Integrētās datu aizsardzības un datu aizsardzības pēc noklusējuma politika

Integrētās datu aizsardzības un datu aizsardzības pēc noklusējuma politika definē, kā privātuma prasības ir jāiestrādā jaunās un mainītās personu identificējošas informācijas (PII) apstrādes darbībās PIMS darbības jomā. Tā attiecas uz projektiem, produktiem, pakalpojumiem, sistēmām, lietojumprogrammām, integrācijām, iepirkuma darbībām un biznesa procesu izmaiņām. Politika ir paredzēta pārziņa, kopīgā pārziņa, apstrādātāja un apakšapstrādātāja kontekstiem, tostarp situācijām, kurās organizācija projektē, konfigurē, maina vai nodrošina apstrādi klienta, pārziņa vai augšupējā apstrādātāja vārdā saskaņā ar dokumentētiem norādījumiem. Tās pamatmērķis ir nodrošināt, ka privātuma prasības tiek identificētas, ieviestas un pierādītas pirms PII apstrādes uzsākšanas vai būtiskām izmaiņām. Politika īpaši uzsver nolūku, nepieciešamību, minimizēšanu un privātumu aizsargājošus noklusējuma iestatījumus. Procesu īpašniekiem un uzņēmuma īpašniekiem pirms datu vākšanas vai importēšanas projektējuma apstiprināšanas REG02 un REG04 ir jādokumentē minimālās PII kategorijas, datu subjektu kategorijas, avoti un nolūki. Sistēmu īpašniekiem un lietotņu īpašniekiem ir jākonfigurē apstrādes noklusējuma iestatījumi atbilstoši minimālajai PII vākšanai un apstrādei, kas nepieciešama dokumentētajam nolūkam, un pirms nodošanas ražošanas vidē jāreģistrē pierādījumi REG04. Neobligātie PII lauki, neobligātās apstrādes izvēles, pēc noklusējuma izslēgtie iestatījumi, ekspozīcijas iestatījumi skatiem un pārskatiem, kā arī rīcība ar pagaidu datnēm, kešatmiņām, žurnāliem vai sagatavošanas ierakstiem tiek uzskatīti par projektēšanas posma privātuma pienākumiem, nevis par vēlākām darbības korekcijām. Privātuma riska un DPIA sasaistes tiek iekļautas projektēšanas procesā, neaizstājot atsevišķo metodoloģiju, kas definēta PII07. Privātuma vadītājam / PIMS vadītājam ir jāapstiprina, ka privātuma risks un DPIA sākotnējā izvērtēšana ir reģistrēta REG04 pirms projektējuma apstiprināšanas jaunai vai būtiski mainītai PII apstrādei. Integrētās datu aizsardzības riska apstrādes darbības, īpašnieki un termiņi ir jāreģistrē pirms pārskatīšanas slēgšanas, un ieviešanas pierādījumi ir jāfiksē pirms nodošanas ražošanas vidē. Augsta riska vai būtiski mainītas pārziņa veiktas apstrādes gadījumā politika arī nosaka prasību 30 kalendāro dienu laikā pēc nodošanas ražošanas vidē veikt pēcieviešanas integrētās datu aizsardzības pārbaudi REG04. Ja projektēšanas jautājumi ir trūkstoši, neefektīvi, nokavēti vai apieti, REG12 tiek atvērta korektīvā darbība. Politika paplašina integrēto datu aizsardzību arī uz iepirkumu un attiecībām ar trešajām pusēm. Piegādātāju un iepirkuma īpašniekiem pirms iepirkuma apstiprināšanas REG08 ir jāreģistrē integrētās datu aizsardzības prasības piegādātājiem, apstrādātājiem, apakšapstrādātājiem, SaaS pakalpojumiem, platformām vai ārēji mitinātām sistēmām. Pirms ārējas apstrādes, datu koplietošanas vai iepirkuma apstiprināšanas ir jādokumentē trešās puses PII nepieciešamība, nolūks un minimālās PII kategorijas. Piegādātāju atbalsts privātuma noklusējuma iestatījumiem, minimizēšanai un klienta konfigurācijas vajadzībām ir jāreģistrē pirms uzņemšanas, savukārt neatrisināti piegādātāja integrētās datu aizsardzības trūkumi piecu darbdienu laikā un pirms līguma parakstīšanas tiek eskalēti uz REG12. Pārvaldība, uzraudzība, politikas ieviešana un uzturēšana tiek definētas ar atkārtotiem pierādījumu un pārskatīšanas cikliem. Privātuma vadītājs / PIMS vadītājs reizi ceturksnī iesniedz REG12 integrētās datu aizsardzības statusa kopsavilkumus, aprēķina pabeigšanas un nokavēto darbību metriku un pirms iekšējā audita pārbauda, vai projektēšanas pierādījumi ir konsolidēti REG02, REG04, REG08 un REG12. Augstākā vadība vadības pārskatīšanas laikā pārskata augstas ietekmes izņēmumus, bloķētus lēmumus par nodošanu ražošanas vidē un atkārtotus konstatējumus. Politikas piemērošanas noteikumi prasa nepieļaut nodošanu ražošanas vidē, ja REG04 pārskatīšana nav pabeigta, nepieļaut uzņemšanu, ja nav REG08 pierādījumu, un apturēt jaunu vai mainītu PII apstrādi līdz REG04 pārskatīšanas, REG02 atjauninājumu un nepieciešamo REG12 izņēmumu pabeigšanai.