Politika dwar il-Privatezza mid-Disinn u b’Mod Predefinit

Il-Politika dwar il-Privatezza mid-Disinn u b’Mod Predefinit tiddefinixxi kif ir-rekwiżiti tal-privatezza għandhom jiġu inkorporati f’attivitajiet ġodda u mibdula ta’ pproċessar tal-PII fi ħdan il-kamp ta’ applikazzjoni tal-PIMS. Tapplika għal proġetti, prodotti, servizzi, sistemi, applikazzjonijiet, integrazzjonijiet, attivitajiet ta’ akkwist u bidliet fil-proċessi tan-negozju. Il-politika hija miktuba għal kuntesti ta’ kontrollur, kontrollur konġunt, proċessur u subproċessur, inklużi sitwazzjonijiet fejn l-organizzazzjoni tiddisinja, tikkonfigura, tibdel jew topera pproċessar f’isem klijent, kontrollur jew proċessur upstream taħt istruzzjonijiet dokumentati. L-għan ewlieni tagħha huwa li tiżgura li r-rekwiżiti tal-privatezza jiġu identifikati, implimentati u evidenzjati qabel ma jibda jew jinbidel b’mod materjali l-ipproċessar tal-PII. Il-politika tagħti enfasi partikolari lill-għan, lill-ħtieġa, lill-minimizzazzjoni u lill-konfigurazzjonijiet predefiniti li jipproteġu l-privatezza. Is-Sidien tal-Proċessi u s-Sidien tan-Negozju għandhom jiddokumentaw il-kategoriji minimi tal-PII, il-kategoriji tal-prinċipali tal-PII, is-sorsi u l-għanijiet f’REG02 u REG04 qabel l-approvazzjoni tad-disinn tal-ġbir jew tal-importazzjoni. Is-Sidien tas-Sistemi u s-Sidien tal-Applikazzjonijiet għandhom jikkonfiguraw is-settings predefiniti tal-ipproċessar għall-ġbir u għall-ipproċessar minimu tal-PII meħtieġ għall-għan dokumentat u għandhom jirreġistraw l-evidenza f’REG04 qabel id-dħul fl-ambjent ta’ produzzjoni. Kampi fakultattivi tal-PII, għażliet fakultattivi ta’ pproċessar, settings mitfija b’mod predefinit, settings tal-espożizzjoni għal views u rapporti, u l-immaniġġjar ta’ fajls temporanji, caches, logs jew reġistri ta’ staging huma kollha trattati bħala obbligi tal-privatezza fl-istadju tad-disinn, mhux bħala korrezzjonijiet operattivi wara l-fatt. Ir-rabta mar-riskju tal-privatezza u d-DPIA hija inkorporata fil-proċess tad-disinn mingħajr ma tissostitwixxi l-metodoloġija separata definita f’PII07. Il-Privacy Lead / Maniġer tal-PIMS għandu jikkonferma li r-riskju tal-privatezza u l-iskrining tad-DPIA huma rreġistrati f’REG04 qabel l-approvazzjoni tad-disinn għal ipproċessar tal-PII ġdid jew mibdul b’mod materjali. L-azzjonijiet ta’ trattament tad-disinn tal-privatezza, is-sidien u d-dati ta’ skadenza għandhom jiġu rreġistrati qabel l-għeluq tar-rieżami, u l-evidenza tal-implimentazzjoni għandha tinġabar qabel id-dħul fl-ambjent ta’ produzzjoni. Għal ipproċessar tal-kontrollur b’riskju għoli jew mibdul b’mod materjali, il-politika teħtieġ ukoll kontroll tad-disinn tal-privatezza wara l-implimentazzjoni f’REG04 fi żmien 30 jum kalendarju wara d-dħul fl-ambjent ta’ produzzjoni. Fejn kwistjonijiet tad-disinn ikunu nieqsa, ineffettivi, skaduti jew evitati, tinfetaħ azzjoni korrettiva f’REG12. Il-politika testendi wkoll il-privatezza mid-disinn għall-akkwist u għar-relazzjonijiet ma’ partijiet terzi. Is-Sidien tal-Fornituri u tal-Akkwist għandhom jirreġistraw ir-rekwiżiti tal-privatezza mid-disinn għal fornituri, proċessuri, subproċessuri, servizzi SaaS, pjattaformi jew sistemi ospitati esternament f’REG08 qabel l-approvazzjoni tal-akkwist. Il-ħtieġa tal-PII minn partijiet terzi, l-għan u l-kategoriji minimi tal-PII għandhom jiġu ddokumentati qabel ipproċessar estern, qsim tad-data jew approvazzjoni tal-akkwist. L-appoġġ tal-fornituri għal settings tal-privatezza b’mod predefinit, minimizzazzjoni u ħtiġijiet ta’ konfigurazzjoni tal-klijent għandu jiġi rreġistrat qabel l-onboarding, filwaqt li lakuni mhux solvuti fid-disinn tal-privatezza tal-fornituri jiġu eskalati lejn REG12 fi żmien ħamest ijiem tax-xogħol u qabel l-iffirmar tal-kuntratt. Il-governanza, il-monitoraġġ, l-applikazzjoni u l-manutenzjoni huma definiti permezz ta’ evidenza rikorrenti u ċikli ta’ rieżami. Il-Privacy Lead / Maniġer tal-PIMS jissottometti sommarji trimestrali tal-istatus tad-disinn tal-privatezza f’REG12, jikkalkula l-metriċi tat-tlestija u tal-azzjonijiet skaduti, u jivverifika li l-evidenza tad-disinn tibqa’ kkonsolidata f’REG02, REG04, REG08 u REG12 qabel l-awditjar intern. It-Tmexxija Għolja tirrieżamina eċċezzjonijiet b’impatt għoli, deċiżjonijiet imblukkati ta’ dħul fl-ambjent ta’ produzzjoni u sejbiet rikorrenti waqt ir-Rieżami tal-Ġestjoni. Id-dispożizzjonijiet ta’ applikazzjoni jeħtieġu l-prevenzjoni tad-dħul fl-ambjent ta’ produzzjoni fejn ir-rieżami REG04 ma jkunx komplut, il-prevenzjoni tal-onboarding fejn l-evidenza REG08 tkun nieqsa, u s-sospensjoni ta’ pproċessar tal-PII ġdid jew mibdul sakemm ir-rieżami REG04, l-aġġornamenti REG02 u l-eċċezzjonijiet REG12 meħtieġa jkunu kompluti.