PII-adatkezelési tevékenységek nyilvántartásának és jogalapjának szabályzata

A PII-adatkezelési tevékenységek nyilvántartásának és jogalapjának szabályzata meghatározza, hogy a szervezet hogyan tartja fenn a PII-adatkezelési tevékenységek nyilvántartását / RoPA-t, és hogyan dokumentálja azokat az alapvető tényeket, amelyek az elszámoltatható adatkezelés igazolásához szükségesek a PIMS alkalmazási területén belül. A szabályzat minden alkalmazási területhez tartozó PII-adatkezelési tevékenységre vonatkozik, ideértve az adatkezelőként, közös adatkezelőként, adatfeldolgozóként vagy al-adatfeldolgozóként végzett adatkezelést. A szabályzat kiterjed az üzleti folyamatok, rendszerek, alkalmazások, beszállítók, adatfeldolgozók, al-adatfeldolgozók és adatmegosztási címzettek általi adatkezelésre, és alkalmazandó az új, lényegesen módosított és megszüntetett adatkezelésre. Az adatkezelési tevékenységek nyilvántartásának bejegyzése olyan REG02-bejegyzés, amely egy elkülönült PII-adatkezelési tevékenységet ír le, beleértve annak célját, szerepkörét, felelősét, PII-kategóriáit, PII-alanyok kategóriáit, jogalapját vagy ügyfélutasítás-hivatkozását, rendszereit, címzettjeit, megőrzési hivatkozását, adattovábbítási hivatkozását, adatvédelmi kockázati státuszát és felülvizsgálati státuszát. A szabályzat központi célja, hogy a REG02 legyen a PII-adatkezelési tevékenységek nyilvántartásának és az adatkezelési tevékenységek nyilvántartásának hiteles bizonyítékobjektuma. A szabályzat előírja, hogy a folyamatgazda vagy az üzlettulajdonos minden új PII-adatkezelés megkezdése előtt hozzon létre REG02-bejegyzést, és a tevékenység megkezdése előtt rögzítse a kötelező mezőket. Előírja továbbá, hogy a szervezet PIMS-szerepkörét minden tevékenységre vonatkozóan be kell sorolni, és a rendszereket, alkalmazásokat, beszállítókat, adatfeldolgozókat, al-adatfeldolgozókat, harmadik féllel történő adatmegosztást és közös adatkezelői kapcsolatokat a releváns REG02-bejegyzéshez kell kapcsolni. Ez strukturált adatkezelési nyilvántartást hoz létre, amely adott esetben összekapcsolható az adatvédelmi tájékoztatókkal, a hozzájárulással, a DPIA-val, a kockázati, beszállítói, adattovábbítási, kontroll- és auditbizonyítékokkal. Adatkezelői tevékenységek esetén a szabályzat előírja, hogy a konkrét adatkezelési célt dokumentálni kell, mielőtt a PII-t gyűjtik, felhasználják, közlik vagy más módon kezelik. Az adatvédelemért felelős vezetőnek / PIMS-vezetőnek ellenőriznie kell a REG02-ben rögzített jogalapot az adatkezelői adatkezelés megkezdése előtt, valamint bármely célváltozás hatálybalépése előtt. A szabályzat különleges helyzeteket is kezel: a hozzájárulást a REG05-höz kell kapcsolni, a jogos érdekeknek a REG04-re kell hivatkozniuk, a különleges kategóriájú PII-hez rögzített feltétel szükséges, a büntetőjogi felelősségre vonással vagy bűncselekménnyel kapcsolatos adatokhoz pedig felhatalmazási alap szükséges. Adatfeldolgozói és al-adatfeldolgozói kontextusban a szabályzat előírja, hogy az adatkezelés megkezdése előtt rögzíteni kell az ügyfélutasítás-hivatkozásokat, az ügyfél célját, a tárgyat, az időtartamot, a PII-kategóriákat és a PII-alanyok kategóriáit, a megállapodási és utasítási bizonyítékokat pedig a REG08-ban kell fenntartani. A szabályzat azt is meghatározza, hogyan marad naprakész a nyilvántartás. A lényeges adatkezelési változások közé tartozik a cél, a jogalap, a PIMS-szerepkör, a PII-kategória, a PII-alany kategóriája, a címzett, a rendszer, a beszállító, az al-adatfeldolgozó, az adatkezelés helye, az adattovábbítás, a megőrzési szabály, a biztonsági besorolás, az adatvédelmi tájékoztató, a hozzájárulási függőség, a DPIA-státusz, az ügyfélutasítás vagy a tanúsítási hatókör változása. A REG02-t az ilyen változás azonosításától számított 10 munkanapon belül frissíteni kell, és az új vagy lényegesen módosított adatkezelés folytatása előtt a REG04-ben el kell indítani az adatvédelmi kockázatértékelés és a DPIA-előszűrés folyamatát. Az adatvédelemért felelős vezető / PIMS-vezető negyedévente egyezteti a REG02-t a REG01, REG03, REG04, REG08 és REG09 adataival, míg a belső audit / megfelelőségi felülvizsgálók az ütemezett felülvizsgálatok során mintavétellel ellenőrzik a teljességet, a pontosságot és a naprakészséget. Az irányítás, a mérés, a kivételek és a szabályzat betartatása beépül a szabályzatba. Az adatvédelemért felelős vezető / PIMS-vezető negyedéves nyilvántartási állapotösszefoglalókat nyújt be a REG12-ben, rögzíti a nyilvántartási mutatókat, ellenőrzi az új REG02-bejegyzéseket, valamint fenntartja a minimális mezőkre és felülvizsgálati gyakoriságra vonatkozó szabályokat. A felső vezetés a vezetőségi felülvizsgálat során áttekinti a teljességet, a lejárt felülvizsgálatokat, a jelentős jogalap-problémákat és a megoldatlan meg nem feleléseket. A kivételeket a REG12-ben kell kérelmezni és értékelni, lejárati dátumuk nem haladhatja meg a 90 napot, és bizonyos kivételekhez az adatvédelmi tisztviselő / adatvédelmi tanácsadó állásfoglalása, valamint a felső vezetés jóváhagyása szükséges. A szabályzat betartatása magában foglalja a meg nem felelések rögzítését, az új adatkezelés felfüggesztését, ha a bizonyítékok hiányoznak, a rendszer éles indulásának vagy az új beszállítók bevonásának blokkolását, ha a kötelező kapcsolódások hiányoznak, valamint a helyesbítő intézkedések eredményességének ellenőrzését.