Politika tal-Inventarju tal-Ipproċessar tal-PII u l-Bażi Legali

Il-Politika tal-Inventarju tal-Ipproċessar tal-PII u l-Bażi Legali tiddefinixxi kif organizzazzjoni żżomm l-Inventarju tal-Ipproċessar tal-PII / ROPA tagħha u tiddokumenta l-fatti ewlenin meħtieġa biex turi pproċessar responsabbli fil-kamp ta’ applikazzjoni tal-PIMS. Tapplika għall-attivitajiet kollha tal-ipproċessar tal-PII fil-kamp ta’ applikazzjoni, inkluż ipproċessar imwettaq bħala kontrollur, kontrollur konġunt, proċessur jew subproċessur. Il-politika tkopri l-ipproċessar permezz ta’ proċessi tan-negozju, sistemi, applikazzjonijiet, fornituri, proċessuri, subproċessuri u riċevituri tal-qsim tad-data, u tapplika għal ipproċessar ġdid, mibdul b’mod materjali u rtirat. Reġistru tal-inventarju tal-ipproċessar huwa definit bħala entrata REG02 li tiddeskrivi attività distinta tal-ipproċessar tal-PII, inkluż l-għan tagħha, ir-rwol, is-sid, il-kategoriji tal-PII, il-kategoriji tal-prinċipali tal-PII, il-bażi legali jew ir-referenza għall-istruzzjoni tal-klijent, is-sistemi, ir-riċevituri, ir-referenza taż-żamma, ir-referenza tat-trasferiment, l-istatus tar-riskju tal-privatezza u l-istatus tar-rieżami. Objettiv ċentrali tal-politika huwa li REG02 isir l-oġġett ta’ evidenza awtorevoli għall-inventarju tal-ipproċessar tal-PII u r-reġistri tal-attivitajiet tal-ipproċessar. Il-politika teħtieġ li Sid tal-Proċess jew Sid tan-Negozju joħloq reġistru REG02 qabel ma jibda kwalunkwe ipproċessar ġdid tal-PII u jirreġistra l-kampi meħtieġa qabel ma tibda l-attività. Teħtieġ ukoll li r-rwol tal-PIMS tal-organizzazzjoni jiġi kklassifikat għal kull attività, u torbot sistemi, applikazzjonijiet, fornituri, proċessuri, subproċessuri, qsim ma’ partijiet terzi u relazzjonijiet ta’ kontrollur konġunt mar-reġistru REG02 rilevanti. Dan joħloq reġistru strutturat tal-ipproċessar li jista’ jkun marbut ma’ avviżi ta’ privatezza, kunsens, DPIA, riskju, fornitur, trasferiment, kontroll u evidenza tal-awditjar fejn applikabbli. Għal attivitajiet bħala kontrollur, il-politika teħtieġ li l-għan speċifiku tal-ipproċessar jiġi dokumentat qabel ma l-PII tinġabar, tintuża, tiġi żvelata jew tiġi pproċessata b’xi mod ieħor. Ir-Responsabbli tal-Privatezza / Maniġer tal-PIMS għandu jivverifika l-bażi legali rreġistrata f’REG02 qabel ma jibda l-ipproċessar bħala kontrollur u qabel ma tidħol fis-seħħ kwalunkwe bidla fl-għan. Il-politika tindirizza wkoll sitwazzjonijiet speċjali: il-kunsens għandu jkun marbut ma’ REG05, l-interessi leġittimi għandhom jirreferu għal REG04, PII ta’ kategorija speċjali teħtieġ kundizzjoni rreġistrata, u data dwar kundanni kriminali jew reati teħtieġ bażi ta’ awtorizzazzjoni. Għal kuntesti ta’ proċessur u subproċessur, il-politika teħtieġ li r-referenzi għall-istruzzjoni tal-klijent, l-għan tal-klijent, is-suġġett, it-tul ta’ żmien, il-kategoriji tal-PII u l-kategoriji tal-prinċipali tal-PII jiġu rreġistrati qabel ma jibda l-ipproċessar, b’evidenza tal-ftehim u tal-istruzzjoni miżmuma f’REG08. Il-politika tiddefinixxi wkoll kif l-inventarju jibqa’ attwali. Bidliet materjali fl-ipproċessar jinkludu bidliet fl-għan, fil-bażi legali, fir-rwol tal-PIMS, fil-kategorija tal-PII, fil-kategorija tal-prinċipal tal-PII, fir-riċevitur, fis-sistema, fil-fornitur, fis-subproċessur, fil-post tal-ipproċessar, fit-trasferiment, fir-regola taż-żamma, fil-klassifikazzjoni tas-sigurtà, fl-avviż ta’ privatezza, fid-dipendenza fuq il-kunsens, fl-istatus tad-DPIA, fl-istruzzjoni tal-klijent jew fil-kamp ta’ applikazzjoni taċ-ċertifikazzjoni. REG02 għandu jiġi aġġornat fi żmien 10 ijiem tax-xogħol mill-identifikazzjoni ta’ tali bidla, u l-valutazzjoni tar-riskju tal-privatezza u l-iskrining tad-DPIA għandhom jinbdew f’REG04 qabel ma jipproċedi l-ipproċessar ġdid jew mibdul b’mod materjali. Ir-Responsabbli tal-Privatezza / Maniġer tal-PIMS jirrikonċilja REG02 ma’ REG01, REG03, REG04, REG08 u REG09 kull tliet xhur, filwaqt li r-Rieżaminaturi tal-Awditjar Intern / Konformità jieħdu kampjuni tal-kompletezza, il-preċiżjoni u l-attwalità matul rieżamijiet skedati. Il-governanza, il-kejl, l-eċċezzjonijiet u l-applikazzjoni huma integrati fil-politika. Ir-Responsabbli tal-Privatezza / Maniġer tal-PIMS jissottometti sommarji trimestrali tas-saħħa tal-inventarju f’REG12, jirreġistra metriċi tal-inventarju, jivvalida reġistri REG02 ġodda, u jżomm regoli minimi dwar il-kampi u l-kadenza tar-rieżami. It-Tmexxija Għolja tirrieżamina l-kompletezza, rieżamijiet li għaddew l-iskadenza, kwistjonijiet maġġuri tal-bażi legali u nuqqasijiet ta’ konformità mhux solvuti waqt ir-rieżami tal-maniġment. Eċċezzjonijiet għandhom jintalbu u jiġu evalwati f’REG12, b’dati ta’ skadenza li ma jaqbżux 90 jum, u ċerti eċċezzjonijiet jeħtieġu parir mid-Data Protection Officer / Konsulent tal-Privatezza u approvazzjoni mit-Tmexxija Għolja. L-applikazzjoni tinkludi r-reġistrazzjoni ta’ nuqqasijiet ta’ konformità, is-sospensjoni ta’ ipproċessar ġdid meta tkun nieqsa evidenza, l-imblukkar tad-dħul tas-sistema fl-ambjent ta’ produzzjoni jew tal-integrazzjoni tal-fornitur meta tkun nieqsa r-rabta meħtieġa, u l-verifika tal-effettività tal-azzjonijiet korrettivi.