Personas datu apstrādes uzskaites un tiesiskā pamata politika

Personas datu apstrādes uzskaites un tiesiskā pamata politika nosaka, kā organizācija uztur savu personas datu apstrādes uzskaiti/RoPA un dokumentē pamatfaktus, kas nepieciešami, lai PIMS darbības jomā pierādītu pārskatatbildīgu apstrādi. Tā attiecas uz visām darbības jomā iekļautajām personas datu apstrādes darbībām, tostarp apstrādi, ko veic kā pārzinis, kopīgs pārzinis, apstrādātājs vai apakšapstrādātājs. Politika aptver apstrādi, ko veic biznesa procesi, sistēmas, lietojumprogrammas, piegādātāji, apstrādātāji, apakšapstrādātāji un datu koplietošanas saņēmēji, un tā attiecas uz jaunu, būtiski mainītu un izbeigtu apstrādi. Apstrādes uzskaites ieraksts ir definēts kā REG02 ieraksts, kas apraksta atsevišķu personas datu apstrādes darbību, tostarp tās nolūku, lomu, īpašnieku, personas datu kategorijas, datu subjektu kategorijas, tiesiskā pamata vai klienta norādījuma atsauci, sistēmas, saņēmējus, glabāšanas atsauci, datu nosūtīšanas atsauci, privātuma riska statusu un pārskatīšanas statusu. Politikas galvenais mērķis ir noteikt REG02 kā autoritatīvo pierādījumu objektu personas datu apstrādes uzskaitei un apstrādes darbību ierakstiem. Politika prasa, lai procesa īpašnieks vai uzņēmuma īpašnieks izveidotu REG02 ierakstu pirms jebkuras jaunas personas datu apstrādes sākšanas un ierakstītu obligātos laukus pirms darbības sākuma. Tā arī prasa klasificēt organizācijas PIMS lomu katrai darbībai un piesaistīt sistēmas, lietojumprogrammas, piegādātājus, apstrādātājus, apakšapstrādātājus, koplietošanu ar trešajām pusēm un kopīga pārziņa attiecības attiecīgajam REG02 ierakstam. Tas izveido strukturētu apstrādes ierakstu, ko attiecīgā gadījumā var sasaistīt ar privātuma paziņojumiem, piekrišanu, DPIA, risku, piegādātāju, datu nosūtīšanas, kontroles pasākumu un audita pierādījumiem. Pārziņa darbībām politika prasa dokumentēt konkrēto apstrādes nolūku, pirms personas dati tiek vākti, izmantoti, izpausti vai citādi apstrādāti. Privātuma vadītājam / PIMS vadītājam ir jāvalidē REG02 ierakstītais tiesiskais pamats pirms pārziņa apstrādes sākšanas un pirms jebkādu nolūka izmaiņu spēkā stāšanās. Politika aptver arī īpašas situācijas: piekrišanai jābūt sasaistītai ar REG05, leģitīmajām interesēm jānorāda atsauce uz REG04, īpašu kategoriju personas datiem ir jābūt ierakstītam nosacījumam, un datiem par sodāmību vai pārkāpumiem ir nepieciešams autorizācijas pamats. Apstrādātāja un apakšapstrādātāja kontekstā politika prasa pirms apstrādes sākuma ierakstīt klienta norādījumu atsauces, klienta nolūku, priekšmetu, ilgumu, personas datu kategorijas un datu subjektu kategorijas, vienošanās un norādījumu pierādījumus uzturot REG08. Politika nosaka arī to, kā uzskaite tiek uzturēta aktuāla. Būtiskas izmaiņas apstrādē ietver izmaiņas nolūkā, tiesiskajā pamatā, PIMS lomā, personas datu kategorijā, datu subjektu kategorijā, saņēmējā, sistēmā, piegādātājā, apakšapstrādātājā, apstrādes vietā, datu nosūtīšanā, glabāšanas noteikumā, drošības klasifikācijā, privātuma paziņojumā, piekrišanas atkarībā, DPIA statusā, klienta norādījumā vai sertifikācijas darbības jomā. REG02 ir jāatjaunina 10 darba dienu laikā pēc šādas izmaiņas identificēšanas, un pirms jaunas vai būtiski mainītas apstrādes turpināšanas REG04 ir jāierosina privātuma riska un DPIA sākotnējā izvērtēšana. Privātuma vadītājs / PIMS vadītājs reizi ceturksnī saskaņo REG02 ar REG01, REG03, REG04, REG08 un REG09, savukārt iekšējā audita / atbilstības pārskatītāji plānoto pārskatīšanu laikā izlases kārtībā pārbauda pilnīgumu, precizitāti un aktualitāti. Pārvaldība, mērījumi, izņēmumi un politikas piemērošana ir iekļauti politikas prasībās. Privātuma vadītājs / PIMS vadītājs REG12 iesniedz ceturkšņa uzskaites veselības kopsavilkumus, reģistrē uzskaites metriku, validē jaunus REG02 ierakstus un uztur minimālo lauku un pārskatīšanas periodiskuma noteikumus. Augstākā vadība vadības pārskatīšanas laikā pārskata pilnīgumu, kavētas pārskatīšanas, būtiskas tiesiskā pamata problēmas un neatrisinātas neatbilstības. Izņēmumi ir jāpieprasa un jāizvērtē REG12 ietvaros, to beigu datumi nedrīkst pārsniegt 90 dienas, un noteiktiem izņēmumiem nepieciešama datu aizsardzības speciālista / privātuma konsultanta konsultācija un augstākās vadības apstiprinājums. Politikas piemērošana ietver neatbilstību reģistrēšanu, jaunas apstrādes apturēšanu gadījumos, kad trūkst pierādījumu, sistēmas nodošanas ražošanas vidē vai piegādātāju uzņemšanas bloķēšanu, ja nav obligātās sasaistes, un korektīvās darbības efektivitātes verifikāciju.