Isikuandmesubjekti õiguste halduse poliitika

Isikuandmesubjekti õiguste halduse poliitika kehtestab organisatsiooni kohustusliku lähenemise isikuandmesubjektidelt või nende volitatud esindajatelt saadud taotluste haldamiseks. Selle kohaldamisala hõlmab andmesubjekti õiguste taotluste käsitlemise kogu elutsüklit: taotluste vastuvõtmist, valideerimist, hindamist, täitmist, tagasilükkamist, pikendamist, sulgemist, seiret ja tõendamist. See kohaldub juurdepääsule, parandamisele, kustutamisele, piiramisele, ülekantavusele, vastuväidetele, automatiseeritud otsuste tegemisele, nõusoleku tagasivõtmise suunamisele, kaebustele ja seotud päringutele. Poliitika on mõeldud vastutava töötleja, kaasvastutava töötleja, volitatud töötleja ja alltöötleja kontekstide jaoks ning volitatud töötleja ja alltöötleja kohustused kohalduvad juhul, kui vastutavat töötlejat, klienti või ülesvoolu volitatud töötlejat toetatakse dokumenteeritud juhiste alusel. Poliitika eesmärk on tagada, et isikuandmesubjekti õiguste taotlusi käsitletakse järjepidevalt, seaduslikult, turvaliselt, määratletud tähtaegade jooksul ja auditiks valmis tõendusmaterjaliga. See nõuab iga taotluse registreerimist REG06-s kahe tööpäeva jooksul alates kättesaamisest ning klassifitseerimist enne hindamise alustamist. Nõutavad klassifitseerimisväljad hõlmavad taotluse liiki, taotluse kanalit, taotluse kuupäeva, taotleja identiteediviidet, määratud omanikku, sisemist tähtaega, seadusest või lepingust tulenevat tähtaega ja praegust staatust. Vastutavate töötlejate puhul peab privaatsusvaldkonna juht / PIMS-i juht kinnitama kättesaamist või esitama järgmise nõutava teate viie tööpäeva jooksul alates vastuvõtust. Enne täitmistegevuste määramist tuleb taotlused siduda ka asjakohaste REG02 töötlemistoimingutega, tagades, et vastuseotsused põhinevad töötlemiskirjetel, eesmärkidel, PII kategooriatel, süsteemidel, vastuvõtjatel ja säilitamispiirangutel. Oluline operatiivne rõhuasetus on identiteedi verifitseerimine ja turvaline hindamine. Enne PII avaldamist või taotletud muudatuste tegemist peab privaatsusvaldkonna juht / PIMS-i juht verifitseerima REG06-s taotleja identiteedi või esindaja volitused. Kui identiteet või volitused ei ole piisavad, võib küsida ainult verifitseerimiseks vajalikku minimaalset lisateavet. Poliitika määrab kõrge riskiga, vaidlustatud, ebaselged, ülemäärased, korduvad, tagasi lükatud või osaliselt täidetud taotlused andmekaitseametnikule / andmekaitsenõustajale läbivaatamiseks enne otsuse edastamist. Samuti nõuab see, et süsteemiomanik / rakenduse omanik vaataks vastuse väljavõtted läbi, et välistada seostumatu PII ja loata kolmandate osapoolte andmed, ning et infoturbe juht vaataks edastusmeetodid läbi enne suuremahulise, tundliku, eriliiki kuuluva või kõrge riskiga PII avaldamist. Täitmise nõuded sõltuvad konkreetse õiguse olemusest. Ärivastutajad peavad esitama juurdepääsuotsingu tulemused hiljemalt kümme tööpäeva enne vastamise tähtaega. Süsteemiomanikud peavad lõpule viima heakskiidetud parandamise, kustutamise, piiramise või pärssimise tegevused ning registreerima lõpetamise tõendusmaterjali REG06-s. Juurdepääsu ja ülekantavuse vastusepaketid tuleb edastada volitatud meetodil ning edastamise tõendusmaterjal tuleb registreerida enne sulgemist. Vastuväiteid tuleb hinnata ja registreerida enne vaidlustatud töötlemise jätkamist või lõpetamist. Üksnes automatiseeritud otsuseid puudutavad taotlused nõuavad läbivaatamist enne, kui organisatsioon esitab tulemuse, inimese läbivaatamise kanali või tagasilükkamise põhjenduse. Kui heakskiidetud tulemused nõuavad teavitust REG08-s registreeritud volitatud töötlejatele, alltöötlejatele, kaasvastutavatele töötlejatele, vastuvõtjatele või andmete jagamise osapooltele, peab tarnija / hankevastutaja selle teavituse koordineerima. Poliitika määratleb ka juhtimise, mõõtmise, erandite ja rakendamise nõuded. Privaatsusvaldkonna juht / PIMS-i juht vastutab andmesubjekti õiguste taotluste töövoo, REG06 struktuuri, tähtaegade, määramisreeglite ja sulgemiskriteeriumide eest, samuti nende läbivaatamise eest vähemalt kord aastas ning ajakohastamise eest pärast olulist muudatust. Mõõdikud hõlmavad taotluste igakuist mõõtmist liigi, staatuse, ärivastutaja ja töötlemistoimingu järgi, tähtaja ületanud üksuste igakuist aruandlust, tagasilükkamiste, osalise täitmise ja pikendamiste määrade kvartaalset mõõtmist ning korduvate teemade, kaebuste, vaidluste ja parandusmeetmete kvartaalset läbivaatamist. Kavandatud auditites tuleb valimisse võtta suletud REG06 kirjeid ning registreerida tõendusmaterjali kvaliteedi, tähtaegsuse ja sulgemise leiud REG12-s. Erandid tuleb enne rakendamist REG12-s heaks kiita, määrates aegumiskuupäevad, omanikud ja kompenseerivad kontrollimeetmed. Rakendamissätted nõuavad mittevastavuste ja kolmandate osapoolte koostööst keeldumise eskaleerimist, süsteemsete tõrgete korral parandusmeetmete omaniku määramist juhtkonna poolt ning REG10 läbivaatamist, kui mittevastavus viitab loata avalikustamisele, kaotsiminekule, muutmisele, mittekättesaadavusele või muule kahtlustatavale PII intsidendile.