Politika dwar il-Valutazzjoni tar-Riskju tal-Privatezza u d-DPIA

Il-Politika dwar il-Valutazzjoni tar-Riskju tal-Privatezza u d-DPIA tiddefinixxi kif organizzazzjoni tidentifika, tivvaluta, tittratta, tapprova, tirrieżamina, u turi b’evidenza r-riskji tal-privatezza fil-kamp ta’ applikazzjoni tal-PIMS. L-għan tagħha huwa li tiżgura li r-riskji tal-privatezza u l-obbligi tad-DPIA jiġu indirizzati qabel ma l-ipproċessar tal-PII joħloq riskju mhux aċċettabbli għall-prinċipali tal-PII jew għall-PIMS. Il-politika tapplika għal attivitajiet ġodda u mibdula b’mod materjali ta’ ipproċessar tal-PII f’kuntesti ta’ kontrollur, kontrollur konġunt, proċessur, u subproċessur. Tkopri wkoll sistemi, applikazzjonijiet, servizzi, proċessi tan-negozju, fornituri, proċessuri, subproċessuri, trasferimenti internazzjonali, u arranġamenti għall-kondiviżjoni tad-data li jaffettwaw l-ipproċessar tal-PII. Karatteristika ċentrali tal-politika hija l-mudell operattiv tagħha bbażat fuq REG04. L-iskrining tar-riskju tal-privatezza, l-iskrining tad-DPIA, il-valutazzjoni tar-riskju, il-pjanijiet ta’ trattament, l-aċċettazzjoni tar-riskju residwu, id-deċiżjonijiet ta’ konsultazzjoni, l-approvazzjonijiet, u l-istatus tar-rieżami jiġu dokumentati f’REG04, b’evidenza ta’ appoġġ marbuta ma’ REG02, REG03, REG08, REG09, REG10, REG11, u REG12. Il-politika tevita espressament li jinħolqu reġistri separati tad-DPIA, tar-riskju, jew tal-konsultazzjoni barra minn REG04. Dan jgħin biex tinżamm traċċa waħda tal-evidenza għar-riżultati tal-iskrining, id-deċiżjonijiet dwar DPIA sħiħa, il-klassifikazzjonijiet tar-riskju, is-sidien tat-trattament, id-dati ta’ skadenza, ir-riskju residwu, l-istatus tal-approvazzjoni, u d-dati tar-rieżami. Il-politika tistabbilixxi skattaturi obbligatorji għall-iskrining tar-riskju tal-privatezza u għad-determinazzjoni ta’ DPIA sħiħa. Sidien tal-Proċessi / Sidien tan-Negozju għandhom jibdew l-iskrining f’REG04 qabel ma jibda l-ipproċessar ġdid jew mibdul b’mod materjali rreġistrat f’REG02. Ipproċessar mill-kontrollur li x’aktarx jirriżulta f’riskju għoli jeħtieġ DPIA sħiħa qabel ma jibda l-ipproċessar. Il-politika tispeċifika li l-ipproċessar li jinvolvi attività fuq skala kbira, monitoraġġ sistematiku, tfassil ta’ profili, deċiżjonijiet awtomatizzati, PII ta’ kategorija speċjali, data dwar kundanni kriminali jew reati, prinċipali vulnerabbli tal-PII, teknoloġija innovattiva, u bidla materjali fl-ipproċessar huma kwistjonijiet li għandhom jiġu riferuti lir-Responsabbli tal-Privatezza / Maniġer tal-PIMS qabel ma jibda l-ipproċessar. Teħtieġ ukoll skrining mill-ġdid qabel l-użu tal-PII għal għan ġdid, iż-żieda ta’ riċevitur ġdid, l-introduzzjoni ta’ proċessur jew subproċessur ġdid, il-bidla fl-arkitettura tas-sistema, jew il-bidu ta’ trasferiment internazzjonali ġdid. It-trattament tar-riskju u l-eskalazzjoni huma wkoll definiti b’mod ċar. Fejn ir-riskju tal-privatezza jaqbeż il-limitu approvat ta’ aċċettazzjoni, Sid il-Proċess / Sid tan-Negozju għandu jirreġistra pjan ta’ trattament f’REG04 qabel ma jipproċedi l-ipproċessar. Azzjonijiet relatati mas-sigurtà, id-disinn tas-sistema, il-fornituri, il-kuntratti, u l-assigurazzjoni jiġu assenjati lir-rwol rilevanti u għandhom jiġu implimentati qabel id-dħul fl-ambjent ta’ produzzjoni, l-onboarding, it-tiġdid, jew id-data ta’ skadenza approvata. Riskju residwu għoli għall-privatezza għall-ipproċessar mill-kontrollur jeħtieġ approvazzjoni mit-Tmexxija Għolja qabel ma jibda jew ikompli l-ipproċessar. Fejn jibqa’ riskju residwu għoli wara t-trattament, ir-Responsabbli tal-Privatezza / Maniġer tal-PIMS jirreġistra d-deċiżjoni dwar il-konsultazzjoni minn qabel f’REG04, u t-Tmexxija Għolja tapprova l-kontinwazzjoni, is-sospensjoni, id-disinn mill-ġdid, jew l-azzjonijiet ta’ konsultazzjoni qabel ma jipproċedi l-ipproċessar. Ir-rekwiżiti ta’ governanza, monitoraġġ, u applikazzjoni jiżguraw li l-proċess jibqa’ attiv wara l-approvazzjoni inizjali. Ir-Responsabbli tal-Privatezza / Maniġer tal-PIMS jirrieżamina kull xahar ir-riskji miftuħa tal-privatezza u l-azzjonijiet ta’ trattament li għaddew id-data ta’ skadenza tagħhom, jirrapporta l-istatus tar-riskju tal-privatezza u tad-DPIA kull tliet xhur u qabel ir-rieżami tal-ġestjoni, u jirrikonċilja reġistri attivi tar-riskju f’REG04 mar-reġistri tal-inventarju tal-ipproċessar f’REG02. Il-politika tiddefinixxi metriċi għall-kopertura tal-iskrining, DPIAs sħaħ attivi, rieżamijiet li għaddew id-data ta’ skadenza tagħhom, riskji residwi għoljin, status tal-azzjonijiet ta’ trattament, ħin medju għall-għeluq, azzjonijiet tal-fornituri, azzjonijiet ta’ trattament tas-sigurtà, rivalutazzjoni mmexxija minn inċidenti, u sejbiet tal-awditjar. L-eċċezzjonijiet għandhom jintalbu qabel id-devjazzjoni, jiġu vvalutati għall-impatt fuq il-privatezza, il-liġi, iċ-ċertifikazzjoni, l-operat, u l-prinċipal tal-PII, u jingħataw data ta’ skadenza li ma taqbiżx 90 jum. Evidenza REG04 nieqsa, mhux preċiża, mhux kompluta, li għaddiet id-data ta’ skadenza tagħha, jew mhux approvata tiġi ttrattata bħala nuqqas ta’ konformità f’REG12.