Privātuma paziņojumu un pārredzamības politika

Privātuma paziņojumu un pārredzamības politika nosaka organizācijas prasības privātuma paziņojumu un pārredzamības informācijas izveidei, apstiprināšanai, publicēšanai, uzturēšanai, pārskatīšanai un pierādīšanai attiecībā uz personas datu apstrādi PIMS darbības jomā. Tās noteiktais mērķis ir nodrošināt, ka datu subjekti saņem “skaidrus, aktuālus, piekļūstamus un auditējamus privātuma paziņojumus vajadzīgajā brīdī personas datu apstrādes dzīves ciklā vai pirms tā”. Politika attiecas uz pārziņa apstrādi, kopīga pārziņa pārredzamības informāciju un apstrādātāja vai apakšapstrādātāja atbalstu pārziņa paziņojumu pienākumiem, ja organizācija rīkojas saskaņā ar dokumentētiem klienta vai apstrādātāja norādījumiem. Par to atbild Privātuma vadītājs / PIMS vadītājs, to apstiprina Augstākā vadība, un kā pierādījumu objekti tiek izmantoti REG02, REG06, REG07, REG11 un REG12. Politikas centrālā iezīme ir privātuma paziņojumu satura kontrole ar REG07 starpniecību. Politika nosaka REG07 kā autoritatīvu pierādījumu objektu paziņojumu uzskaitei, apstiprināšanai, publicēšanai, pārskatīšanai, valodām un versiju kontroles ierakstiem. Pārziņa apstrādei procesu īpašniekiem / biznesa īpašniekiem jāizveido REG07 privātuma paziņojuma ieraksts, kas sasaistīts ar attiecīgo REG02 apstrādes darbību, pirms tiek palaists jebkurš jauns personas datu vākšanas kanāls, pakalpojums, veidlapa, kampaņa, produkts vai funkcija. Ja personas dati tiek iegūti no avota, kas nav datu subjekts, ieraksts jāizveido pirms pirmās saziņas, pirms pirmās izpaušanas trešajai pusei vai 20 darba dienu laikā pēc personas datu iegūšanas — atkarībā no tā, kas notiek vispirms. Politika arī prasa paziņojumus sasaistīt ar aktuālajiem REG02 apstrādes nolūkiem, tiesiskā pamata atsaucēm, personas datu kategorijām, datu subjektu kategorijām, avotu kategorijām, saņēmēju kategorijām, glabāšanas atsaucēm un datu nosūtīšanas atsaucēm. Politika nosaka strukturētu apstiprināšanas un publicēšanas dzīves ciklu. Procesu īpašnieki / biznesa īpašnieki apliecina paziņojuma satura precizitāti un pilnīgumu un pirms publicēšanas vai vākšanas kanāla aktivizēšanas iesniedz REG07 ierakstu Privātuma vadītāja / PIMS vadītāja apstiprināšanai. Privātuma vadītājs / PIMS vadītājs pārbauda konsekvenci ar REG02 un apstiprina vai noraida paziņojumu. Sistēmu īpašnieki / lietotņu īpašnieki drīkst publicēt tikai apstiprināto REG07 paziņojuma versiju pirms digitālo vākšanas kanālu iespējošanas, savukārt procesu īpašniekiem / biznesa īpašniekiem pirms personas datu vākšanas jānodrošina apstiprināto paziņojumu pieejamība nedigitālajos kanālos. Publicēšanas pierādījumi, tostarp atrašanās vieta un laikspiedols vai līdzvērtīgi pierādījumi, jāieraksta REG07 divu darba dienu laikā pēc publicēšanas. Ja trūkst nepieciešamo apstiprinātā paziņojuma pierādījumu, jaunais pārziņa vākšanas kanāls nedrīkst tikt nodots ražošanas vidē. Pārredzamības kvalitāte tiek risināta, izmantojot valodas, piekļūstamības, versiju un izmaiņu kontroles pasākumus. Politika prasa pirms apstiprināšanas identificēt mērķa datu subjektu auditorijas un nepieciešamās valodu versijas. Tā prasa REG07 uzturēt skaidras valodas un auditorijas piemērotības pierādījumus, pirms publicēšanas sagatavot tulkotas vai lokalizētas versijas un nodrošināt versiju paritāti starp galveno paziņojumu un lokalizētajiem paziņojumiem 10 darba dienu laikā pēc būtiska atjauninājuma. Novecojušās paziņojumu versijas piecu darba dienu laikā pēc aizstājošās publikācijas ir jānoņem, jāpāradresē vai jāmarķē, savukārt aizstātās versijas, spēkā stāšanās datumi, apstiprināšanas pierādījumi un publicēšanas pierādījumi jāglabā REG07. Būtiskas izmaiņas pārziņa identitātē, kontaktpunktā, apstrādes nolūkā, tiesiskajā pamatā, personas datu kategorijās, saņēmēju kategorijās, glabāšanas atsaucēs, datu nosūtīšanas atsaucēs, datu subjekta tiesību īstenošanas pieprasījumu kanālos, sūdzību vai privātuma kontaktkanālos, valodu pārklājumā, publicēšanas kanālos vai apstrādes kontekstā ierosina paziņojuma atjaunināšanas kontroles pasākumus. Politika ietver arī pārvaldības, mērījumu, izņēmumu, piemērošanas un uzturēšanas prasības. Aktīvie REG07 paziņojumi tiek pārskatīti vismaz reizi gadā un 30 dienu laikā pēc būtiskām tiesiskām, regulatīvām, līgumiskām vai apstrādes izmaiņām. REG07 paziņojumu ieraksti reizi ceturksnī tiek saskaņoti ar REG02 apstrādes nolūkiem, un neatrisinātas neatbilstības tiek reģistrētas REG12. Metrika ietver aktīvo paziņojumu īpatsvaru, kas sasaistīti ar aktuālajiem REG02 nolūkiem, līdz noteiktajam termiņam pārskatītos paziņojumus, nokavētos atjauninājumus, neatrisinātās neatbilstības, bloķētos vai aizkavētos vākšanas kanālus, laikus izpildītos klientu paziņojumu atbalsta pieprasījumus un paziņojumus ar aktuāliem valodas, versijas, apstiprināšanas un publicēšanas pierādījumiem. Izņēmumi jāreģistrē REG12 pirms atkāpju rašanās, un noteiktiem ar paziņojumiem saistītiem izņēmumiem nepieciešama privātuma konsultācija un Augstākās vadības apstiprinājums. Trūkstoši, neprecīzi, nepublicēti, neapstiprināti vai novecojuši paziņojumu pierādījumi tiek reģistrēti kā neatbilstība, un būtiski neprecīzi vai maldinoši paziņojumi divu darba dienu laikā pēc apstiprināšanas tiek eskalēti Datu aizsardzības speciālistam / privātuma konsultantam un Augstākajai vadībai.