Πολιτική προστασίας της ιδιωτικότητας ήδη από τον σχεδιασμό και εξ ορισμού

Η Πολιτική προστασίας της ιδιωτικότητας ήδη από τον σχεδιασμό και εξ ορισμού καθορίζει τον τρόπο με τον οποίο οι απαιτήσεις ιδιωτικότητας πρέπει να ενσωματώνονται σε νέες και τροποποιημένες δραστηριότητες επεξεργασίας δεδομένων προσωπικού χαρακτήρα εντός του πεδίου εφαρμογής του PIMS. Εφαρμόζεται σε έργα, προϊόντα, υπηρεσίες, συστήματα, εφαρμογές, ενσωματώσεις, δραστηριότητες προμηθειών και αλλαγές επιχειρησιακών διεργασιών. Η πολιτική έχει συνταχθεί για πλαίσια υπευθύνου επεξεργασίας, από κοινού υπευθύνου επεξεργασίας, εκτελούντος την επεξεργασία και υπεργολάβου επεξεργασίας, συμπεριλαμβανομένων περιπτώσεων στις οποίες ο οργανισμός σχεδιάζει, διαμορφώνει, αλλάζει ή λειτουργεί επεξεργασία για λογαριασμό πελάτη, υπευθύνου επεξεργασίας ή ανάντη εκτελούντος την επεξεργασία βάσει τεκμηριωμένων εντολών. Ο βασικός σκοπός της είναι να διασφαλίζει ότι οι απαιτήσεις ιδιωτικότητας αναγνωρίζονται, υλοποιούνται και τεκμηριώνονται πριν αρχίσει ή αλλάξει ουσιωδώς η επεξεργασία δεδομένων προσωπικού χαρακτήρα. Η πολιτική δίνει ιδιαίτερη έμφαση στον σκοπό, την αναγκαιότητα, την ελαχιστοποίηση και τις εξ ορισμού ρυθμίσεις που προστατεύουν την ιδιωτικότητα. Οι Ιδιοκτήτες Διεργασιών και οι Ιδιοκτήτες της επιχείρησης οφείλουν να τεκμηριώνουν τις ελάχιστες κατηγορίες δεδομένων προσωπικού χαρακτήρα, τις κατηγορίες υποκειμένων των δεδομένων προσωπικού χαρακτήρα, τις πηγές και τους σκοπούς στα REG02 και REG04 πριν από την έγκριση σχεδιασμού συλλογής ή εισαγωγής. Οι Ιδιοκτήτες Συστημάτων και οι Ιδιοκτήτες Εφαρμογών οφείλουν να διαμορφώνουν τις εξ ορισμού ρυθμίσεις επεξεργασίας με βάση την ελάχιστη συλλογή και επεξεργασία δεδομένων προσωπικού χαρακτήρα που απαιτείται για τον τεκμηριωμένο σκοπό και να καταγράφουν τεκμήρια στο REG04 πριν από τη θέση σε λειτουργία. Τα προαιρετικά πεδία δεδομένων προσωπικού χαρακτήρα, οι προαιρετικές επιλογές επεξεργασίας, οι ρυθμίσεις απενεργοποίησης εξ ορισμού, οι ρυθμίσεις έκθεσης για προβολές και αναφορές, καθώς και ο χειρισμός προσωρινών αρχείων, cache, αρχείων καταγραφής ή καταχωρίσεων σταδιοποίησης αντιμετωπίζονται όλα ως υποχρεώσεις ιδιωτικότητας στο στάδιο του σχεδιασμού και όχι ως διορθώσεις στην πράξη εκ των υστέρων. Η διασύνδεση με αξιολόγηση κινδύνου ιδιωτικότητας και DPIA ενσωματώνεται στη διαδικασία σχεδιασμού χωρίς να αντικαθιστά τη διακριτή μεθοδολογία που ορίζεται στο PII07. Ο Επικεφαλής Ιδιωτικότητας / Υπεύθυνος PIMS οφείλει να επιβεβαιώνει ότι η αξιολόγηση κινδύνου ιδιωτικότητας και ο έλεγχος αναγκαιότητας DPIA έχουν καταγραφεί στο REG04 πριν από την έγκριση σχεδιασμού για νέα ή ουσιωδώς τροποποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα. Οι ενέργειες αντιμετώπισης σχεδιασμού προστασίας της ιδιωτικότητας, οι ιδιοκτήτες και οι καταληκτικές ημερομηνίες πρέπει να καταγράφονται πριν από το κλείσιμο της ανασκόπησης, ενώ τα τεκμήρια υλοποίησης πρέπει να συλλέγονται πριν από τη θέση σε λειτουργία. Για υψηλού κινδύνου ή ουσιωδώς τροποποιημένη επεξεργασία από υπεύθυνο επεξεργασίας, η πολιτική απαιτεί επίσης έλεγχο σχεδιασμού προστασίας της ιδιωτικότητας μετά την εφαρμογή στο REG04 εντός 30 ημερολογιακών ημερών από τη θέση σε λειτουργία. Όταν ζητήματα σχεδιασμού λείπουν, είναι μη αποτελεσματικά, εκπρόθεσμα ή παρακάμπτονται, ανοίγεται διορθωτική ενέργεια στο REG12. Η πολιτική επεκτείνει επίσης την προστασία της ιδιωτικότητας ήδη από τον σχεδιασμό στις προμήθειες και στις σχέσεις με τρίτα μέρη. Οι Υπεύθυνοι Προμηθευτών και Προμηθειών οφείλουν να καταγράφουν απαιτήσεις προστασίας της ιδιωτικότητας ήδη από τον σχεδιασμό για προμηθευτές, εκτελούντες την επεξεργασία, υπεργολάβους επεξεργασίας, υπηρεσίες SaaS, πλατφόρμες ή εξωτερικά φιλοξενούμενα συστήματα στο REG08 πριν από την έγκριση προμήθειας. Η αναγκαιότητα, ο σκοπός και οι ελάχιστες κατηγορίες δεδομένων προσωπικού χαρακτήρα που αφορούν τρίτα μέρη πρέπει να τεκμηριώνονται πριν από την εξωτερική επεξεργασία, την κοινοχρησία δεδομένων ή την έγκριση προμήθειας. Η υποστήριξη προμηθευτών για ρυθμίσεις ιδιωτικότητας εξ ορισμού, ελαχιστοποίηση και ανάγκες διαμόρφωσης πελάτη πρέπει να καταγράφεται πριν από την ένταξη προμηθευτή, ενώ τα μη επιλυμένα κενά σχεδιασμού προστασίας της ιδιωτικότητας προμηθευτών κλιμακώνονται στο REG12 εντός πέντε εργάσιμων ημερών και πριν από την υπογραφή της σύμβασης. Η διακυβέρνηση, η παρακολούθηση, η εφαρμογή και η συντήρηση καθορίζονται μέσω επαναλαμβανόμενων τεκμηρίων και κύκλων ανασκόπησης. Ο Επικεφαλής Ιδιωτικότητας / Υπεύθυνος PIMS υποβάλλει τριμηνιαίες συνόψεις κατάστασης σχεδιασμού προστασίας της ιδιωτικότητας στο REG12, υπολογίζει μετρικές ολοκλήρωσης και εκπρόθεσμων ενεργειών, και επαληθεύει ότι τα τεκμήρια σχεδιασμού παραμένουν ενοποιημένα στα REG02, REG04, REG08 και REG12 πριν από τον εσωτερικό έλεγχο. Η Ανώτατη Διοίκηση ανασκοπεί εξαιρέσεις υψηλού αντικτύπου, αποφάσεις αποκλεισμού θέσης σε λειτουργία και επαναλαμβανόμενα ευρήματα κατά την ανασκόπηση της Διοίκησης. Οι διατάξεις εφαρμογής απαιτούν αποτροπή της θέσης σε λειτουργία όταν η ανασκόπηση REG04 είναι ελλιπής, αποτροπή της ένταξης προμηθευτή όταν απουσιάζουν τεκμήρια REG08, και αναστολή νέας ή τροποποιημένης επεξεργασίας δεδομένων προσωπικού χαρακτήρα έως ότου ολοκληρωθούν η ανασκόπηση REG04, οι επικαιροποιήσεις REG02 και οι απαιτούμενες εξαιρέσεις REG12.