PII gyűjtésére, használatára, közlésére és megosztására vonatkozó szabályzat

A PII gyűjtésére, használatára, közlésére és megosztására vonatkozó szabályzat meghatározza azokat a működési követelményeket, amelyek szerint a személyazonosításra alkalmas információkat a PIMS alkalmazási területén belül gyűjteni, használni, közölni és megosztani kell. Kimondott célja annak biztosítása, hogy a PII kezelése kizárólag dokumentált, jóváhagyott, korlátozott és elszámoltatható célokból történjen. A szabályzat az adatkezelői, közös adatkezelői, adatfeldolgozói és al-adatfeldolgozói környezetekre egyaránt alkalmazandó, és kiterjed a közvetlen, közvetett, automatizált, manuális, belső, külső és harmadik fél csatornákon keresztüli gyűjtésre. Szabályozza továbbá az üzleti folyamatok, rendszerek és alkalmazások általi jóváhagyott belső használatot, az új vagy lényegesen módosított célokra irányuló másodlagos felhasználást, a címzettek és harmadik felek felé történő külső adatközlést, valamint a rendszeres adatmegosztási megállapodásokat és az egyszeri adatközléseket is. A szabályzat központi eleme a bizonyítéknyilvántartások használata, amelyek az adatvédelmi döntéseket auditálható nyilvántartásokhoz kapcsolják. A REG02 a PII-adatkezelési tevékenységek nyilvántartására, a jóváhagyott célokra, a gyűjtési szabályokra, a használati szabályokra és a másodlagos felhasználásra vonatkozó összeegyeztethetőségi vizsgálatokra szolgál. A REG08 az adatfeldolgozói, al-adatfeldolgozói és adatmegosztási nyilvántartásokhoz használatos, beleértve a címzett azonosítását, a címzett szerepkörét, az adatközlés célját, a PII-kategóriákat, a megosztás gyakoriságát, az adatkezelés helyét és a felhatalmazás forrását. A REG09 akkor használatos, ha a megosztás új országot, nemzetközi szervezetet, távoli hozzáférési helyet, címzetti helyet vagy további adattovábbítási helyet érint. A REG12 a kivételek, meg nem felelések, auditmegállapítások, helyesbítő intézkedések, a bevezetést akadályozó problémák és a szabályzat-felülvizsgálati nyilvántartások kezelésére szolgál. A szabályzat egyértelmű kontrollpontokat határoz meg az adatkezelés megkezdése előtt. A folyamatgazdáknak vagy üzlettulajdonosoknak az új gyűjtés vagy lényeges változás megkezdése előtt a REG02-ben rögzíteniük kell a gyűjtési célokat, forrásokat vagy csatornákat, PII-kategóriákat, PII-alany-kategóriákat és a minimális adatelemeket. A gyűjtés előtt minden PII-adatelemre vonatkozóan dokumentálniuk kell a szükségességi indokolást is. A rendszergazdák vagy alkalmazástulajdonosok kizárólag olyan jóváhagyott gyűjtési mezőket, munkafolyamatmezőket, jelentéseket, exportokat vagy adatközlési kimeneteket vezethetnek be, amelyek megfelelnek a REG02- vagy REG08-jóváhagyásnak. Adatfeldolgozói környezetekben az ügyfélutasítással való összhangot rögzíteni kell, mielőtt az ügyfél PII-adatainak gyűjtése, használata vagy közlése megkezdődik. A másodlagos felhasználást a szabályzat irányított döntésként kezeli, nem pedig egy meglévő tevékenység informális kiterjesztéseként. Mielőtt a PII-t olyan célra használnák, amelyet a REG02-ben még nem hagytak jóvá, a folyamatgazdának vagy üzlettulajdonosnak összeegyeztethetőségi vizsgálatot kell rögzítenie, amely kiterjed az eredeti célra, a javasolt célra, a jogalaptól való függőségre, a PII-kategóriákra, a PII-alany elvárásaira, az adattakarékossági indokolásra, az adatközlési vagy adattovábbítási hatásra, valamint szükség esetén más PIMS-szabályzatokhoz történő útválasztásra. Az adatvédelmi vezetőnek vagy a PIMS-vezetőnek a másodlagos felhasználás megkezdése előtt jóváhagyást vagy elutasítást kell rögzítenie. Érzékeny rendszeres adatmegosztás, sérülékeny PII-alanyok, nagy hatású rekordok vagy lényegesen módosult elvárások esetén a jóváhagyás előtt rögzíteni kell az adatvédelmi tisztviselő vagy az adatvédelmi tanácsadó véleményét. Az irányítás, a mérés és a szabályzat betartása beépül a szabályzatba. Az adatvédelmi vezető vagy a PIMS-vezető legalább évente felülvizsgálja a jóváhagyott használati szabályokat, legalább évente egyezteti a REG02-ben jóváhagyott célokat a REG08 aktív adatmegosztási nyilvántartásaival, és az eredményeket a REG12-ben rögzíti. A beszállítói vagy beszerzési felelősök legalább negyedévente egyeztetik a REG08 aktív megosztási bejegyzéseit az aktív adatfeldolgozói, al-adatfeldolgozói, címzetti és adatmegosztási kapcsolatokkal. A belső audit vagy a megfelelési felülvizsgálók évente mintavétellel ellenőrzik a REG02-, REG08- és REG09-bizonyítékokat, és az eredményeket a REG12-ben rögzítik. A nem jóváhagyott gyűjtést, használatot, adatközlést vagy megosztást öt munkanapon belül meg nem felelésként kell rögzíteni, és az adatkezelés egy munkanapon belül felfüggeszthető, ha a jóváhagyott bizonyíték hiányzik.