Privaatsusteate ja läbipaistvuse poliitika

Privaatsusteate ja läbipaistvuse poliitika määratleb organisatsiooni nõuded privaatsusteadete ja läbipaistvusteabe koostamiseks, heakskiitmiseks, avaldamiseks, haldamiseks, läbivaatamiseks ja tõendamiseks isikut tuvastava teabe töötlemisel PIMS-i kohaldamisala piires. Selle sõnastatud eesmärk on tagada, et isikuandmesubjektid saavad „selged, ajakohased, juurdepääsetavad ja auditeeritavad privaatsusteated enne nõutavat hetke isikut tuvastava teabe töötlemise elutsüklis või sellel hetkel“. Poliitikat kohaldatakse vastutava töötleja töötlemisele, kaasvastutava töötleja läbipaistvusteabele ning volitatud töötleja või alltöötleja toele vastutava töötleja privaatsusteatega seotud kohustuste täitmisel, kui organisatsioon tegutseb dokumenteeritud kliendi juhiste või volitatud töötleja juhiste alusel. Poliitika omanik on andmekaitsejuht / PIMS-i juht, selle kiidab heaks tippjuhtkond ning see kasutab REG02, REG06, REG07, REG11 ja REG12 tõendusmaterjali objektidena. Poliitika keskne osa on privaatsusteate sisu ohje REG07 kaudu. Poliitika kehtestab REG07 autoriteetse tõendusmaterjali objektina privaatsusteadete registri, heakskiitmise, avaldamise, läbivaatamise, keele- ja versioonihalduse kirjete jaoks. Vastutava töötleja töötlemise korral peavad protsessiomanikud / äriomanikud looma REG07 privaatsusteate kirje, mis on seotud asjakohase REG02 töötlemistoiminguga, enne mis tahes uue isikut tuvastava teabe kogumiskanali, teenuse, vormi, kampaania, toote või funktsiooni käivitamist. Kui isikut tuvastav teave saadakse muust allikast kui isikuandmesubjektilt, tuleb kirje luua enne esmast suhtlust, enne esmast avalikustamist kolmandale osapoolele või 20 tööpäeva jooksul isikut tuvastava teabe saamisest, olenevalt sellest, kumb saabub varem. Poliitika nõuab ka, et teated oleksid seotud kehtivate REG02 töötlemise eesmärkide, õigusliku aluse viidete, isikut tuvastava teabe kategooriate, isikuandmesubjekti kategooriate, allikakategooriate, saajate kategooriate, säilitamise viidete ja edastamise viidetega. Poliitika määratleb struktureeritud heakskiitmise ja avaldamise elutsükli. Protsessiomanikud / äriomanikud kinnitavad privaatsusteate sisu täpsust ja täielikkust ning esitavad REG07 kirje andmekaitsejuhile / PIMS-i juhile heakskiitmiseks enne avaldamist või kogumiskanali aktiveerimist. Andmekaitsejuht / PIMS-i juht kontrollib kooskõla REG02-ga ja kiidab teate heaks või lükkab selle tagasi. Süsteemiomanikud / rakenduste omanikud võivad avaldada ainult heakskiidetud REG07 privaatsusteate versiooni enne digitaalsete kogumiskanalite lubamist, samal ajal kui protsessiomanikud / äriomanikud peavad tegema heakskiidetud teated kättesaadavaks mittedigitaalsete kanalite kaudu enne isikut tuvastava teabe kogumist. Avaldamise tõendusmaterjal, sealhulgas asukoht ja ajatempel või samaväärne tõend, tuleb registreerida REG07-s kahe tööpäeva jooksul pärast avaldamist. Kui nõutav heakskiidetud privaatsusteate tõendusmaterjal puudub, ei tohi uus vastutava töötleja kogumiskanal tootmiskeskkonda kasutusele minna. Läbipaistvuse kvaliteeti käsitletakse keele, juurdepääsetavuse, versioonide ja muudatuste kontrollimeetmete kaudu. Poliitika nõuab siht-isikuandmesubjektide sihtrühmade ja nõutavate keeleversioonide tuvastamist enne heakskiitmist. See nõuab REG07-s selge keelekasutuse ja sihtrühmale sobivuse tõendusmaterjali, tõlgitud või lokaliseeritud versioone enne avaldamist ning põhi- ja lokaliseeritud teadete versioonide samaväärsust 10 tööpäeva jooksul pärast olulist ajakohastust. Aegunud privaatsusteate versioonid tuleb eemaldada, ümber suunata või märgistada viie tööpäeva jooksul pärast asendusversiooni avaldamist, samal ajal kui asendatud versioonid, jõustumiskuupäevad, heakskiidu tõendusmaterjal ja avaldamise tõendusmaterjal tuleb säilitada REG07-s. Olulised muudatused vastutava töötleja identiteedis, kontaktpunktis, töötlemise eesmärgis, õiguslikus aluses, isikut tuvastava teabe kategooriates, saajate kategooriates, säilitamise viidetes, edastamise viidetes, andmesubjekti õiguste taotluste kanalites, kaebuste või andmekaitsekontaktikanalites, keelekattes, avaldamiskanalites või töötlemiskontekstis käivitavad privaatsusteate ajakohastamise kontrollimeetmed. Poliitika hõlmab ka juhtimise, mõõtmise, erandite, rakendamise ja haldamise nõudeid. Aktiivsed REG07 privaatsusteated vaadatakse läbi vähemalt kord aastas ning 30 päeva jooksul pärast olulisi õiguslikke, regulatiivseid, lepingulisi või töötlemisega seotud muudatusi. REG07 privaatsusteate kirjeid võrreldakse kord kvartalis REG02 töötlemise eesmärkidega ning lahendamata mittevastavused registreeritakse REG12-s. Mõõdikud hõlmavad aktiivsete teadete osakaalu, mis on seotud kehtivate REG02 eesmärkidega, tähtajaks läbi vaadatud teateid, tähtaja ületanud ajakohastusi, lahendamata mittevastavusi, blokeeritud või edasi lükatud kogumiskanaleid, õigel ajal täidetud kliendi privaatsusteate tugitaotlusi ning kehtiva keele-, versiooni-, heakskiidu- ja avaldamise tõendusmaterjaliga teateid. Erandid tuleb registreerida REG12-s enne kõrvalekallete tekkimist koos nõutava andmekaitsealase nõustamise ja tippjuhtkonna heakskiiduga kindlaksmääratud privaatsusteatega seotud erandite puhul. Puuduv, ebatäpne, avaldamata, heakskiitmata või aegunud privaatsusteate tõendusmaterjal registreeritakse mittevastavusena ning olulised ebatäpsed või eksitavad teated eskaleeritakse andmekaitseametnikule / andmekaitsenõustajale ja tippjuhtkonnale kahe tööpäeva jooksul pärast kinnitamist.