PII-alany jogainak kezelésére vonatkozó szabályzat

A PII-alany jogainak kezelésére vonatkozó szabályzat meghatározza a szervezet kötelező megközelítését a PII-alanyoktól vagy meghatalmazott képviselőiktől érkező kérelmek kezeléséhez. Alkalmazási területe lefedi a joggyakorlási kérelemkezelés teljes életciklusát: a kérelmek fogadását, validálását, értékelését, teljesítését, elutasítását, meghosszabbítását, lezárását, nyomon követését és bizonyítékokkal való alátámasztását. Alkalmazandó a hozzáférésre, helyesbítésre, törlésre, korlátozásra, hordozhatóságra, tiltakozásra, automatizált döntéshozatalra, a hozzájárulás visszavonásának továbbítására, panaszokra és kapcsolódó megkeresésekre. A szabályzat adatkezelői, közös adatkezelői, adatfeldolgozói és al-adatfeldolgozói kontextusokra készült; az adatfeldolgozói és al-adatfeldolgozói feladatok akkor alkalmazandók, amikor a támogatás adatkezelő, ügyfél vagy feljebb lévő adatfeldolgozó részére, dokumentált utasítások alapján történik. A szabályzat célja annak biztosítása, hogy a PII-alanyi joggyakorlási kérelmek kezelése következetesen, jogszerűen, biztonságosan, meghatározott határidőkön belül és auditra való felkészültséget biztosító bizonyítékokkal történjen. Előírja, hogy minden kérelmet a beérkezéstől számított két munkanapon belül rögzíteni kell a REG06-ban, és az értékelés megkezdése előtt osztályozni kell. A kötelező osztályozási mezők közé tartozik a kérelem típusa, a kérelem csatornája, a kérelem dátuma, a kérelmező identitására vonatkozó hivatkozás, a kijelölt tulajdonos, a belső határidő, a jogszabályi vagy szerződéses határidő és az aktuális státusz. Adatkezelők esetén az adatvédelmi vezető / PIMS-vezető köteles a beérkezéstől számított öt munkanapon belül visszaigazolni az átvételt vagy megadni a következő előírt kommunikációt. A kérelmeket a teljesítési intézkedések kijelölése előtt a releváns REG02 adatkezelési tevékenységekhez is hozzá kell kapcsolni, biztosítva, hogy a válaszra vonatkozó döntések adatkezelési nyilvántartásokon, célokon, PII-kategóriákon, rendszereken, címzetteken és megőrzési korlátokon alapuljanak. Fontos operatív hangsúlyt kap az identitás ellenőrzése és a biztonságos értékelés. A PII közlése vagy a kért módosítások végrehajtása előtt az adatvédelmi vezető / PIMS-vezető köteles a REG06-ban ellenőrizni a kérelmező identitását vagy a képviselői jogosultságot. Ha az identitás vagy a jogosultság nem megfelelően igazolt, kizárólag az ellenőrzéshez szükséges minimális többletinformáció kérhető. A szabályzat a magas kockázatú, vitatott, nem egyértelmű, túlzó, ismételt, elutasított vagy részben teljesített kérelmeket az adatvédelmi tisztviselő / adatvédelmi tanácsadó felülvizsgálata alá rendeli, mielőtt a döntést közölnék. Előírja továbbá, hogy a rendszergazda / alkalmazástulajdonos vizsgálja felül a válaszkivonatokat a nem kapcsolódó PII és a jogosulatlan, harmadik féltől származó adatok kizárása érdekében, valamint hogy az információbiztonsági vezető vizsgálja felül a kézbesítési módszereket a nagy volumenű, érzékeny, különleges kategóriájú vagy magas kockázatú PII közlése előtt. A teljesítési követelmények az adott jog jellegéhez igazodnak. Az üzleti tulajdonosoknak legkésőbb tíz munkanappal a válaszadási határidő előtt át kell adniuk a hozzáférési keresés eredményeit. A rendszergazdáknak végre kell hajtaniuk a jóváhagyott helyesbítési, törlési, korlátozási vagy marketingtiltólista-kezelési intézkedéseket, és a teljesítés bizonyítékait rögzíteniük kell a REG06-ban. A hozzáférési és hordozhatósági válaszcsomagokat engedélyezett módszerrel kell kézbesíteni, és a kézbesítés bizonyítékát a lezárás előtt rögzíteni kell. A tiltakozási kérelmeket értékelni és rögzíteni kell, mielőtt a vitatott adatkezelés folytatódik vagy megszűnik. A kizárólag automatizált döntéseket érintő kérelmeket felül kell vizsgálni, mielőtt a szervezet eredményt, ember általi felülvizsgálati útvonalat vagy elutasítási indokolást ad. Ha a jóváhagyott eredmények értesítést igényelnek a REG08-ban rögzített adatfeldolgozók, al-adatfeldolgozók, közös adatkezelők, címzettek vagy adatmegosztásban részt vevő felek felé, a beszállító / beszerzési tulajdonos köteles koordinálni az értesítést. A szabályzat irányítási, mérési, kivételkezelési és betartatási követelményeket is meghatároz. Az adatvédelmi vezető / PIMS-vezető felelős a joggyakorlási kérelmek munkafolyamatáért, a REG06 struktúrájáért, a határidőkért, a hozzárendelési szabályokért és a lezárási kritériumokért, legalább évenkénti felülvizsgálattal és lényeges változás utáni frissítésekkel. A mutatók közé tartozik a kérelmek havi mérése típus, státusz, üzleti tulajdonos és adatkezelési tevékenység szerint, a késedelmes tételek havi jelentése, az elutasítási, részleges teljesítési és meghosszabbítási arányok negyedéves mérése, valamint a visszatérő témák, panaszok, viták és helyesbítő intézkedések negyedéves felülvizsgálata. A tervezett auditoknak mintát kell venniük a lezárt REG06 nyilvántartásokból, és a bizonyítékok minőségére, az időszerűségre és a lezárásra vonatkozó megállapításokat a REG12-ben kell rögzíteniük. A kivételeket a végrehajtás előtt a REG12-ben jóvá kell hagyni, lejárati dátumok, tulajdonosok és kompenzáló kontrollok kijelölésével. A betartatási rendelkezések előírják a meg nem felelések kezelését, a harmadik fél együttműködésének elmaradásával kapcsolatos eszkalációt, a rendszerszintű hibák esetén a helyesbítő intézkedések felelősségének vezetői kijelölését, valamint a REG10 szerinti felülvizsgálatot, ha a meg nem felelés jogosulatlan közlésre, elvesztésre, módosításra, elérhetetlenségre vagy más gyanított PII-incidensre utal.