Politika dwar il-Ġbir, l-Użu, l-Iżvelar u l-Qsim tal-PII

Il-Politika dwar il-Ġbir, l-Użu, l-Iżvelar u l-Qsim tal-PII tiddefinixxi rekwiżiti operattivi dwar kif l-informazzjoni li tidentifika persuna tinġabar, tintuża, tiġi żvelata u tinqasam fi ħdan il-kamp ta’ applikazzjoni tal-PIMS. L-għan iddikjarat tagħha huwa li tiżgura li l-PII jiġi ttrattat biss għal għanijiet dokumentati, approvati, limitati u responsabbli. Il-politika tapplika f’kuntesti ta’ kontrollur, kontrollur konġunt, proċessur u subproċessur, u tkopri l-ġbir permezz ta’ kanali diretti, indiretti, awtomatizzati, manwali, interni, esterni u ta’ partijiet terzi. Tindirizza wkoll l-użu intern approvat minn proċessi tan-negozju, sistemi u applikazzjonijiet, l-użu sekondarju għal għanijiet ġodda jew mibdula materjalment, l-iżvelar estern lil riċevituri u partijiet terzi, u kemm arranġamenti rikorrenti ta’ qsim tad-data kif ukoll żvelar ta’ darba. Karatteristika ċentrali tal-politika hija l-użu tagħha ta’ reġistri tal-evidenza biex tgħaqqad id-deċiżjonijiet dwar il-privatezza ma’ reġistri li jistgħu jiġu awditjati. REG02 jintuża għall-inventarju tal-ipproċessar tal-PII, l-għanijiet approvati, ir-regoli tal-ġbir, ir-regoli tal-użu u l-verifiki tal-kompatibbiltà tal-użu sekondarju. REG08 jintuża għar-reġistri tal-proċessuri, tas-subproċessuri u tal-qsim tad-data, inklużi l-identità tar-riċevitur, ir-rwol tar-riċevitur, l-għan tal-iżvelar, il-kategoriji tal-PII, il-frekwenza tal-qsim, il-post tal-ipproċessar u s-sors tal-awtorità. REG09 jintuża meta l-qsim jinvolvi pajjiż ġdid, organizzazzjoni internazzjonali, post ta’ aċċess remot, post tar-riċevitur jew post ta’ trasferiment ulterjuri. REG12 jintuża għall-eċċezzjonijiet, in-nuqqasijiet ta’ konformità, is-sejbiet tal-awditjar, l-azzjonijiet korrettivi, il-kwistjonijiet li jimblokkaw l-implimentazzjoni u r-reġistri tar-rieżami tal-politika. Il-politika tistabbilixxi punti ta’ kontroll ċari qabel ma jibda l-ipproċessar. Is-Sidien tal-Proċessi jew is-Sidien tan-Negozju jridu jirreġistraw l-għanijiet tal-ġbir, is-sorsi jew il-kanali, il-kategoriji tal-PII, il-kategoriji tal-prinċipali tal-PII u l-elementi minimi tad-data f’REG02 qabel ma jibda ġbir ġdid jew bidla materjali. Għandhom jiddokumentaw ukoll ġustifikazzjoni tan-neċessità għal kull element tad-data tal-PII qabel il-ġbir. Is-Sidien tas-sistemi jew is-sidien tal-applikazzjonijiet jistgħu jimplimentaw biss kampi tal-ġbir, kampi tal-flussi tax-xogħol, rapporti, esportazzjonijiet jew outputs tal-iżvelar approvati li jaqblu mal-approvazzjoni ta’ REG02 jew REG08. F’kuntesti ta’ proċessur, l-allinjament mal-istruzzjoni tal-klijent irid jiġi rreġistrat qabel ma l-PII tal-klijent jinġabar, jintuża jew jiġi żvelat. L-użu sekondarju jiġi ttrattat bħala deċiżjoni ta’ governanza u mhux bħala estensjoni informali ta’ attività eżistenti. Qabel ma l-PII jintuża għal għan li ma jkunx diġà approvat f’REG02, is-Sid tal-Proċess jew is-Sid tan-Negozju għandu jirreġistra verifika tal-kompatibbiltà li tkopri l-għan oriġinali, l-għan propost, id-dipendenza fuq il-bażi legali, il-kategoriji tal-PII, l-aspettattivi tal-prinċipal tal-PII, ir-raġunament għall-minimizzazzjoni, l-impatt tal-iżvelar jew tat-trasferiment u r-routing lejn politiki oħra tal-PIMS fejn meħtieġ. Il-Privacy Lead jew il-Maniġer tal-PIMS għandu jirreġistra approvazzjoni jew ċaħda qabel ma jibda l-użu sekondarju. Fejn ikunu involuti qsim rikorrenti sensittiv, prinċipali tal-PII vulnerabbli, reġistri b’impatt għoli jew aspettattivi mibdula materjalment, il-parir tad-Data Protection Officer jew tal-Konsulent tal-Privatezza għandu jiġi rreġistrat qabel l-approvazzjoni. Il-governanza, il-kejl u l-applikazzjoni huma integrati fil-politika. Il-Privacy Lead jew il-Maniġer tal-PIMS jirrevedi r-regoli tal-użu approvat mill-inqas darba fis-sena, jirrikonċilja l-għanijiet approvati f’REG02 mar-reġistri attivi ta’ qsim f’REG08 mill-inqas darba fis-sena u jirreġistra r-riżultati f’REG12. Is-Sidien tal-Fornituri jew tal-Akkwist jirrikonċiljaw l-entrati attivi ta’ qsim f’REG08 mar-relazzjonijiet attivi ta’ proċessuri, subproċessuri, riċevituri u qsim tad-data mill-inqas kull tliet xhur. Ir-Rieżaminaturi tal-Awditjar Intern jew tal-Konformità jieħdu kampjuni tal-evidenza ta’ REG02, REG08 u REG09 kull sena u jirreġistraw ir-riżultati f’REG12. Ġbir, użu, żvelar jew qsim mhux approvat għandu jiġi rreġistrat bħala nuqqas ta’ konformità fi żmien ħamest ijiem tax-xogħol, u l-ipproċessar jista’ jiġi sospiż fi żmien jum tax-xogħol fejn tkun nieqsa l-evidenza approvata.