Isikut tuvastava teabe töötlemise registri ja õigusliku aluse poliitika

Isikut tuvastava teabe töötlemise registri ja õigusliku aluse poliitika määratleb, kuidas organisatsioon haldab oma isikut tuvastava teabe töötlemise registrit / ROPA-t ning dokumenteerib põhifaktid, mis on vajalikud vastutustundliku töötlemise tõendamiseks PIMS-i kohaldamisalas. See kehtib kõigi kohaldamisalas olevate isikut tuvastava teabe töötlemistoimingute suhtes, sealhulgas töötlemine vastutava töötleja, kaasvastutava töötleja, volitatud töötleja või alltöötlejana. Poliitika hõlmab töötlemist äriprotsesside, süsteemide, rakenduste, tarnijate, volitatud töötlejate, alltöötlejate ja andmete jagamise vastuvõtjate kaudu ning kehtib uue, oluliselt muudetud ja kasutuselt kõrvaldatud töötlemise kohta. Töötlemise registrikirje määratletakse REG02 kandena, mis kirjeldab eraldiseisvat isikut tuvastava teabe töötlemistoimingut, sealhulgas selle eesmärki, rolli, omanikku, isikut tuvastava teabe kategooriaid, andmesubjektide kategooriaid, õigusliku aluse või kliendi juhise viidet, süsteeme, vastuvõtjaid, säilitamisviidet, edastamisviidet, privaatsusriski staatust ja läbivaatamise staatust. Poliitika keskne eesmärk on muuta REG02 autoriteetseks tõendusobjektiks isikut tuvastava teabe töötlemise registri ja töötlemistoimingute registri jaoks. Poliitika nõuab, et protsessiomanik või ettevõtte omanik looks REG02 kirje enne uue isikut tuvastava teabe töötlemise alustamist ning registreeriks nõutavad väljad enne toimingu algust. Samuti nõuab see organisatsiooni PIMS-i rolli klassifitseerimist iga toimingu puhul ning seob süsteemid, rakendused, tarnijad, volitatud töötlejad, alltöötlejad, kolmandate osapooltega jagamise ja kaasvastutava töötleja suhted asjakohase REG02 kirjega. See loob struktureeritud töötlemiskirje, mida saab vajaduse korral siduda privaatsusteadete, nõusoleku, DPIA, riski, tarnija, edastuse, kontrollimeetme ja auditi tõendusmaterjaliga. Vastutava töötleja toimingute puhul nõuab poliitika konkreetse töötlemiseesmärgi dokumenteerimist enne isikut tuvastava teabe kogumist, kasutamist, avalikustamist või muul viisil töötlemist. Andmekaitsejuht / PIMS-i juht peab REG02-s registreeritud õigusliku aluse valideerima enne vastutava töötleja töötlemise alustamist ja enne mis tahes eesmärgimuudatuse jõustumist. Poliitika käsitleb ka erijuhtumeid: nõusolek peab olema seotud REG05-ga, õigustatud huvid peavad viitama REG04-le, eriliiki isikut tuvastav teave nõuab registreeritud tingimust ning süüdimõistvate kohtuotsuste või süütegudega seotud andmed nõuavad volitusalust. Volitatud töötleja ja alltöötleja kontekstis nõuab poliitika kliendi juhise viidete, kliendi eesmärgi, eseme, kestuse, isikut tuvastava teabe kategooriate ja andmesubjektide kategooriate registreerimist enne töötlemise alustamist, kusjuures lepingu- ja juhisetõendusmaterjali hoitakse REG08-s. Poliitika määratleb ka, kuidas register püsib ajakohane. Olulised töötlemismuudatused hõlmavad muudatusi eesmärgis, õiguslikus aluses, PIMS-i rollis, isikut tuvastava teabe kategoorias, andmesubjekti kategoorias, vastuvõtjas, süsteemis, tarnijas, alltöötlejas, töötlemiskohas, edastuses, säilitamisreeglis, turbeklassifikatsioonis, privaatsusteates, nõusolekusõltuvuses, DPIA staatuses, kliendi juhises või sertifitseerimise kohaldamisalas. REG02 tuleb ajakohastada 10 tööpäeva jooksul pärast sellise muudatuse tuvastamist ning privaatsusriskide ja DPIA vajaduse hindamine tuleb algatada REG04-s enne uue või oluliselt muudetud töötlemise jätkamist. Andmekaitsejuht / PIMS-i juht võrdleb REG02 andmeid REG01, REG03, REG04, REG08 ja REG09 andmetega kord kvartalis, samal ajal kui siseauditi- ja vastavusfunktsiooni läbivaatajad valimipõhiselt kontrollivad kavandatud läbivaatamiste käigus täielikkust, täpsust ja ajakohasust. Juhtimine, mõõtmine, erandid ja rakendamine on poliitikasse sisse ehitatud. Andmekaitsejuht / PIMS-i juht esitab REG12-s kord kvartalis registri terviseseisundi kokkuvõtted, registreerib registri mõõdikud, valideerib uued REG02 kirjed ning haldab minimaalsete väljade ja läbivaatamissageduse reegleid. Tippjuhtkond vaatab juhtkonna läbivaatamise käigus üle täielikkuse, tähtaja ületanud läbivaatamised, olulised õigusliku aluse probleemid ja lahendamata mittevastavused. Erandeid tuleb taotleda ja hinnata REG12-s, nende aegumiskuupäevad ei tohi ületada 90 päeva ning teatud erandid nõuavad andmekaitseametniku / andmekaitsenõustaja nõuannet ja tippjuhtkonna heakskiitu. Rakendamine hõlmab mittevastavuste registreerimist, uue töötlemise peatamist tõendusmaterjali puudumisel, süsteemi tootmiskeskkonnas kasutuselevõtu või tarnija kaasamise blokeerimist nõutava seose puudumisel ning parandusmeetmete tõhususe kontrollimist.