Politika upravljanja pravima ispitanika

Politika upravljanja pravima ispitanika uspostavlja obvezni pristup organizacije upravljanju zahtjevima ispitanika ili njihovih ovlaštenih predstavnika. Njezin opseg obuhvaća puni životni ciklus postupanja sa zahtjevima za ostvarivanje prava: zaprimanje, validaciju, vrednovanje, ispunjenje, odbijanje, produljenje, zatvaranje, praćenje i dokazivanje zahtjeva. Primjenjuje se na pristup, ispravak, brisanje, ograničenje, prenosivost, prigovor, automatizirano donošenje odluka, usmjeravanje povlačenja privole, pritužbe i povezane upite. Politika je namijenjena kontekstima voditelja obrade, zajedničkog voditelja obrade, izvršitelja obrade i podizvršitelja obrade, pri čemu se dužnosti izvršitelja obrade i podizvršitelja obrade primjenjuju kada se podrška pruža voditelju obrade, klijentu ili uzvodnom izvršitelju obrade prema dokumentiranim uputama. Svrha politike jest osigurati da se zahtjevi za ostvarivanje prava ispitanika obrađuju dosljedno, zakonito, sigurno, unutar definiranih rokova i uz dokaze spremne za reviziju. Zahtijeva da se svaki zahtjev evidentira u REG06 u roku od dva radna dana od primitka i klasificira prije početka vrednovanja. Obvezna klasifikacijska polja uključuju vrstu zahtjeva, kanal zahtjeva, datum zahtjeva, referencu identiteta podnositelja zahtjeva, dodijeljenog vlasnika, interni rok, zakonski ili ugovorni rok i trenutačni status. Za voditelje obrade, voditelj privatnosti / voditelj PIMS-a mora potvrditi primitak ili dostaviti sljedeću potrebnu komunikaciju u roku od pet radnih dana od primitka. Zahtjevi se također moraju povezati s relevantnim aktivnostima obrade u REG02 prije dodjele radnji ispunjenja, čime se osigurava da se odluke o odgovoru temelje na zapisima obrade, svrhama, kategorijama osobnih podataka, sustavima, primateljima i ograničenjima zadržavanja. Važan operativni naglasak stavlja se na provjeru identiteta i sigurno vrednovanje. Prije otkrivanja osobnih podataka ili provedbe zatraženih promjena, voditelj privatnosti / voditelj PIMS-a mora u REG06 provjeriti identitet podnositelja zahtjeva ili ovlast predstavnika. Kada identitet ili ovlast nisu dostatni, smiju se zatražiti samo minimalne dodatne informacije potrebne za provjeru. Politika dodjeljuje zahtjeve visokog rizika, sporne, nejasne, prekomjerne, ponovljene, odbijene ili djelomično ispunjene službeniku za zaštitu podataka / savjetniku za privatnost na pregled prije priopćavanja odluke. Također zahtijeva da vlasnik sustava / vlasnik aplikacije pregleda izvatke odgovora radi isključivanja nepovezanih osobnih podataka i neovlaštenih podataka trećih strana te da voditelj informacijske sigurnosti pregleda metode dostave prije otkrivanja velikog opsega osobnih podataka, osjetljivih osobnih podataka, posebnih kategorija osobnih podataka ili osobnih podataka visokog rizika. Zahtjevi za ispunjenje određeni su prema naravi prava. Vlasnici poslovanja moraju dostaviti rezultate pretraživanja za pristup najkasnije deset radnih dana prije roka za odgovor. Vlasnici sustava moraju dovršiti odobrene radnje ispravka, brisanja, ograničenja ili suzbijanja te evidentirati dokaze o dovršetku u REG06. Paketi odgovora za pristup i prenosivost moraju se dostaviti ovlaštenom metodom, uz evidentiranje dokaza o dostavi prije zatvaranja. Zahtjevi koji se odnose na prigovor moraju se vrednovati i evidentirati prije nastavka ili zaustavljanja osporene obrade. Zahtjevi koji uključuju isključivo automatizirano donošenje odluka zahtijevaju pregled prije nego što organizacija dostavi ishod, put za ljudsko preispitivanje ili obrazloženje odbijanja. Kada odobreni ishodi zahtijevaju obavješćivanje izvršitelja obrade, podizvršitelja obrade, zajedničkih voditelja obrade, primatelja ili strana uključenih u dijeljenje podataka evidentiranih u REG08, vlasnik dobavljača / nabave mora koordinirati tu obavijest. Politika također definira zahtjeve upravljanja, mjerenja, iznimaka i provedbe. Voditelj privatnosti / voditelj PIMS-a vlasnik je radnog toka zahtjeva za ostvarivanje prava, strukture REG06, rokova, pravila dodjele i kriterija zatvaranja, uz najmanje godišnji pregled i ažuriranja nakon značajne promjene. Metrike uključuju mjesečno mjerenje zahtjeva prema vrsti, statusu, vlasniku poslovanja i aktivnosti obrade, mjesečno izvješćivanje o zakašnjelim stavkama, tromjesečno mjerenje stopa odbijanja, djelomičnog ispunjenja i produljenja te tromjesečni pregled ponavljajućih tema, pritužbi, sporova i korektivnih radnji. Planirane revizije moraju uzorkovati zatvorene zapise REG06 i evidentirati nalaze o kvaliteti dokaza, pravodobnosti i zatvaranju u REG12. Iznimke se moraju odobriti u REG12 prije implementacije, uz dodijeljene datume isteka, vlasnike i kompenzacijske kontrole. Odredbe o provedbi zahtijevaju evidentiranje nesukladnosti, eskalaciju nesuradnje trećih strana, dodjelu vlasništva nad korektivnim radnjama od strane uprave za sistemske neuspjehe i pregled u REG10 kada nesukladnost upućuje na neovlašteno otkrivanje, gubitak, izmjenu, nedostupnost ili drugi sumnjivi incident u vezi s osobnim podacima.