor PII indhentes fra en anden kilde end den registrerede, skal registreringen oprettes før første kommunikation, før første videregivelse til en tredjepart eller inden for 20 arbejdsdage efter indhentning af PII, alt efter hvad der indtræffer først. Politikken kræver også, at meddelelser kobles til aktuelle REG02-behandlingsformål, referencer til behandlingsgrundlag, PII-kategorier, kategorier af registrerede, kildekategorier, modtagerkategorier, opbevaringsreferencer og overførselsreferencer. Politikken definerer en struktureret godkendelses- og offentliggørelseslivscyklus. Procesejere / forretningsejere attesterer nøjagtigheden og fuldstændigheden af meddelelsens indhold og indsender REG07-registreringen til godkendelse hos den ansvarlige for databeskyttelse / PIMS-ansvarlige før offentliggørelse eller aktivering af indsamlingskanalen. Den ansvarlige for databeskyttelse / PIMS-ansvarlige verificerer overensstemmelse med REG02 og godkender eller afviser meddelelsen. Systemejere / applikationsejere må kun offentliggøre den godkendte REG07-meddelelsesversion, før digitale indsamlingskanaler aktiveres, mens procesejere / forretningsejere skal gøre godkendte meddelelser tilgængelige via ikke-digitale kanaler, før PII indsamles. Dokumentation for offentliggørelse, herunder placering og tidsstempel eller tilsvarende dokumentation, skal registreres i REG07 inden for to arbejdsdage efter offentliggørelse. Hvis den krævede dokumentation for en godkendt meddelelse mangler, må den nye indsamlingskanal for den dataansvarlige ikke sættes i drift. Gennemsigtighedskvalitet behandles gennem sprog-, tilgængeligheds-, versions- og ændringskontroller. Politikken kræver identifikation af målgrupper blandt registrerede og krævede sprogversioner før godkendelse. Den kræver dokumentation i REG07 for klart sprog og målgruppeegnethed, oversatte eller lokaliserede versioner før offentliggørelse og versionsmæssig overensstemmelse mellem masterversioner og lokaliserede meddelelser inden for 10 arbejdsdage efter en væsentlig opdatering. Forældede meddelelsesversioner skal fjernes, omdirigeres eller mærkes inden for fem arbejdsdage efter offentliggørelse af en erstatning, mens erstattede versioner, ikrafttrædelsesdatoer, godkendelsesdokumentation og dokumentation for offentliggørelse skal opbevares i REG07. Væsentlige ændringer i dataansvarliges identitet, kontaktpunkt, behandlingsformål, behandlingsgrundlag, PII-kategorier, modtagerkategorier, opbevaringsreferencer, overførselsreferencer, kanaler for rettighedsanmodninger, klage- eller databeskyttelseskontaktkanaler, sprogdækning, offentliggørelseskanaler eller behandlingskontekst udløser kontroller for opdatering af privatlivsmeddelelser. Politikken omfatter også krav til styring, måling, undtagelser, håndhævelse og vedligeholdelse. Aktive REG07-meddelelser gennemgås mindst årligt og inden for 30 dage efter væsentlige juridiske, regulatoriske, kontraktlige eller behandlingsmæssige ændringer. REG07-registreringer for privatlivsmeddelelser afstemmes kvartalsvist mod REG02-behandlingsformål, og uafklarede uoverensstemmelser registreres i REG12. Metrikker omfatter procentdelen af aktive meddelelser, der er koblet til aktuelle REG02-formål, meddelelser gennemgået inden for fristen, forsinkede opdateringer, uafklarede uoverensstemmelser, blokerede eller forsinkede indsamlingskanaler, kundeanmodninger om understøttelse af privatlivsmeddelelser, der er gennemført rettidigt, samt meddelelser med aktuel dokumentation for sprog, version, godkendelse og offentliggørelse. Undtagelser skal registreres i REG12, før afvigelser forekommer, med krævet rådgivning om databeskyttelse og godkendelse fra øverste ledelse for angivne undtagelser relaterede til privatlivsmeddelelser. Manglende, unøjagtig, ikke-offentliggjort, ikke-godkendt eller forældet dokumentation for privatlivsmeddelelser registreres som en afvigelse, og væsentligt unøjagtige eller vildledende meddelelser eskaleres til databeskyttelsesrådgiveren (DPO) / rådgiveren inden for databeskyttelse og øverste ledelse inden for to arbejdsdage efter bekræftelse.