Duomenų subjekto teisių valdymo politika

Duomenų subjekto teisių valdymo politika nustato organizacijos privalomą požiūrį į duomenų subjektų arba jų įgaliotų atstovų prašymų valdymą. Jos taikymo sritis apima visą prašymų įgyvendinti teises tvarkymo gyvavimo ciklą: prašymų gavimą, validavimą, vertinimą, įvykdymą, atsisakymą vykdyti, pratęsimą, uždarymą, stebėseną ir pagrindimą įrodymais. Ji taikoma prieigai, ištaisymui, ištrynimui, apribojimui, perkeliamumui, prieštaravimui, automatizuotam sprendimų priėmimui, sutikimo atšaukimo nukreipimui, skundams ir susijusiems paklausimams. Politika skirta duomenų valdytojo, bendro duomenų valdytojo, duomenų tvarkytojo ir subtvarkytojo kontekstams, o duomenų tvarkytojo ir subtvarkytojo pareigos taikomos, kai pagalba teikiama duomenų valdytojui, klientui arba aukštesnės grandies duomenų tvarkytojui pagal dokumentuotus nurodymus. Politikos tikslas – užtikrinti, kad duomenų subjektų prašymai įgyvendinti teises būtų tvarkomi nuosekliai, teisėtai, saugiai, per nustatytus terminus ir naudojant auditui tinkamus įrodymus. Politika reikalauja kiekvieną prašymą per dvi darbo dienas nuo gavimo užregistruoti REG06 ir suklasifikuoti prieš pradedant vertinimą. Privalomi klasifikavimo laukai apima prašymo tipą, prašymo kanalą, prašymo datą, prašymo teikėjo tapatybės nuorodą, priskirtą savininką, vidinį įvykdymo terminą, teisės aktuose arba sutartyje nustatytą terminą ir dabartinę būseną. Duomenų valdytojų atveju Privatumo vadovas / PIMS vadovas turi patvirtinti gavimą arba pateikti kitą privalomą komunikaciją per penkias darbo dienas nuo priėmimo. Prieš paskiriant įvykdymo veiksmus, prašymai taip pat turi būti susieti su atitinkamomis REG02 tvarkymo veiklomis, kad atsakymo sprendimai būtų grindžiami tvarkymo įrašais, tikslais, PII kategorijomis, sistemomis, gavėjais ir saugojimo apribojimais. Svarbus operacinis akcentas yra tapatybės patikrinimas ir saugus vertinimas. Prieš atskleidžiant PII arba atliekant prašomus pakeitimus, Privatumo vadovas / PIMS vadovas REG06 turi patikrinti prašymo teikėjo tapatybę arba atstovo įgaliojimus. Kai tapatybės arba įgaliojimų nepakanka, galima prašyti tik minimalios papildomos informacijos, būtinos patikrinimui. Politika nustato, kad didelės rizikos, ginčijamus, neaiškius, perteklinius, pasikartojančius, atsisakytus vykdyti arba iš dalies įvykdytus prašymus prieš pranešant sprendimą peržiūri duomenų apsaugos pareigūnas (DAP) / privatumo konsultantas. Ji taip pat reikalauja, kad sistemos savininkas / taikomosios programos savininkas peržiūrėtų atsakymo išrašus, siekdamas pašalinti nesusijusius PII ir neautorizuotus trečiųjų šalių duomenis, o Informacijos saugumo vadovas peržiūrėtų pateikimo metodus prieš atskleidžiant didelės apimties, jautrius, specialių kategorijų arba didelės rizikos PII. Įvykdymo reikalavimai priklauso nuo konkrečios teisės pobūdžio. Verslo savininkai turi pateikti prieigos paieškos rezultatus ne vėliau kaip likus dešimčiai darbo dienų iki atsakymo termino. Sistemų savininkai turi užbaigti patvirtintus ištaisymo, ištrynimo, apribojimo arba nuslėpimo veiksmus ir REG06 užregistruoti užbaigimo įrodymus. Prieigos ir perkeliamumo atsakymo paketai turi būti pateikiami autorizuotu metodu, o pateikimo įrodymai užregistruojami prieš uždarymą. Prieštaravimo prašymai turi būti įvertinti ir užregistruoti prieš tęsiant arba nutraukiant ginčijamą tvarkymą. Prašymai, susiję tik su automatizuotais sprendimais, turi būti peržiūrėti prieš organizacijai pateikiant rezultatą, žmogaus atliekamos peržiūros kelią arba atsisakymo pagrindimą. Kai patvirtinti rezultatai reikalauja pranešti REG08 užregistruotiems duomenų tvarkytojams, subtvarkytojams, bendriems duomenų valdytojams, gavėjams arba duomenų dalijimosi šalims, Tiekėjų / pirkimų savininkas turi koordinuoti tokį pranešimą. Politika taip pat apibrėžia valdysenos, matavimo, išimčių ir laikymosi reikalavimus. Privatumo vadovas / PIMS vadovas yra atsakingas už prašymų įgyvendinti teises darbo eigą, REG06 struktūrą, terminus, priskyrimo taisykles ir uždarymo kriterijus, atliekant bent kasmetinę peržiūrą ir atnaujinimus po esminio pokyčio. Rodikliai apima mėnesinį prašymų matavimą pagal tipą, būseną, verslo savininką ir tvarkymo veiklą, mėnesinį vėluojančių elementų ataskaitų teikimą, ketvirtinį atsisakymo vykdyti, dalinio įvykdymo ir pratęsimo rodiklių matavimą, taip pat ketvirtinę pasikartojančių temų, skundų, ginčų ir korekcinių veiksmų peržiūrą. Planuojami auditai turi atrinkti uždarytų REG06 įrašų imtį ir REG12 užregistruoti išvadas dėl įrodymų kokybės, terminų laikymosi ir uždarymo. Išimtys turi būti patvirtintos REG12 prieš įgyvendinimą, nurodant galiojimo pabaigos datas, savininkus ir kompensuojančias kontrolės priemones. Laikymosi nuostatos reikalauja registruoti neatitiktis, eskaluoti trečiųjų šalių nebendradarbiavimą, vadovybei priskirti korekcinių veiksmų savininkystę dėl sisteminių nesėkmių ir atlikti REG10 peržiūrą, kai neatitiktis rodo neautorizuotą atskleidimą, praradimą, pakeitimą, neprieinamumą arba kitą įtariamą PII incidentą.