Beleid inzake privacyverklaringen en transparantie

Het Beleid inzake privacyverklaringen en transparantie definieert de vereisten van de organisatie voor het opstellen, goedkeuren, publiceren, onderhouden, beoordelen en met bewijsmateriaal onderbouwen van privacyverklaringen en transparante informatie voor PII-verwerking binnen het PIMS-toepassingsgebied. Het verklaarde doel is te waarborgen dat betrokkenen “duidelijke, actuele, toegankelijke en auditeerbare privacyverklaringen ontvangen vóór of op het vereiste moment in de levenscyclus van PII-verwerking.” Het beleid is van toepassing op verwerking door de verwerkingsverantwoordelijke, transparante informatie van gezamenlijke verwerkingsverantwoordelijken en ondersteuning door verwerkers of subverwerkers voor verplichtingen van verwerkingsverantwoordelijken inzake privacyverklaringen wanneer de organisatie handelt op basis van gedocumenteerde klantinstructies of verwerkersinstructies. Het beleid is eigendom van de Privacy Lead / PIMS-manager, wordt goedgekeurd door Topmanagement en gebruikt REG02, REG06, REG07, REG11 en REG12 als bewijsobjecten. Een centraal kenmerk van het beleid is de beheersing van de inhoud van privacyverklaringen via REG07. Het beleid stelt REG07 vast als het gezaghebbende bewijsobject voor registraties van de inventaris van privacyverklaringen, goedkeuring, publicatie, beoordeling, taal en versiebeheer. Voor verwerking door de verwerkingsverantwoordelijke moeten proceseigenaren / bedrijfseigenaren een REG07-registratie van een privacyverklaring aanmaken die is gekoppeld aan de relevante REG02-verwerkingsactiviteit voordat een nieuw kanaal voor PII-verzameling, een dienst, formulier, campagne, product of functionaliteit wordt gelanceerd. Wanneer PII wordt verkregen uit een andere bron dan de betrokkene, moet de registratie worden aangemaakt vóór de eerste communicatie, vóór de eerste verstrekking aan een derde partij, of binnen 20 werkdagen na verkrijging van de PII, afhankelijk van wat het eerst plaatsvindt. Het beleid vereist ook dat privacyverklaringen worden gekoppeld aan actuele REG02-verwerkingsdoelen, verwijzingen naar de rechtsgrondslag, PII-categorieën, categorieën betrokkenen, broncategorieën, ontvangerscategorieën, verwijzingen naar bewaartermijnen en verwijzingen naar doorgiften. Het beleid definieert een gestructureerde levenscyclus voor goedkeuring en publicatie. Proceseigenaren / bedrijfseigenaren certificeren de juistheid en volledigheid van de inhoud van privacyverklaringen en dienen de REG07-registratie vóór publicatie of activering van het verzamelkanaal in ter goedkeuring door de Privacy Lead / PIMS-manager. De Privacy Lead / PIMS-manager verifieert de consistentie met REG02 en keurt de privacyverklaring goed of wijst deze af. Systeemeigenaren / applicatie-eigenaren mogen uitsluitend de goedgekeurde REG07-versie van de privacyverklaring publiceren voordat digitale verzamelkanalen worden geactiveerd, terwijl proceseigenaren / bedrijfseigenaren goedgekeurde privacyverklaringen via niet-digitale kanalen beschikbaar moeten stellen voordat PII wordt verzameld. Publicatiebewijsmateriaal, waaronder locatie en tijdstempel of gelijkwaardig bewijs, moet binnen twee werkdagen na publicatie in REG07 worden vastgelegd. Als vereist goedgekeurd bewijsmateriaal voor de privacyverklaring ontbreekt, mag het nieuwe verzamelkanaal van de verwerkingsverantwoordelijke niet live gaan. De kwaliteit van transparantie wordt behandeld via taal-, toegankelijkheids-, versie- en wijzigingsbeheersmaatregelen. Het beleid vereist identificatie van doelgroepen van betrokkenen en vereiste taalversies vóór goedkeuring. Het vereist bewijsmateriaal in REG07 voor duidelijke taal en geschiktheid voor de doelgroep, vertaalde of gelokaliseerde versies vóór publicatie, en versiepariteit tussen masterversies en gelokaliseerde privacyverklaringen binnen 10 werkdagen na een wezenlijke actualisering. Verouderde versies van privacyverklaringen moeten binnen vijf werkdagen na vervangende publicatie worden verwijderd, omgeleid of gelabeld, terwijl vervangen versies, ingangsdatums, goedkeuringsbewijsmateriaal en publicatiebewijsmateriaal in REG07 moeten worden bewaard. Wezenlijke wijzigingen in de identiteit van de verwerkingsverantwoordelijke, het contactpunt, het verwerkingsdoel, de rechtsgrondslag, PII-categorieën, ontvangerscategorieën, verwijzingen naar bewaartermijnen, verwijzingen naar doorgiften, kanalen voor verzoeken tot uitoefening van rechten, klacht- of privacycontactkanalen, taaldekking, publicatiekanalen of verwerkingscontext activeren beheersmaatregelen voor actualisering van privacyverklaringen. Het beleid omvat ook vereisten voor governance, meting, uitzonderingen, handhaving en onderhoud. Actieve REG07-privacyverklaringen worden ten minste jaarlijks beoordeeld en binnen 30 dagen na wezenlijke juridische, regelgevende, contractuele of verwerkingswijzigingen. REG07-registraties van privacyverklaringen worden elk kwartaal afgestemd op REG02-verwerkingsdoelen, waarbij niet-opgeloste afwijkingen in REG12 worden vastgelegd. Metrieken omvatten het percentage actieve privacyverklaringen dat is gekoppeld aan actuele REG02-doelen, privacyverklaringen die vóór de vervaldatum zijn beoordeeld, achterstallige actualiseringen, niet-opgeloste afwijkingen, geblokkeerde of vertraagde verzamelkanalen, tijdig afgeronde klantverzoeken voor ondersteuning bij privacyverklaringen, en privacyverklaringen met actueel taal-, versie-, goedkeurings- en publicatiebewijsmateriaal. Uitzonderingen moeten vóór afwijkingen in REG12 worden vastgelegd, met vereist privacyadvies en goedkeuring door Topmanagement voor gespecificeerde uitzonderingen met betrekking tot privacyverklaringen. Ontbrekend, onjuist, niet-gepubliceerd, niet-goedgekeurd of verouderd bewijsmateriaal voor privacyverklaringen wordt vastgelegd als een non-conformiteit, en wezenlijk onjuiste of misleidende privacyverklaringen worden binnen twee werkdagen na bevestiging geëscaleerd naar de Functionaris voor gegevensbescherming (FG) / Privacy Advisor en Topmanagement.