Πολιτική Απογραφής Επεξεργασίας Δεδομένων Προσωπικού Χαρακτήρα και Νομικής Βάσης

Η Πολιτική Απογραφής Επεξεργασίας Δεδομένων Προσωπικού Χαρακτήρα και Νομικής Βάσης ορίζει τον τρόπο με τον οποίο ένας οργανισμός διατηρεί την απογραφή επεξεργασίας δεδομένων προσωπικού χαρακτήρα / Αρχείο Δραστηριοτήτων Επεξεργασίας (RoPA) και τεκμηριώνει τα βασικά πραγματικά στοιχεία που απαιτούνται για την απόδειξη λογοδοτούμενης επεξεργασίας εντός του πεδίου εφαρμογής του PIMS. Εφαρμόζεται σε όλες τις εντός του πεδίου εφαρμογής δραστηριότητες επεξεργασίας δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένης της επεξεργασίας που εκτελείται ως υπεύθυνος επεξεργασίας, από κοινού υπεύθυνος επεξεργασίας, εκτελών την επεξεργασία ή υπεργολάβος επεξεργασίας. Η πολιτική καλύπτει την επεξεργασία από επιχειρησιακές διαδικασίες, συστήματα, εφαρμογές, προμηθευτές, εκτελούντες την επεξεργασία, υπεργολάβους επεξεργασίας και αποδέκτες κοινοχρησίας δεδομένων, και εφαρμόζεται σε νέα, ουσιωδώς μεταβληθείσα και αποσυρθείσα επεξεργασία. Η εγγραφή απογραφής επεξεργασίας ορίζεται ως καταχώριση REG02 που περιγράφει διακριτή δραστηριότητα επεξεργασίας δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων του σκοπού της, του ρόλου, του ιδιοκτήτη, των κατηγοριών δεδομένων προσωπικού χαρακτήρα, των κατηγοριών υποκειμένων των δεδομένων προσωπικού χαρακτήρα, της αναφοράς νομικής βάσης ή εντολής πελάτη, των συστημάτων, των αποδεκτών, της αναφοράς διατήρησης, της αναφοράς διαβίβασης, της κατάστασης κινδύνου ιδιωτικότητας και της κατάστασης ανασκόπησης. Κεντρικός στόχος της πολιτικής είναι να καταστήσει το REG02 το έγκυρο αντικείμενο τεκμηρίων για την απογραφή επεξεργασίας δεδομένων προσωπικού χαρακτήρα και τα αρχεία δραστηριοτήτων επεξεργασίας. Η πολιτική απαιτεί από τον Ιδιοκτήτη Διεργασίας ή τον Ιδιοκτήτη της επιχείρησης να δημιουργεί εγγραφή REG02 πριν από την έναρξη οποιασδήποτε νέας επεξεργασίας δεδομένων προσωπικού χαρακτήρα και να καταχωρίζει τα απαιτούμενα πεδία πριν ξεκινήσει η δραστηριότητα. Απαιτεί επίσης να ταξινομείται ο ρόλος PIMS του οργανισμού για κάθε δραστηριότητα και συνδέει συστήματα, εφαρμογές, προμηθευτές, εκτελούντες την επεξεργασία, υπεργολάβους επεξεργασίας, κοινοχρησία με τρίτα μέρη και σχέσεις από κοινού υπευθύνου επεξεργασίας με τη σχετική εγγραφή REG02. Αυτό δημιουργεί δομημένη εγγραφή επεξεργασίας που μπορεί να συνδέεται, κατά περίπτωση, με ειδοποιήσεις ιδιωτικότητας, συγκατάθεση, DPIA, κίνδυνο, προμηθευτές, διαβιβάσεις, ελέγχους και ελεγκτικά τεκμήρια. Για δραστηριότητες υπευθύνου επεξεργασίας, η πολιτική απαιτεί να τεκμηριώνεται ο συγκεκριμένος σκοπός επεξεργασίας πριν τα δεδομένα προσωπικού χαρακτήρα συλλεγούν, χρησιμοποιηθούν, κοινολογηθούν ή υποβληθούν με άλλο τρόπο σε επεξεργασία. Ο Επικεφαλής Ιδιωτικότητας / Υπεύθυνος PIMS πρέπει να επικυρώνει τη νομική βάση που καταγράφεται στο REG02 πριν από την έναρξη της επεξεργασίας από υπεύθυνο επεξεργασίας και πριν τεθεί