Datu subjektu tiesību pārvaldības politika

Datu subjektu tiesību pārvaldības politika nosaka organizācijas obligāto pieeju pieprasījumu pārvaldībai, ko iesniedz datu subjekti vai to pilnvarotie pārstāvji. Tās piemērošanas joma aptver pilnu tiesību īstenošanas pieprasījumu apstrādes dzīves ciklu: pieprasījumu saņemšanu, validēšanu, izvērtēšanu, izpildi, atteikšanu, pagarināšanu, slēgšanu, uzraudzību un pamatošanu ar pierādījumiem. Tā attiecas uz piekļuvi, labošanu, dzēšanu, ierobežošanu, pārnesamību, iebildumiem, automatizētu lēmumu pieņemšanu, piekrišanas atsaukšanas maršrutēšanu, sūdzībām un saistītiem pieprasījumiem. Politika ir paredzēta pārziņa, kopīgā pārziņa, apstrādātāja un apakšapstrādātāja kontekstiem, un apstrādātāja un apakšapstrādātāja pienākumi piemērojami, ja atbalsts tiek sniegts pārzinim, klientam vai augšupējam apstrādātājam saskaņā ar dokumentētiem norādījumiem. Politikas mērķis ir nodrošināt, ka datu subjekta tiesību īstenošanas pieprasījumi tiek apstrādāti konsekventi, likumīgi, droši, noteiktajos termiņos un ar auditam gataviem pierādījumiem. Tā prasa katru pieprasījumu reģistrēt REG06 divu darbdienu laikā pēc saņemšanas un klasificēt pirms izvērtēšanas sākšanas. Obligātie klasifikācijas lauki ietver pieprasījuma veidu, pieprasījuma kanālu, pieprasījuma datumu, pieprasītāja identitātes atsauci, piešķirto īpašnieku, iekšējo izpildes termiņu, normatīvo vai līgumisko izpildes termiņu un pašreizējo statusu. Pārziņu gadījumā Privātuma vadītājam / PIMS vadītājam piecu darbdienu laikā pēc saņemšanas jāapstiprina pieprasījuma saņemšana vai jāsniedz nākamā nepieciešamā komunikācija. Pieprasījumi pirms izpildes darbību piešķiršanas jāsaista arī ar attiecīgajām REG02 apstrādes darbībām, nodrošinot, ka lēmumi par atbildēm ir balstīti uz apstrādes ierakstiem, nolūkiem, personas datu kategorijām, sistēmām, saņēmējiem un glabāšanas ierobežojumiem. Būtisks operacionālais uzsvars ir identitātes pārbaude un droša izvērtēšana. Pirms personas datu izpaušanas vai pieprasīto izmaiņu veikšanas Privātuma vadītājam / PIMS vadītājam REG06 jāpārbauda pieprasītāja identitāte vai pārstāvja pilnvaras. Ja identitāte vai pilnvaras nav pietiekamas, drīkst pieprasīt tikai minimālo papildu informāciju, kas nepieciešama verifikācijai. Politika nosaka, ka augsta riska, apstrīdēti, neskaidri, pārmērīgi, atkārtoti, atteikti vai daļēji izpildīti pieprasījumi pirms lēmuma paziņošanas jānodod Datu aizsardzības speciālistam / privātuma konsultantam pārskatīšanai. Tā arī prasa Sistēmas īpašnieka / Lietotnes īpašnieka pārskatīšanu atbildes izvilkumiem, lai izslēgtu nesaistītus personas datus un nesankcionētus trešo pušu datus, kā arī Informācijas drošības vadītāja pārskatīšanu piegādes metodēm pirms liela apjoma, sensitīvu, īpašu kategoriju vai augsta riska personas datu izpaušanas. Izpildes prasības ir specifiskas attiecīgajām tiesībām. Uzņēmuma īpašniekiem piekļuves meklēšanas rezultāti jāsniedz ne vēlāk kā desmit darbdienu pirms atbildes termiņa. Sistēmu īpašniekiem jāpabeidz apstiprinātās labošanas, dzēšanas, ierobežošanas vai slāpēšanas darbības un REG06 jāreģistrē pabeigšanas pierādījumi. Piekļuves un pārnesamības atbildes paketes jāpiegādā, izmantojot autorizētu metodi, un pirms slēgšanas jāreģistrē piegādes pierādījumi. Iebildumu pieprasījumi jāizvērtē un jāreģistrē pirms apstrīdētā apstrāde tiek turpināta vai apturēta. Pieprasījumiem, kas ietver tikai automatizētus lēmumus, nepieciešama pārskatīšana, pirms organizācija sniedz rezultātu, cilvēka veiktas pārskatīšanas ceļu vai atteikuma pamatojumu. Ja apstiprinātie rezultāti prasa paziņošanu apstrādātājiem, apakšapstrādātājiem, kopīgiem pārziņiem, saņēmējiem vai datu koplietošanas pusēm, kas reģistrētas REG08, Piegādātāju / iepirkuma īpašniekam šī paziņošana jākoordinē. Politika nosaka arī pārvaldības, mērījumu, izņēmumu un ievērošanas prasības. Privātuma vadītājs / PIMS vadītājs ir atbildīgs par tiesību īstenošanas pieprasījumu darbplūsmu, REG06 struktūru, termiņiem, piešķiršanas noteikumiem un slēgšanas kritērijiem, nodrošinot vismaz ikgadēju pārskatīšanu un atjauninājumus pēc būtiskām izmaiņām. Metrika ietver pieprasījumu ikmēneša mērīšanu pēc veida, statusa, uzņēmuma īpašnieka un apstrādes darbības, nokavēto vienību ikmēneša ziņošanu, atteikumu, daļējas izpildes un pagarinājumu rādītāju ceturkšņa mērīšanu, kā arī atkārtotu tēmu, sūdzību, strīdu un korektīvo darbību ceturkšņa pārskatīšanu. Plānotajiem auditiem jāveic slēgtu REG06 ierakstu izlase un REG12 jāreģistrē konstatējumi par pierādījumu kvalitāti, savlaicīgumu un slēgšanu. Izņēmumi pirms ieviešanas jāapstiprina REG12, piešķirot beigu datumus, īpašniekus un kompensējošos kontroles pasākumus. Ievērošanas noteikumi prasa reģistrēt neatbilstības, eskalēt trešo pušu nesadarbošanos, vadībai piešķirt korektīvo darbību īpašumtiesības sistēmisku kļūmju gadījumā un veikt REG10 pārskatīšanu, ja neatbilstība norāda uz nesankcionētu izpaušanu, zudumu, izmainīšanu, nepieejamību vai citu iespējamu personas datu incidentu.