Personu identificējošas informācijas (PII) vākšanas, izmantošanas, izpaušanas un koplietošanas politika

Personu identificējošas informācijas (PII) vākšanas, izmantošanas, izpaušanas un koplietošanas politika nosaka operatīvās prasības tam, kā personu identificējoša informācija tiek vākta, izmantota, izpausta un koplietota PIMS darbības jomā. Tās noteiktais mērķis ir nodrošināt, ka PII tiek apstrādāta tikai dokumentētiem, apstiprinātiem, ierobežotiem un pārskatatbildīgiem nolūkiem. Politika attiecas uz pārziņa, kopīgā pārziņa, apstrādātāja un apakšapstrādātāja kontekstiem un aptver vākšanu, izmantojot tiešus, netiešus, automatizētus, manuālus, iekšējus, ārējus un trešo pušu kanālus. Tā arī aplūko apstiprinātu iekšējo izmantošanu biznesa procesos, sistēmās un lietojumprogrammās, sekundāru izmantošanu jauniem vai būtiski mainītiem nolūkiem, ārēju izpaušanu saņēmējiem un trešajām pusēm, kā arī atkārtotas datu koplietošanas kārtības un vienreizēju izpaušanu. Politikas centrālais elements ir pierādījumu reģistru izmantošana, lai privātuma lēmumus sasaistītu ar auditējamiem ierakstiem. REG02 tiek izmantots PII apstrādes uzskaitei, apstiprinātiem nolūkiem, vākšanas noteikumiem, izmantošanas noteikumiem un sekundāras izmantošanas saderības pārbaudēm. REG08 tiek izmantots apstrādātāju, apakšapstrādātāju un datu koplietošanas ierakstiem, tostarp saņēmēja identitātei, saņēmēja lomai, izpaušanas nolūkam, PII kategorijām, koplietošanas biežumam, apstrādes vietai un pilnvarojuma avotam. REG09 tiek izmantots, ja koplietošana ietver jaunu valsti, starptautisku organizāciju, attālinātas piekļuves vietu, saņēmēja atrašanās vietu vai turpmākas nosūtīšanas vietu. REG12 tiek izmantots izņēmumiem, neatbilstībām, audita konstatējumiem, korektīvajām darbībām, ieviešanu bloķējošām problēmām un politikas pārskatīšanas ierakstiem. Politika nosaka skaidrus kontroles punktus pirms apstrādes sākšanas. Procesu īpašniekiem vai uzņēmuma īpašniekiem pirms jaunas vākšanas vai būtiskas izmaiņas sākšanas REG02 jāreģistrē vākšanas nolūki, avoti vai kanāli, PII kategorijas, datu subjektu kategorijas un minimālie datu elementi. Viņiem arī jādokumentē nepieciešamības pamatojums katram PII datu elementam pirms vākšanas. Sistēmu īpašnieki vai lietotņu īpašnieki drīkst ieviest tikai apstiprinātus vākšanas laukus, darbplūsmas laukus, pārskatus, eksportus vai izpaušanas izvaddatus, kas atbilst REG02 vai REG08 apstiprinājumam. Apstrādātāja kontekstā pirms klienta PII vākšanas, izmantošanas vai izpaušanas jāreģistrē atbilstība klienta norādījumam. Sekundāra izmantošana tiek pārvaldīta kā reglamentēts lēmums, nevis neformāls esošas darbības paplašinājums. Pirms PII izmantošanas nolūkam, kas vēl nav apstiprināts REG02, procesa īpašniekam vai uzņēmuma īpašniekam jāreģistrē saderības pārbaude, kas aptver sākotnējo nolūku, piedāvāto nolūku, atkarību no tiesiskā pamata, PII kategorijas, datu subjektu gaidas, minimizēšanas pamatojumu, izpaušanas vai nosūtīšanas ietekmi un maršrutēšanu uz citām PIMS politikām, ja nepieciešams. Privātuma vadītājam vai PIMS vadītājam pirms sekundāras izmantošanas sākšanas jāreģistrē apstiprinājums vai noraidījums. Ja ir iesaistīta sensitīva atkārtota koplietošana, ievainojami datu subjekti, augstas ietekmes ieraksti vai būtiski mainītas gaidas, pirms apstiprināšanas jāreģistrē datu aizsardzības speciālista vai privātuma konsultanta ieteikums. Politikā ir iekļauta pārvaldība, mērīšana un ievērošana. Privātuma vadītājs vai PIMS vadītājs vismaz reizi gadā pārskata apstiprinātas izmantošanas noteikumus, vismaz reizi gadā saskaņo REG02 apstiprinātos nolūkus ar REG08 aktīvajiem koplietošanas ierakstiem un reģistrē rezultātus REG12. Piegādātāju vai iepirkumu īpašnieki vismaz reizi ceturksnī saskaņo REG08 aktīvos koplietošanas ierakstus ar aktīvām apstrādātāju, apakšapstrādātāju, saņēmēju un datu koplietošanas attiecībām. Iekšējā audita vai atbilstības pārskatītāji katru gadu izlases veidā pārbauda REG02, REG08 un REG09 pierādījumus un reģistrē rezultātus REG12. Neapstiprināta vākšana, izmantošana, izpaušana vai koplietošana piecu darbdienu laikā jāreģistrē kā neatbilstība, un apstrādi var apturēt vienas darbdienas laikā, ja nav apstiprinātu pierādījumu.