Rekisteröidyn oikeuksien hallintapolitiikka

Rekisteröidyn oikeuksien hallintapolitiikka määrittää organisaation pakollisen toimintatavan rekisteröityjen tai heidän valtuutettujen edustajiensa pyyntöjen hallintaan. Sen soveltamisala kattaa rekisteröidyn oikeuksia koskevien pyyntöjen käsittelyn koko elinkaaren: pyyntöjen vastaanottamisen, validoinnin, arvioinnin, täyttämisen, epäämisen, jatkamisen, sulkemisen, seurannan ja todentamisen. Se soveltuu pääsyyn, oikaisuun, poistamiseen, rajoittamiseen, siirrettävyyteen, vastustamiseen, automaattiseen päätöksentekoon, suostumuksen peruuttamisen reititykseen, valituksiin ja niihin liittyviin tiedusteluihin. Politiikka on suunniteltu rekisterinpitäjän, yhteisrekisterinpitäjän, henkilötietojen käsittelijän ja alikäsittelijän tilanteisiin, ja henkilötietojen käsittelijän sekä alikäsittelijän velvollisuuksia sovelletaan, kun tukea annetaan rekisterinpitäjälle, asiakkaalle tai ylemmän tason henkilötietojen käsittelijälle dokumentoitujen ohjeiden mukaisesti. Politiikan tarkoituksena on varmistaa, että rekisteröidyn oikeuksia koskevat pyynnöt käsitellään johdonmukaisesti, lainmukaisesti, turvallisesti, määritetyissä määräajoissa ja valmiutta auditointia varten tukevan todentavan aineiston avulla. Se edellyttää, että jokainen pyyntö kirjataan REG06:een kahden työpäivän kuluessa vastaanottamisesta ja luokitellaan ennen arvioinnin aloittamista. Pakollisia luokittelukenttiä ovat pyynnön tyyppi, pyyntökanava, pyynnön päivämäärä, pyynnön esittäjän identiteettiviite, nimetty omistaja, sisäinen määräpäivä, lakisääteinen tai sopimusperusteinen määräpäivä ja nykyinen tila. Rekisterinpitäjien osalta tietosuojavastaavan / PIMS-päällikön on kuitattava vastaanotto tai annettava seuraava vaadittu viestintä viiden työpäivän kuluessa vastaanotosta. Pyynnöt on myös linkitettävä asiaankuuluviin REG02-käsittelytoimiin ennen täyttämistoimien osoittamista, jotta vastauksia koskevat päätökset perustuvat käsittelytallenteisiin, käyttötarkoituksiin, henkilötietoluokkiin, järjestelmiin, vastaanottajiin ja säilytysrajoitteisiin. Keskeinen operatiivinen painopiste on identiteetin varmennus ja turvallinen arviointi. Ennen henkilötietojen luovuttamista tai pyydettyjen muutosten tekemistä tietosuojavastaavan / PIMS-päällikön on varmennettava pyynnön esittäjän identiteetti tai edustajan toimivalta REG06:ssa. Jos identiteetti tai toimivalta on riittämätön, voidaan pyytää vain varmennukseen tarvittavat vähimmäismääräiset lisätiedot. Politiikka osoittaa korkean riskin, riitautetut, epäselvät, liialliset, toistuvat, evätyt tai osittain täytetyt pyynnöt tietosuojavastaavan / tietosuojaneuvonantajan katselmoitaviksi ennen päätöksen viestimistä. Se edellyttää myös, että järjestelmäomistaja / sovellusomistaja katselmoi vastausotteet toisiinsa kuulumattomien henkilötietojen ja luvattomien kolmannen osapuolen tietojen poissulkemiseksi ja että tietoturvavastaava katselmoi toimitusmenetelmät ennen suurimääräisten, arkaluonteisten, erityisiin ryhmiin kuuluvien tai korkean riskin henkilötietojen luovuttamista. Täyttämisvaatimukset määräytyvät kyseisen oikeuden luonteen mukaan. Liiketoimintavastaavien on toimitettava pääsyä koskevan haun tulokset viimeistään kymmenen työpäivää ennen vastauksen määräaikaa. Järjestelmäomistajien on toteutettava hyväksytyt oikaisu-, poistamis-, rajoittamis- tai estolistaustoimet ja kirjattava valmistumista koskeva näyttö REG06:een. Pääsyä ja siirrettävyyttä koskevat vastauspaketit on toimitettava hyväksytyllä menetelmällä, ja toimitusta koskeva näyttö on kirjattava ennen sulkemista. Vastustamispyynnöt on arvioitava ja kirjattava ennen kuin riitautettu käsittely jatkuu tai päättyy. Yksinomaan automaattisia päätöksiä koskevat pyynnöt edellyttävät katselmointia ennen kuin organisaatio antaa lopputuloksen, ihmisen tekemän katselmoinnin reitin tai epäämisen perustelun. Kun hyväksytyt lopputulokset edellyttävät ilmoitusta REG08:aan kirjatuille henkilötietojen käsittelijöille, alikäsittelijöille, yhteisrekisterinpitäjille, vastaanottajille tai tietojen jakamisen osapuolille, toimittaja- / hankintavastaavan on koordinoitava ilmoitus. Politiikka määrittää myös hallinnointia, mittaamista, poikkeuksia ja noudattamista koskevat vaatimukset. Tietosuojavastaava / PIMS-päällikkö omistaa rekisteröidyn oikeuksia koskevien pyyntöjen työnkulun, REG06-rakenteen, määräajat, osoittamissäännöt ja sulkemiskriteerit, ja ne on katselmoitava vähintään vuosittain sekä päivitettävä olennaisen muutoksen jälkeen. Mittareihin sisältyvät pyyntöjen kuukausittainen mittaus tyypin, tilan, liiketoimintavastaavan ja käsittelytoimen mukaan, myöhässä olevien kohteiden kuukausittainen raportointi, epäämis-, osittaisen täyttämisen ja jatkamisen määrien neljännesvuosittainen mittaus sekä toistuvien teemojen, valitusten, riitojen ja korjaavien toimenpiteiden neljännesvuosittainen katselmointi. Suunnitelluissa auditoinneissa on otettava otos suljetuista REG06-tallenteista ja kirjattava todentavan aineiston laatua, oikea-aikaisuutta ja sulkemista koskevat havainnot REG12:een. Poikkeukset on hyväksyttävä REG12:ssa ennen toteutusta, ja niille on osoitettava päättymispäivät, omistajat ja korvaavat kontrollit. Noudattamista koskevat säännökset edellyttävät poikkeamien kirjaamista, kolmannen osapuolen yhteistyöstä kieltäytymisen eskalointia, johdon osoittamaa korjaavien toimenpiteiden omistajuutta järjestelmätason epäonnistumisille sekä REG10-katselmointia, jos poikkeama viittaa luvattomaan luovutukseen, menetykseen, muuttamiseen, saatavuuden menettämiseen tai muuhun epäiltyyn henkilötietopoikkeamaan.