σε ισχύ οποιαδήποτε αλλαγή σκοπού. Η πολιτική καλύπτει επίσης ειδικές περιπτώσεις: η συγκατάθεση πρέπει να συνδέεται με το REG05, τα έννομα συμφέροντα πρέπει να παραπέμπουν στο REG04, οι ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα απαιτούν καταγεγραμμένη προϋπόθεση και τα δεδομένα ποινικών καταδικών ή αδικημάτων απαιτούν βάση εξουσιοδότησης. Για περιβάλλοντα εκτελούντος την επεξεργασία και υπεργολάβου επεξεργασίας, η πολιτική απαιτεί να καταγράφονται αναφορές εντολών πελάτη, σκοπός πελάτη, αντικείμενο, διάρκεια, κατηγορίες δεδομένων προσωπικού χαρακτήρα και κατηγορίες υποκειμένων των δεδομένων προσωπικού χαρακτήρα πριν από την έναρξη της επεξεργασίας, με τα τεκμήρια συμφωνίας και εντολών να διατηρούνται στο REG08. Η πολιτική ορίζει επίσης τον τρόπο με τον οποίο η απογραφή παραμένει επίκαιρη. Οι ουσιώδεις αλλαγές επεξεργασίας περιλαμβάνουν αλλαγές στον σκοπό, τη νομική βάση, τον ρόλο PIMS, την κατηγορία δεδομένων προσωπικού χαρακτήρα, την κατηγορία υποκειμένων των δεδομένων προσωπικού χαρακτήρα, τον αποδέκτη, το σύστημα, τον προμηθευτή, τον υπεργολάβο επεξεργασίας, την τοποθεσία επεξεργασίας, τη διαβίβαση, τον κανόνα διατήρησης, την ταξινόμηση ασφάλειας, την ειδοποίηση ιδιωτικότητας, την εξάρτηση από συγκατάθεση, την κατάσταση DPIA, την εντολή πελάτη ή το πεδίο εφαρμογής της πιστοποίησης. Το REG02 πρέπει να επικαιροποιείται εντός 10 εργάσιμων ημερών από την αναγνώριση τέτοιας αλλαγής, και η αξιολόγηση κινδύνου ιδιωτικότητας και ο έλεγχος αναγκαιότητας DPIA πρέπει να εκκινούνται στο REG04 πριν προχωρήσει νέα ή ουσιωδώς μεταβληθείσα επεξεργασία. Ο Επικεφαλής Ιδιωτικότητας / Υπεύθυνος PIMS συμφωνεί ανά τρίμηνο το REG02 με τα REG01, REG03, REG04, REG08 και REG09, ενώ οι ανασκοπητές Εσωτερικού Ελέγχου / Συμμόρφωσης ελέγχουν δειγματοληπτικά την πληρότητα, την ακρίβεια και την επικαιρότητα κατά τις προγραμματισμένες ανασκοπήσεις. Η διακυβέρνηση, η μέτρηση, οι εξαιρέσεις και η εφαρμογή ενσωματώνονται στην πολιτική. Ο Επικεφαλής Ιδιωτικότητας / Υπεύθυνος PIMS υποβάλλει τριμηνιαίες συνόψεις υγείας απογραφής στο REG12, καταγράφει μετρικές απογραφής, επικυρώνει νέες εγγραφές REG02 και διατηρεί κανόνες ελάχιστων πεδίων και ρυθμού ανασκόπησης. Η Ανώτατη Διοίκηση ανασκοπεί την πληρότητα, τις εκπρόθεσμες ανασκοπήσεις, τα σημαντικά ζητήματα νομικής βάσης και τις ανεπίλυτες μη συμμορφώσεις κατά την ανασκόπηση της Διοίκησης. Οι εξαιρέσεις πρέπει να ζητούνται και να αξιολογούνται στο REG12, με ημερομηνίες λήξης που δεν υπερβαίνουν τις 90 ημέρες, ενώ ορισμένες εξαιρέσεις απαιτούν συμβουλή από τον Υπεύθυνο Προστασίας Δεδομένων (DPO) / Σύμβουλο Ιδιωτικότητας και έγκριση από την Ανώτατη Διοίκηση. Η εφαρμογή περιλαμβάνει την καταγραφή μη συμμορφώσεων, την αναστολή νέας επεξεργασίας όταν λείπουν τεκμήρια, τον αποκλεισμό θέσης συστήματος σε λειτουργία ή ένταξης προμηθευτή όταν απουσιάζει η απαιτούμενη σύνδεση, και την επαλήθευση της αποτελεσματικότητας διορθωτικών ενεργειών.