AII tvarkymo veiklos apskaitos ir teisinio pagrindo politika

AII tvarkymo veiklos apskaitos ir teisinio pagrindo politika apibrėžia, kaip organizacija palaiko savo AII tvarkymo veiklos apskaitą / RoPA ir dokumentuoja pagrindinius faktus, reikalingus atskaitingam tvarkymui PIMS taikymo srityje įrodyti. Ji taikoma visoms į taikymo sritį patenkančioms AII tvarkymo veikloms, įskaitant tvarkymą, atliekamą kaip duomenų valdytojas, bendras duomenų valdytojas, duomenų tvarkytojas arba subtvarkytojas. Politika apima tvarkymą pagal verslo procesus, sistemas, taikomąsias programas, tiekėjus, duomenų tvarkytojus, subtvarkytojus ir duomenų dalijimosi gavėjus, taip pat taikoma naujam, iš esmės pakeistam ir nutrauktam tvarkymui. Tvarkymo veiklos apskaitos įrašas apibrėžiamas kaip REG02 įrašas, apibūdinantis atskirą AII tvarkymo veiklą, įskaitant jos tikslą, vaidmenį, savininką, AII kategorijas, duomenų subjektų kategorijas, teisinio pagrindo arba kliento nurodymo nuorodą, sistemas, gavėjus, saugojimo nuorodą, perdavimo nuorodą, privatumo rizikos būseną ir peržiūros būseną. Pagrindinis politikos tikslas – padaryti REG02 autoritetingu AII tvarkymo veiklos apskaitos ir tvarkymo veiklos įrašų įrodymų objektu. Politikoje reikalaujama, kad proceso savininkas arba verslo savininkas sukurtų REG02 įrašą prieš pradedant bet kokį naują AII tvarkymą ir įrašytų privalomus laukus prieš veiklos pradžią. Taip pat reikalaujama klasifikuoti organizacijos PIMS vaidmenį kiekvienai veiklai ir susieti sistemas, taikomąsias programas, tiekėjus, duomenų tvarkytojus, subtvarkytojus, dalijimąsi su trečiosiomis šalimis ir bendro duomenų valdytojo santykius su atitinkamu REG02 įrašu. Taip sukuriamas struktūrizuotas tvarkymo įrašas, kuris, kai taikoma, gali būti susietas su privatumo pranešimais, sutikimu, DPIA, rizika, tiekėjais, perdavimu, kontrolės priemonėmis ir audito įrodymais. Duomenų valdytojo veikloms politikoje reikalaujama, kad konkretus tvarkymo tikslas būtų dokumentuotas prieš AII rinkimą, naudojimą, atskleidimą ar kitokį tvarkymą. Privatumo vadovas / PIMS vadovas turi validuoti REG02 įrašytą teisinį pagrindą prieš pradedant duomenų valdytojo atliekamą tvarkymą ir prieš įsigaliojant bet kokiam tikslo pakeitimui. Politikoje taip pat aptariamos specialios situacijos: sutikimas turi būti susietas su REG05, teisėti interesai turi nurodyti REG04, specialiųjų kategorijų AII turi turėti įrašytą sąlygą, o duomenims apie apkaltinamuosius nuosprendžius ar nusikalstamas veikas reikalingas autorizavimo pagrindas. Duomenų tvarkytojo ir subtvarkytojo kontekstuose politikoje reikalaujama prieš pradedant tvarkymą įrašyti kliento nurodymų nuorodas, kliento tikslą, dalyką, trukmę, AII kategorijas ir duomenų subjektų kategorijas, o susitarimo ir nurodymų įrodymai turi būti palaikomi REG08. Politika taip pat apibrėžia, kaip apskaita išlieka aktuali. Esminiai tvarkymo pakeitimai apima tikslo, teisinio pagrindo, PIMS vaidmens, AII kategorijos, duomenų subjektų kategorijos, gavėjo, sistemos, tiekėjo, subtvarkytojo, tvarkymo vietos, perdavimo, saugojimo taisyklės, saugumo klasifikavimo, privatumo pranešimo, priklausomybės nuo sutikimo, DPIA būsenos, kliento nurodymo arba sertifikavimo taikymo srities pakeitimus. REG02 turi būti atnaujintas per 10 darbo dienų nuo tokio pakeitimo nustatymo, o privatumo rizikos ir DPIA poreikio vertinimas turi būti inicijuotas REG04 prieš pradedant naują arba iš esmės pakeistą tvarkymą. Privatumo vadovas / PIMS vadovas kas ketvirtį sulygina REG02 su REG01, REG03, REG04, REG08 ir REG09, o vidaus audito / atitikties peržiūrėtojai planinių peržiūrų metu atrankos būdu tikrina išsamumą, tikslumą ir aktualumą. Į politiką įtrauktos valdysenos, matavimo, išimčių ir politikos taikymo nuostatos. Privatumo vadovas / PIMS vadovas teikia ketvirtines apskaitos būklės santraukas REG12, registruoja apskaitos rodiklius, validuoja naujus REG02 įrašus ir palaiko minimalių laukų bei peržiūros periodiškumo taisykles. Aukščiausioji vadovybė vadovybės peržiūros metu peržiūri išsamumą, vėluojančias peržiūras, reikšmingas teisinio pagrindo problemas ir neišspręstas neatitiktis. Išimtys turi būti prašomos ir vertinamos REG12, jų galiojimo pabaigos datos negali viršyti 90 dienų, o tam tikroms išimtims reikalinga duomenų apsaugos pareigūno (DAP) / privatumo konsultanto konsultacija ir aukščiausiosios vadovybės patvirtinimas. Politikos taikymas apima neatitikčių registravimą, naujo tvarkymo sustabdymą, kai trūksta įrodymų, sistemos paleidimo gamybinėje aplinkoje arba tiekėjų įtraukimo blokavimą, kai nėra privalomos sąsajos, ir korekcinių veiksmų veiksmingumo patikrinimą.