Politika obavijesti o privatnosti i transparentnosti

Politika obavijesti o privatnosti i transparentnosti definira zahtjeve organizacije za izradu, odobravanje, objavu, održavanje, pregled i dokazivanje obavijesti o privatnosti i transparentnih informacija za obradu osobnih podataka unutar opsega PIMS-a. Njezina je navedena svrha osigurati da ispitanici prime „jasne, ažurne, dostupne i revizijski provjerljive obavijesti o privatnosti prije ili u zahtijevanoj točki životnog ciklusa obrade osobnih podataka”. Politika se primjenjuje na obradu koju provodi voditelj obrade, transparentne informacije zajedničkog voditelja obrade te podršku izvršitelja obrade ili podizvršitelja obrade za obveze voditelja obrade u vezi s obavijestima kada organizacija postupa prema dokumentiranim uputama klijenta ili izvršitelja obrade. Vlasnik politike je voditelj privatnosti / voditelj PIMS-a, odobrava je najviše rukovodstvo, a REG02, REG06, REG07, REG11 i REG12 koriste se kao objekti dokaza. Središnja značajka politike jest kontrola sadržaja obavijesti o privatnosti putem REG07. Politika uspostavlja REG07 kao mjerodavni objekt dokaza za popis obavijesti, odobrenje, objavu, pregled, jezik i zapise upravljanja verzijama. Za obradu koju provodi voditelj obrade, vlasnici procesa / vlasnici poslovanja moraju izraditi zapis obavijesti o privatnosti REG07 povezan s relevantnom aktivnošću obrade REG02 prije pokretanja bilo kojeg novog kanala prikupljanja osobnih podataka, usluge, obrasca, kampanje, proizvoda ili značajke. Kada se osobni podaci pribavljaju iz izvora koji nije ispitanik, zapis se mora izraditi prije prve komunikacije, prije prvog otkrivanja trećoj strani ili u roku od 20 radnih dana od pribavljanja osobnih podataka, ovisno o tome što nastupi ranije. Politika također zahtijeva da obavijesti budu povezane s važećim svrhama obrade REG02, referencama na pravnu osnovu, kategorijama osobnih podataka, kategorijama ispitanika, kategorijama izvora, kategorijama primatelja, referencama na zadržavanje i referencama na prijenose. Politika definira strukturirani životni ciklus odobravanja i objave. Vlasnici procesa / vlasnici poslovanja potvrđuju točnost i potpunost sadržaja obavijesti te podnose zapis REG07 voditelju privatnosti / voditelju PIMS-a na odobrenje prije objave ili aktivacije kanala prikupljanja. Voditelj privatnosti / voditelj PIMS-a provjerava usklađenost s REG02 te odobrava ili odbija obavijest. Vlasnici sustava / vlasnici aplikacija smiju objaviti samo odobrenu verziju obavijesti REG07 prije omogućavanja digitalnih kanala prikupljanja, dok vlasnici procesa / vlasnici poslovanja moraju odobrene obavijesti učiniti dostupnima putem nedigitalnih kanala prije prikupljanja osobnih podataka. Dokazi o objavi, uključujući lokaciju i vremensku oznaku ili ekvivalentan dokaz, moraju se zabilježiti u REG07 u roku od dva radna dana nakon objave. Ako nedostaju potrebni dokazi o odobrenoj obavijesti, novi kanal prikupljanja voditelja obrade ne smije biti pušten u produkcijski rad. Kvaliteta transparentnosti uređuje se kontrolama jezika, pristupačnosti, verzija i promjena. Politika zahtijeva identifikaciju ciljnih skupina ispitanika i potrebnih jezičnih verzija prije odobrenja. Zahtijeva dokaze o jasnom jeziku i prikladnosti za ciljnu skupinu u REG07, prevedene ili lokalizirane verzije prije objave te usklađenost verzija između glavne i lokaliziranih obavijesti u roku od 10 radnih dana nakon značajnog ažuriranja. Zastarjele verzije obavijesti moraju se ukloniti, preusmjeriti ili označiti u roku od pet radnih dana nakon objave zamjenske verzije, dok se zamijenjene verzije, datumi stupanja na snagu, dokazi o odobrenju i dokazi o objavi moraju zadržati u REG07. Značajne promjene identiteta voditelja obrade, kontaktne točke, svrhe obrade, pravne osnove, kategorija osobnih podataka, kategorija primatelja, referenci na zadržavanje, referenci na prijenose, kanala za zahtjeve za ostvarivanje prava, kanala za pritužbe ili kontakta za privatnost, jezične pokrivenosti, kanala objave ili konteksta obrade pokreću kontrole ažuriranja obavijesti. Politika također uključuje zahtjeve za upravljanje, mjerenje, iznimke, provedbu i održavanje. Aktivne obavijesti REG07 pregledavaju se najmanje jednom godišnje i u roku od 30 dana nakon značajnih pravnih, regulatornih, ugovornih ili obradnih promjena. Zapisi obavijesti REG07 tromjesečno se usklađuju sa svrhama obrade REG02, a neriješene nepodudarnosti evidentiraju se u REG12. Metrike uključuju postotak aktivnih obavijesti povezanih s važećim svrhama REG02, obavijesti pregledane do krajnjeg roka, zakašnjela ažuriranja, neriješene nepodudarnosti, blokirane ili odgođene kanale prikupljanja, zahtjeve klijenata za podršku obavijestima dovršene na vrijeme te obavijesti s važećim dokazima o jeziku, verziji, odobrenju i objavi. Iznimke se moraju zabilježiti u REG12 prije nastanka odstupanja, uz obvezan savjet o privatnosti i odobrenje najvišeg rukovodstva za određene iznimke povezane s obavijestima. Nedostajući, netočni, neobjavljeni, neodobreni ili zastarjeli dokazi o obavijesti evidentiraju se kao nesukladnost, a značajno netočne ili obmanjujuće obavijesti eskaliraju se službeniku za zaštitu podataka / savjetniku za privatnost i najvišem rukovodstvu u roku od dva radna dana od potvrde.