Privatumo pranešimų ir skaidrumo politika

Privatumo pranešimų ir skaidrumo politika apibrėžia organizacijos reikalavimus, taikomus privatumo pranešimų ir skaidrios informacijos apie PII tvarkymą kūrimui, tvirtinimui, skelbimui, palaikymui, peržiūrai ir pagrindimui įrodymais PIMS taikymo srityje. Jos nurodytas tikslas – užtikrinti, kad duomenų subjektai gautų „aiškius, aktualius, prieinamus ir audituojamus privatumo pranešimus prieš reikiamą PII tvarkymo gyvavimo ciklo momentą arba tuo momentu“. Politika taikoma duomenų valdytojo atliekamam tvarkymui, bendro duomenų valdytojo skaidriai informacijai ir duomenų tvarkytojo arba subtvarkytojo palaikymui vykdant duomenų valdytojo pranešimų prievoles, kai organizacija veikia pagal dokumentuotus kliento arba duomenų tvarkytojo nurodymus. Už ją atsakingas privatumo vadovas / PIMS vadovas, ją tvirtina aukščiausioji vadovybė, o kaip įrodymų objektai naudojami REG02, REG06, REG07, REG11 ir REG12. Centrinė politikos ypatybė yra privatumo pranešimų turinio kontrolė per REG07. Politika nustato REG07 kaip autoritetingą įrodymų objektą, skirtą pranešimų apskaitos, patvirtinimo, paskelbimo, peržiūros, kalbos ir versijų kontrolės įrašams. Duomenų valdytojo atliekamo tvarkymo atveju procesų savininkai / verslo savininkai turi sukurti REG07 privatumo pranešimo įrašą, susietą su atitinkama REG02 tvarkymo veikla, prieš paleisdami bet kurį naują PII rinkimo kanalą, paslaugą, formą, kampaniją, produktą arba funkciją. Kai PII gaunama iš kito šaltinio nei duomenų subjektas, įrašas turi būti sukurtas prieš pirmą komunikaciją, prieš pirmą atskleidimą trečiajai šaliai arba per 20 darbo dienų nuo PII gavimo, atsižvelgiant į tai, kas įvyksta anksčiau. Politika taip pat reikalauja, kad pranešimai būtų susieti su aktualiais REG02 tvarkymo tikslais, teisinio pagrindo nuorodomis, PII kategorijomis, duomenų subjektų kategorijomis, šaltinių kategorijomis, gavėjų kategorijomis, saugojimo nuorodomis ir perdavimo nuorodomis. Politika apibrėžia struktūruotą patvirtinimo ir paskelbimo gyvavimo ciklą. Procesų savininkai / verslo savininkai patvirtina pranešimo turinio tikslumą ir išsamumą ir prieš paskelbimą arba rinkimo kanalo aktyvavimą pateikia REG07 įrašą privatumo vadovo / PIMS vadovo patvirtinimui. Privatumo vadovas / PIMS vadovas patikrina suderinamumą su REG02 ir pranešimą patvirtina arba atmeta. Sistemų savininkai / taikomųjų programų savininkai gali paskelbti tik patvirtintą REG07 pranešimo versiją prieš įjungdami skaitmeninius rinkimo kanalus, o procesų savininkai / verslo savininkai turi užtikrinti, kad patvirtinti pranešimai būtų prieinami neskaitmeniniais kanalais prieš renkant PII. Paskelbimo įrodymai, įskaitant vietą ir laiko žymą arba lygiaverčius įrodymus, turi būti užregistruoti REG07 per dvi darbo dienas po paskelbimo. Jei trūksta reikiamų patvirtinto pranešimo įrodymų, naujas duomenų valdytojo rinkimo kanalas negali būti paleistas į produkcinę aplinką. Skaidrios informacijos kokybė užtikrinama per kalbos, prieinamumo, versijų ir pakeitimų kontrolės priemones. Politika reikalauja prieš patvirtinimą identifikuoti tikslines duomenų subjektų auditorijas ir reikiamas kalbų versijas. Ji reikalauja REG07 saugoti aiškios kalbos ir tinkamumo auditorijai įrodymus, prieš paskelbimą parengti išverstas arba lokalizuotas versijas ir per 10 darbo dienų po esminio atnaujinimo užtikrinti pirminės kalbos versijos ir lokalizuotų pranešimų versijų atitiktį. Pasenusios pranešimų versijos turi būti pašalintos, peradresuotos arba pažymėtos per penkias darbo dienas po pakeičiančios versijos paskelbimo, o pakeistos versijos, įsigaliojimo datos, patvirtinimo įrodymai ir paskelbimo įrodymai turi būti saugomi REG07. Esminiai duomenų valdytojo tapatybės, kontaktinio punkto, tvarkymo tikslo, teisinio pagrindo, PII kategorijų, gavėjų kategorijų, saugojimo nuorodų, perdavimo nuorodų, prašymų įgyvendinti teises kanalų, skundų arba privatumo kontaktinių kanalų, kalbų aprėpties, paskelbimo kanalų arba tvarkymo konteksto pakeitimai inicijuoja pranešimo atnaujinimo kontrolės priemones. Politikoje taip pat nustatyti valdysenos, matavimo, išimčių, įgyvendinimo ir priežiūros reikalavimai. Aktyvūs REG07 pranešimai peržiūrimi ne rečiau kaip kartą per metus ir per 30 dienų po esminių teisinių, reglamentavimo, sutartinių arba tvarkymo pakeitimų. REG07 pranešimų įrašai kas ketvirtį sutikrinami su REG02 tvarkymo tikslais, o neišspręsti neatitikimai registruojami REG12. Rodikliai apima aktyvių pranešimų, susietų su aktualiais REG02 tikslais, procentinę dalį, iki nustatyto termino peržiūrėtus pranešimus, pradelstus atnaujinimus, neišspręstus neatitikimus, užblokuotus arba atidėtus rinkimo kanalus, laiku įvykdytus klientų pranešimų palaikymo prašymus ir pranešimus, turinčius aktualius kalbos, versijos, patvirtinimo ir paskelbimo įrodymus. Išimtys turi būti užregistruotos REG12 prieš atsirandant nukrypimams, o nurodytoms su pranešimais susijusioms išimtims būtina privatumo konsultacija ir aukščiausiosios vadovybės patvirtinimas. Trūkstami, netikslūs, nepaskelbti, nepatvirtinti arba pasenę pranešimų įrodymai registruojami kaip neatitiktis, o esminiai netikslūs arba klaidinantys pranešimai per dvi darbo dienas nuo patvirtinimo eskaluojami duomenų apsaugos pareigūnui (DAP) / privatumo konsultantui ir aukščiausiajai vadovybei.