Beépített és alapértelmezett adatvédelmi szabályzat

A beépített és alapértelmezett adatvédelmi szabályzat meghatározza, hogyan kell az adatvédelmi követelményeket beépíteni az új és megváltozott PII-adatkezelési tevékenységekbe a PIMS alkalmazási területén belül. Alkalmazandó projektekre, termékekre, szolgáltatásokra, rendszerekre, alkalmazásokra, integrációkra, beszerzési tevékenységekre és üzleti folyamatváltozásokra. A szabályzat adatkezelői, közös adatkezelői, adatfeldolgozói és al-adatfeldolgozói kontextusokra készült, ideértve azokat a helyzeteket is, amikor a szervezet ügyfél, adatkezelő vagy feljebb álló adatfeldolgozó nevében, dokumentált utasítások alapján tervez, konfigurál, módosít vagy üzemeltet adatkezelést. Alapvető célja annak biztosítása, hogy az adatvédelmi követelményeket azonosítsák, végrehajtsák és bizonyítékokkal alátámasszák, mielőtt a PII-adatkezelés megkezdődik vagy lényegesen megváltozik. A szabályzat különös hangsúlyt helyez a célra, a szükségességre, az adattakarékosságra és az adatvédelmet támogató alapértelmezett beállításokra. A folyamatgazdáknak és üzlettulajdonosoknak a gyűjtési vagy importterv jóváhagyása előtt dokumentálniuk kell a minimális PII-kategóriákat, a PII-alanyok kategóriáit, a forrásokat és a célokat a REG02-ben és a REG04-ben. A rendszergazdáknak és alkalmazástulajdonosoknak az alapértelmezett adatkezelési beállításokat a dokumentált célhoz szükséges minimális PII-gyűjtésre és adatkezelésre kell konfigurálniuk, és az éles indulás előtt a REG04-ben bizonyítékokat kell rögzíteniük. Az opcionális PII-mezők, az opcionális adatkezelési választások, az alapértelmezetten kikapcsolt beállítások, a nézetek és jelentések kitettségi beállításai, valamint az ideiglenes fájlok, gyorsítótárak, naplók vagy előéles nyilvántartások kezelése mind tervezési szakaszbeli adatvédelmi kötelezettségnek minősülnek, nem pedig utólagos operatív korrekciónak. Az adatvédelmi kockázat és a DPIA kapcsolódása beépül a tervezési folyamatba anélkül, hogy felváltaná a PII07-ben meghatározott külön módszertant. Az adatvédelemért felelős vezetőnek / PIMS-vezetőnek meg kell erősítenie, hogy az adatvédelmi kockázat és a DPIA-előszűrés rögzítésre került a REG04-ben az új vagy lényegesen megváltozott PII-adatkezelés tervezési jóváhagyása előtt. Az adatvédelmi tervezési kockázatkezelési intézkedéseket, felelősöket és határidőket a felülvizsgálat lezárása előtt rögzíteni kell, a végrehajtási bizonyítékokat pedig az éles indulás előtt kell összegyűjteni. Nagy kockázatú vagy lényegesen megváltozott adatkezelői adatkezelés esetén a szabályzat előírja az éles indulást követő adatvédelmi tervezési ellenőrzést is a REG04-ben, az éles indulást követő 30 naptári napon belül. Ha a tervezési ügyek hiányoznak, nem hatékonyak, lejárt határidejűek vagy megkerülésre kerültek, helyesbítő intézkedést kell megnyitni a REG12-ben. A szabályzat a beépített adatvédelmet a beszerzésre és a harmadik féllel fennálló kapcsolatokra is kiterjeszti. A beszállítói és beszerzési felelősöknek a beszerzési jóváhagyás előtt a REG08-ban rögzíteniük kell a beszállítókra, adatfeldolgozókra, al-adatfeldolgozókra, SaaS-szolgáltatásokra, platformokra vagy külső tárhelyen üzemeltetett rendszerekre vonatkozó beépített adatvédelmi követelményeket. A harmadik féllel kapcsolatos PII-szükségességet, célokat és minimális PII-kategóriákat a külső adatkezelés, adatmegosztás vagy beszerzési jóváhagyás előtt dokumentálni kell. Az alapértelmezett adatvédelmi beállításokhoz, az adattakarékossághoz és az ügyfélkonfigurációs igényekhez nyújtott beszállítói támogatást a beléptetés előtt kell rögzíteni, míg a megoldatlan beszállítói adatvédelmi tervezési hiányosságokat öt munkanapon belül és a szerződés aláírása előtt eszkalálni kell a REG12-be. Az irányítás, a nyomon követés, a betartatás és a karbantartás ismétlődő bizonyíték- és felülvizsgálati ciklusokon keresztül kerül meghatározásra. Az adatvédelemért felelős vezető / PIMS-vezető negyedévente adatvédelmi tervezési státuszösszefoglalókat nyújt be a REG12-ben, kiszámítja a teljesítési és lejárt határidejű intézkedési mutatókat, és ellenőrzi, hogy a tervezési bizonyítékok a belső audit előtt továbbra is összevontan rendelkezésre állnak-e a REG02, REG04, REG08 és REG12 keretében. A felső vezetés a vezetőségi felülvizsgálat során áttekinti a nagy hatású kivételeket, a blokkolt éles indulási döntéseket és az ismétlődő megállapításokat. A betartatási rendelkezések előírják az éles indulás megakadályozását, ha a REG04-felülvizsgálat hiányos; a beléptetés megakadályozását, ha a REG08-bizonyíték hiányzik; valamint az új vagy megváltozott PII-adatkezelés felfüggesztését mindaddig, amíg a REG04-felülvizsgálat, a REG02-frissítések és a szükséges REG12-kivételek teljes körűen el nem készülnek.