Adatvédelmi tájékoztató- és átláthatósági szabályzat

Az Adatvédelmi tájékoztató- és átláthatósági szabályzat meghatározza a szervezet követelményeit a PIMS alkalmazási területén belüli PII-adatkezeléshez kapcsolódó adatvédelmi tájékoztatók és átlátható tájékoztatás létrehozására, jóváhagyására, közzétételére, fenntartására, felülvizsgálatára és bizonyítékokkal történő alátámasztására. Kifejezett célja annak biztosítása, hogy a PII-alanyok „egyértelmű, naprakész, hozzáférhető és auditálható adatvédelmi tájékoztatókat kapjanak a PII-adatkezelés életciklusának előírt pontja előtt vagy annak időpontjában”. A szabályzat kiterjed az adatkezelői adatkezelésre, a közös adatkezelői átlátható tájékoztatásra, valamint az adatkezelői tájékoztatási kötelezettségek adatfeldolgozói vagy al-adatfeldolgozói támogatására, ha a szervezet dokumentált ügyfélutasítás vagy adatfeldolgozói utasítás alapján jár el. A szabályzatgazda az adatvédelmi vezető / PIMS-vezető, jóváhagyója a felső vezetés, és bizonyítékobjektumként a REG02, REG06, REG07, REG11 és REG12 elemeket használja. A szabályzat központi eleme az adatvédelmi tájékoztatók tartalmának REG07-en keresztüli szabályozása. A szabályzat a REG07-et határozza meg a tájékoztató-nyilvántartás, a jóváhagyás, a közzététel, a felülvizsgálat, a nyelvi változatok és a verziókezelési nyilvántartások hiteles bizonyítékobjektumaként. Adatkezelői adatkezelés esetén a folyamatgazdáknak / üzlettulajdonosoknak minden új PII-gyűjtési csatorna, szolgáltatás, űrlap, kampány, termék vagy funkció indítása előtt létre kell hozniuk egy REG07 adatvédelmi tájékoztató bejegyzést, amely kapcsolódik a releváns REG02 adatkezelési tevékenységhez. Ha a PII nem közvetlenül a PII-alanytól származik, a bejegyzést az első kommunikáció, a harmadik félnek történő első adatközlés vagy a PII megszerzésétől számított 20 munkanap előtt kell létrehozni, attól függően, melyik következik be előbb. A szabályzat azt is előírja, hogy a tájékoztatók kapcsolódjanak az aktuális REG02 adatkezelési célokhoz, jogalap-hivatkozásokhoz, PII-kategóriákhoz, PII-alanyi kategóriákhoz, forráskategóriákhoz, címzettkategóriákhoz, megőrzési hivatkozásokhoz és adattovábbítási hivatkozásokhoz. A szabályzat strukturált jóváhagyási és közzétételi életciklust határoz meg. A folyamatgazdák / üzlettulajdonosok tanúsítják a tájékoztató tartalmának pontosságát és teljességét, majd a REG07 bejegyzést közzététel vagy a gyűjtési csatorna aktiválása előtt az adatvédelmi vezető / PIMS-vezető jóváhagyására benyújtják. Az adatvédelmi vezető / PIMS-vezető ellenőrzi a REG02-vel való összhangot, és jóváhagyja vagy elutasítja a tájékoztatót. A rendszergazdák / alkalmazástulajdonosok digitális gyűjtési csatornákat csak a jóváhagyott REG07 tájékoztató-verzió közzététele után engedélyezhetnek, míg a folyamatgazdáknak / üzlettulajdonosoknak a PII gyűjtése előtt nem digitális csatornákon is elérhetővé kell tenniük a jóváhagyott tájékoztatókat. A közzétételi bizonyítékot, beleértve a helyet és az időbélyeget vagy azzal egyenértékű igazolást, a közzétételt követő két munkanapon belül rögzíteni kell a REG07-ben. Ha az előírt jóváhagyott tájékoztatóra vonatkozó bizonyíték hiányzik, az új adatkezelői gyűjtési csatorna nem indulhat élesben. Az átlátható tájékoztatás minőségét a nyelvi, hozzáférhetőségi, verzió- és változáskezelési kontrollok biztosítják. A szabályzat előírja a célzott PII-alanyi közönségek és a szükséges nyelvi változatok azonosítását a jóváhagyás előtt. Előírja a közérthető megfogalmazásra és a célközönséghez való illeszkedésre vonatkozó bizonyítékok rögzítését a REG07-ben, a lefordított vagy lokalizált változatok közzététel előtti rendelkezésre állását, valamint a mesterverzió és a lokalizált tájékoztatók közötti verzióegyezőséget a lényeges frissítést követő 10 munkanapon belül. Az elavult tájékoztató-verziókat a helyettesítő közzétételt követő öt munkanapon belül el kell távolítani, át kell irányítani vagy meg kell jelölni, míg a korábbi verziókat, a hatálybalépési dátumokat, a jóváhagyási bizonyítékokat és a közzétételi bizonyítékokat a REG07-ben meg kell őrizni. Tájékoztató-frissítési kontrollokat váltanak ki az adatkezelő személyazonosságában, kapcsolattartási pontjában, adatkezelési céljában, jogalapjában, PII-kategóriáiban, címzettkategóriáiban, megőrzési hivatkozásaiban, adattovábbítási hivatkozásaiban, joggyakorlási csatornáiban, panaszkezelési vagy adatvédelmi kapcsolattartási csatornáiban, nyelvi lefedettségében, közzétételi csatornáiban vagy adatkezelési kontextusában bekövetkező lényeges változások. A szabályzat irányítási, mérési, kivételkezelési, végrehajtási és karbantartási követelményeket is tartalmaz. Az aktív REG07 tájékoztatókat legalább évente, valamint lényeges jogi, szabályozási, szerződéses vagy adatkezelési változások után 30 napon belül felül kell vizsgálni. A REG07 tájékoztató-nyilvántartásokat negyedévente össze kell egyeztetni a REG02 adatkezelési célokkal, és a rendezetlen eltéréseket a REG12-ben kell rögzíteni. A mutatók közé tartozik az aktuális REG02 célokhoz kapcsolt aktív tájékoztatók aránya, a határidőre felülvizsgált tájékoztatók, a késedelmes frissítések, a rendezetlen eltérések, a blokkolt vagy késleltetett gyűjtési csatornák, a határidőre teljesített ügyféltájékoztató-támogatási kérelmek, valamint az aktuális nyelvi, verzió-, jóváhagyási és közzétételi bizonyítékkal rendelkező tájékoztatók. A kivételeket az eltérések bekövetkezése előtt a REG12-ben kell rögzíteni, és meghatározott tájékoztatóval kapcsolatos kivételek esetén kötelező adatvédelmi tanácsadásra és felső vezetési jóváhagyásra van szükség. A hiányzó, pontatlan, nem közzétett, nem jóváhagyott vagy elavult tájékoztató-bizonyítékot meg nem felelésként kell rögzíteni, a lényegesen pontatlan vagy félrevezető tájékoztatókat pedig a megerősítéstől számított két munkanapon belül eszkalálni kell az adatvédelmi tisztviselő / adatvédelmi tanácsadó és a felső vezetés felé.