Politika popisa obrade osobnih podataka (PII) i pravne osnove

Politika popisa obrade osobnih podataka (PII) i pravne osnove definira kako organizacija održava svoj popis obrade osobnih podataka (PII) / RoPA-u i dokumentira ključne činjenice potrebne za dokazivanje odgovorne obrade unutar opsega PIMS-a. Primjenjuje se na sve aktivnosti obrade osobnih podataka (PII) u opsegu, uključujući obradu koja se provodi u svojstvu voditelja obrade, zajedničkog voditelja obrade, izvršitelja obrade ili podizvršitelja obrade. Politika obuhvaća obradu putem poslovnih procesa, sustava, aplikacija, dobavljača, izvršitelja obrade, podizvršitelja obrade i primatelja u okviru dijeljenja podataka te se primjenjuje na novu, značajno izmijenjenu i povučenu obradu. Zapis popisa obrade definira se kao unos u REG02 koji opisuje zasebnu aktivnost obrade osobnih podataka (PII), uključujući njezinu svrhu, ulogu, vlasnika, kategorije osobnih podataka (PII), kategorije ispitanika, pravnu osnovu ili referencu na uputu klijenta, sustave, primatelje, referencu zadržavanja, referencu prijenosa, status rizika za privatnost i status pregleda. Središnji cilj politike jest učiniti REG02 mjerodavnim objektom dokaza za popis obrade osobnih podataka (PII) i Evidenciju aktivnosti obrade (RoPA). Politika zahtijeva da vlasnik procesa ili vlasnik poslovanja izradi zapis u REG02 prije početka svake nove obrade osobnih podataka (PII) i da evidentira obvezna polja prije početka aktivnosti. Također zahtijeva klasifikaciju uloge organizacije u PIMS-u za svaku aktivnost te povezuje sustave, aplikacije, dobavljače, izvršitelje obrade, podizvršitelje obrade, dijeljenje s trećim stranama i odnose zajedničkih voditelja obrade s relevantnim zapisom u REG02. Time se stvara strukturirani zapis obrade koji se, gdje je primjenjivo, može povezati s obavijestima o privatnosti, privolom, DPIA-om, rizikom, dobavljačima, prijenosima, kontrolama i revizijskim dokazima. Za aktivnosti voditelja obrade politika zahtijeva da se posebna svrha obrade dokumentira prije prikupljanja, uporabe, otkrivanja ili druge obrade osobnih podataka (PII). Voditelj privatnosti / voditelj PIMS-a mora validirati pravnu osnovu evidentiranu u REG02 prije početka obrade u svojstvu voditelja obrade i prije stupanja na snagu svake promjene svrhe. Politika uređuje i posebne situacije: privola mora biti povezana s REG05, legitimni interesi moraju upućivati na REG04, posebne kategorije osobnih podataka zahtijevaju evidentirani uvjet, a podaci o kaznenim osudama ili kažnjivim djelima zahtijevaju osnovu ovlaštenja. U kontekstu izvršitelja obrade i podizvršitelja obrade politika zahtijeva da se prije početka obrade evidentiraju reference na upute klijenta, svrha klijenta, predmet obrade, trajanje, kategorije osobnih podataka (PII) i kategorije ispitanika, uz održavanje dokaza o ugovorima i uputama u REG08. Politika također definira kako popis ostaje ažuran. Značajne promjene obrade uključuju promjene svrhe, pravne osnove, uloge u PIMS-u, kategorije osobnih podataka (PII), kategorije ispitanika, primatelja, sustava, dobavljača, podizvršitelja obrade, lokacije obrade, prijenosa, pravila zadržavanja, sigurnosne klasifikacije, obavijesti o privatnosti, ovisnosti o privoli, statusa DPIA-e, upute klijenta ili opsega certifikacije. REG02 se mora ažurirati u roku od 10 radnih dana od utvrđivanja takve promjene, a procjena rizika za privatnost i provjera potrebe za DPIA-om moraju se pokrenuti u REG04 prije nastavka nove ili značajno izmijenjene obrade. Voditelj privatnosti / voditelj PIMS-a tromjesečno usklađuje REG02 s REG01, REG03, REG04, REG08 i REG09, dok unutarnja revizija / pregledavatelji usklađenosti uzorkuju potpunost, točnost i ažurnost tijekom planiranih pregleda. Upravljanje, mjerenje, iznimke i provedba ugrađeni su u politiku. Voditelj privatnosti / voditelj PIMS-a podnosi tromjesečne sažetke stanja popisa u REG12, evidentira metrike popisa, validira nove zapise REG02 te održava minimalna pravila za polja i učestalost pregleda. Najviše rukovodstvo tijekom preispitivanja od strane uprave pregledava potpunost, zakašnjele preglede, veće probleme s pravnom osnovom i neriješene nesukladnosti. Iznimke se moraju zatražiti i procijeniti u REG12, s datumima isteka koji ne premašuju 90 dana, a određene iznimke zahtijevaju savjet službenika za zaštitu podataka / savjetnika za privatnost i odobrenje najvišeg rukovodstva. Provedba uključuje evidentiranje nesukladnosti, obustavu nove obrade kada nedostaju dokazi, blokiranje puštanja sustava u produkcijski rad ili uvođenja dobavljača kada nedostaje potrebna povezanost te provjeru djelotvornosti korektivnih radnji.