Beleid inzake inventaris van verwerking van persoonsgegevens en rechtsgrondslag

Het Beleid inzake inventaris van verwerking van persoonsgegevens en rechtsgrondslag definieert hoe een organisatie haar inventaris van verwerking van persoonsgegevens / register van verwerkingsactiviteiten (RoPA) onderhoudt en de kerngegevens documenteert die nodig zijn om verantwoordingsplichtige verwerking binnen het PIMS-toepassingsgebied aan te tonen. Het is van toepassing op alle verwerkingsactiviteiten met persoonsgegevens binnen de reikwijdte, waaronder verwerking die wordt uitgevoerd als verwerkingsverantwoordelijke, gezamenlijke verwerkingsverantwoordelijke, verwerker of subverwerker. Het beleid dekt verwerking door bedrijfsprocessen, systemen, toepassingen, leveranciers, verwerkers, subverwerkers en ontvangers bij gegevensdeling, en is van toepassing op nieuwe, wezenlijk gewijzigde en beëindigde verwerking. Een registratie in de verwerkingsinventaris wordt gedefinieerd als een REG02-vermelding die een afzonderlijke verwerkingsactiviteit met persoonsgegevens beschrijft, inclusief het verwerkingsdoel, de rol, de eigenaar, categorieën persoonsgegevens, categorieën betrokkenen, verwijzing naar rechtsgrondslag of klantinstructie, systemen, ontvangers, verwijzing naar bewaring, verwijzing naar doorgifte, privacyrisicostatus en beoordelingsstatus. Een centrale doelstelling van het beleid is om REG02 het gezaghebbende bewijsobject te maken voor de inventaris van verwerking van persoonsgegevens en het register van verwerkingsactiviteiten. Het beleid vereist dat een proceseigenaar of bedrijfseigenaar een REG02-registratie aanmaakt voordat nieuwe verwerking van persoonsgegevens begint en de verplichte velden vastlegt voordat de activiteit start. Het vereist ook dat de PIMS-rol van de organisatie voor elke activiteit wordt geclassificeerd, en het koppelt systemen, toepassingen, leveranciers, verwerkers, subverwerkers, gegevensdeling met derde partijen en relaties met gezamenlijke verwerkingsverantwoordelijken aan de relevante REG02-registratie. Dit creëert een gestructureerde verwerkingsregistratie die, waar van toepassing, kan worden gekoppeld aan privacyverklaringen, toestemming, DPIA, risico, leverancier, doorgifte, beheersmaatregelen en auditbewijsmateriaal. Voor activiteiten van de verwerkingsverantwoordelijke vereist het beleid dat het specifieke verwerkingsdoel wordt gedocumenteerd voordat persoonsgegevens worden verzameld, gebruikt, verstrekt of anderszins verwerkt. De privacyverantwoordelijke / PIMS-manager moet de in REG02 vastgelegde rechtsgrondslag valideren voordat verwerking door de verwerkingsverantwoordelijke begint en voordat een wijziging van het doel van kracht wordt. Het beleid behandelt ook bijzondere situaties: toestemming moet worden gekoppeld aan REG05, gerechtvaardigde belangen moeten verwijzen naar REG04, bijzondere categorieën persoonsgegevens vereisen een geregistreerde voorwaarde, en gegevens over strafrechtelijke veroordelingen of strafbare feiten vereisen een autorisatiegrondslag. Voor verwerker- en subverwerkercontexten vereist het beleid dat verwijzingen naar klantinstructies, het klantdoel, onderwerp, duur, categorieën persoonsgegevens en categorieën betrokkenen worden vastgelegd voordat verwerking begint, waarbij bewijsmateriaal van overeenkomsten en instructies in REG08 wordt onderhouden. Het beleid definieert ook hoe de inventaris actueel blijft. Wezenlijke wijzigingen in verwerking omvatten wijzigingen in doel, rechtsgrondslag, PIMS-rol, categorie persoonsgegevens, categorie betrokkenen, ontvanger, systeem, leverancier, subverwerker, verwerkingslocatie, doorgifte, bewaarregel, beveiligingsclassificatie, privacyverklaring, afhankelijkheid van toestemming, DPIA-status, klantinstructie of certificeringstoepassingsgebied. REG02 moet binnen 10 werkdagen na identificatie van een dergelijke wijziging worden bijgewerkt, en privacyrisicoscreening en DPIA-screening moeten in REG04 worden geïnitieerd voordat nieuwe of wezenlijk gewijzigde verwerking wordt voortgezet. De privacyverantwoordelijke / PIMS-manager stemt REG02 elk kwartaal af met REG01, REG03, REG04, REG08 en REG09, terwijl interne audit / nalevingsbeoordelaars tijdens geplande beoordelingen steekproeven uitvoeren op volledigheid, juistheid en actualiteit. Governance, meting, uitzonderingen en handhaving zijn in het beleid ingebouwd. De privacyverantwoordelijke / PIMS-manager dient elk kwartaal samenvattingen van de gezondheid van de inventaris in REG12 in, registreert inventarismetrieken, valideert nieuwe REG02-registraties en onderhoudt regels voor minimale velden en beoordelingsfrequentie. Topmanagement beoordeelt volledigheid, achterstallige beoordelingen, majeure kwesties rond rechtsgrondslag en onopgeloste non-conformiteiten tijdens de directiebeoordeling. Uitzonderingen moeten in REG12 worden aangevraagd en beoordeeld, met vervaldatums van maximaal 90 dagen, en bepaalde uitzonderingen vereisen advies van de functionaris voor gegevensbescherming (FG) / privacyadviseur en goedkeuring door topmanagement. Handhaving omvat het registreren van non-conformiteiten, het opschorten van nieuwe verwerking wanneer bewijsmateriaal ontbreekt, het blokkeren van systeem-livegang of leveranciersonboarding wanneer vereiste koppelingen ontbreken, en het verifiëren van de doeltreffendheid van corrigerende maatregelen.