Politika dwar il-Ġestjoni tal-Kunsens u tal-Preferenzi

Il-Politika dwar il-Ġestjoni tal-Kunsens u tal-Preferenzi tiddefinixxi rekwiżiti obbligatorji biex jiġi ddeterminat meta jkun meħtieġ il-kunsens, biex jintalab il-kunsens, biex tinqabad evidenza tal-kunsens, biex jiġu mmaniġġjati l-preferenzi, biex jiġi pproċessat l-irtirar, biex jinżammu reġistri tal-kunsens u biex jiġu riveduti l-mekkaniżmi tal-kunsens. Tapplika għall-ipproċessar tal-PII fejn il-kunsens jintgħażel jew ikun meħtieġ bħala bażi legali, fejn ikun meħtieġ kunsens espliċitu, fejn jinġabru preferenzi tal-kunsens, jew fejn l-organizzazzjoni timmaniġġja reġistri tal-kunsens f’isem kontrollur. Il-politika tkopri kuntesti ta’ kontrollur, kontrollur konġunt, proċessur u subproċessur, filwaqt li tagħmilha ċara li l-obbligi tal-proċessur u tas-subproċessur japplikaw biss fejn reġistri tal-kunsens, stati tal-preferenzi jew istruzzjonijiet ta’ rtirar jiġu mmaniġġjati skont istruzzjonijiet dokumentati tal-kontrollur jew tal-klijent. Prinċipju ċentrali tal-politika huwa li l-kunsens mhuwiex il-bażi legali predefinita għall-ipproċessar tal-PII. Qabel ma attività ġdida jew mibdula b’mod materjali tal-ipproċessar tiddependi fuq il-kunsens, is-Sid tal-Proċess jew is-Sid tan-Negozju għandu jirreġistra f’REG02 jekk il-kunsens huwiex meħtieġ jew magħżul, u r-Responsabbli għall-Privatezza jew il-Maniġer tal-PIMS għandu jivverifika f’REG02 u REG05 li l-kunsens ma ntgħażilx b’mod predefinit. Fejn l-ipproċessar jinvolvi kategoriji speċjali ta’ PII, servizzi indirizzati lit-tfal, ipproċessar b’riskju għoli, jew żbilanċ bejn l-organizzazzjoni u l-prinċipal tal-PII, id-Data Protection Officer jew il-Konsulent tal-Privatezza għandu jirrevedi l-bażi tal-kunsens f’REG04 qabel it-tnedija. Għal attivitajiet ta’ kontrollur konġunt, ir-responsabbiltà għall-kisba, ir-reġistrazzjoni, l-aġġornament u l-osservanza tal-kunsens għandha tiġi dokumentata qabel jibda l-ipproċessar. Il-politika tistabbilixxi rekwiżiti operattivi dettaljati għat-talba u l-qbid tal-kunsens. It-talbiet għall-kunsens għandhom ikunu speċifiċi għall-għan u marbuta mal-verżjoni applikabbli tal-avviż ta’ privatezza REG07 qabel jiġu ppreżentati lil prinċipal tal-PII. Is-sistemi għandhom jeħtieġu azzjoni affermattiva fejn ikun meħtieġ kunsens espliċitu jew opt-in, u għandhom jipprevjenu l-ipproċessar li jiddependi fuq il-kunsens milli jipproċedi sakemm REG05 ma jurix status attiv tal-kunsens għall-għan rilevanti. REG05 għandu jaqbad ir-referenza tal-prinċipal tal-PII, l-għan, il-kategorija tal-PII, il-kliem jew il-verżjoni tal-kunsens, il-verżjoni tal-avviż ta’ privatezza, il-kanal tal-qbid, it-timestamp, il-metodu, l-istatus u l-perjodu ta’ validità applikabbli. Fejn japplika kunsens indirizzat lit-tfal jew kunsens espliċitu, jiġu attivati rekwiżiti addizzjonali ta’ loġika, immarkar u rieżami. Il-ġestjoni tal-preferenzi u tal-irtirar hija rregolata wkoll permezz ta’ REG05 u, fejn applikabbli, REG08. Mekkaniżmu ta’ rtirar jew ta’ bidla fil-preferenzi għandu jkun disponibbli mhux aktar tard mill-punt li fih jintalab il-kunsens. L-irtirar u l-bidliet fil-preferenzi għandhom jiġu rreġistrati fi żmien ħamest ijiem tax-xogħol minn meta jaslu jew fi żmien iqsar definit għall-attività tal-ipproċessar. Is-sistemi affettwati, l-istati ta’ soppressjoni jew il-markaturi tal-preferenzi għandhom jiġu aġġornati qabel ma jkompli aktar ipproċessar għal għan irtirat jew ristrett. Il-proċessuri għandhom jgħaddu jew jimplimentaw istruzzjonijiet tal-klijent fiż-żmien definit mill-klijent, u s-subproċessuri għandhom jiġu vverifikati permezz ta’ REG08 kontra skadenzi kuntrattwali jew skadenzi mogħtija bħala istruzzjoni. Il-politika tindirizza wkoll il-kontroll tat-tibdil, il-protezzjoni tar-reġistri, il-governanza, l-implimentazzjoni, il-metriċi, l-eċċezzjonijiet, l-applikazzjoni u l-manutenzjoni. Il-kunsens għandu jiġi evalwat mill-ġdid qabel ma jkompli l-ipproċessar fejn l-għan, il-kategoriji tal-PII, l-identità tal-kontrollur, il-kliem tal-avviż, iż-żamma, il-kategorija tar-riċevitur jew il-metodu tal-ipproċessar jinbidlu b’mod materjali. Il-kliem tal-kunsens, il-konfigurazzjoni tal-mekkaniżmu, ir-referenzi tal-avviż u l-iskemi tar-reġistri tal-kunsens għandhom ikunu taħt kontroll tal-verżjoni. Ir-reġistri REG05 għandhom jiġu protetti kontra tibdil mhux awtorizzat, u għandha tinżamm evidenza tat-traċċa ta’ awditjar. Il-metriċi jinkludu verifiki kull tliet xhur tar-rabta bejn REG05, REG02 u REG07; kejl kull xahar tat-tlestija tal-irtirar fejn ikun attiv l-ipproċessar ibbażat fuq il-kunsens; u rappurtar tal-awditjar f’REG12. L-eċċezzjonijiet għandhom jiġu approvati qabel l-implimentazzjoni, u n-nuqqasijiet ta’ konformità li jinvolvu evidenza tal-kunsens nieqsa, invalida, mhux marbuta jew mhux affidabbli għandhom jiġu rreġistrati fi żmien ħamest ijiem tax-xogħol.