Polityka zarządzania prawami osób, których dane dotyczą

Polityka zarządzania prawami osób, których dane dotyczą, ustanawia obowiązkowe podejście organizacji do zarządzania wnioskami składanymi przez osoby, których dane dotyczą, lub ich upoważnionych przedstawicieli. Jej zakres obejmuje pełny cykl życia obsługi wniosków o realizację praw: przyjmowanie, walidację, ocenę, realizację, odmowę, przedłużenie, zamknięcie, monitorowanie i dokumentowanie dowodowe wniosków. Ma zastosowanie do dostępu, sprostowania, usunięcia, ograniczenia, przenoszenia, sprzeciwu, zautomatyzowanego podejmowania decyzji, kierowania wycofaniem zgody, skarg i powiązanych zapytań. Polityka jest przeznaczona dla kontekstów administratora, współadministratora, podmiotu przetwarzającego i podwykonawcy przetwarzania, przy czym obowiązki podmiotu przetwarzającego i podwykonawcy przetwarzania mają zastosowanie, gdy wsparcie jest świadczone administratorowi, klientowi lub nadrzędnemu podmiotowi przetwarzającemu na podstawie udokumentowanych poleceń. Celem polityki jest zapewnienie, aby wnioski o realizację praw osób, których dane dotyczą, były obsługiwane spójnie, zgodnie z prawem, bezpiecznie, w określonych terminach i z gotowymi do audytu dowodami. Wymaga ona, aby każdy wniosek został odnotowany w REG06 w ciągu dwóch dni roboczych od otrzymania i sklasyfikowany przed rozpoczęciem oceny. Wymagane pola klasyfikacji obejmują typ wniosku, kanał wniosku, datę wniosku, odniesienie do tożsamości wnioskodawcy, przypisanego właściciela, wewnętrzny termin realizacji, ustawowy lub umowny termin realizacji oraz bieżący status. W przypadku administratorów Privacy Lead / Menedżer PIMS musi potwierdzić otrzymanie wniosku albo przekazać następną wymaganą komunikację w ciągu pięciu dni roboczych od przyjęcia. Wnioski muszą być również powiązane z odpowiednimi czynnościami przetwarzania REG02 przed przypisaniem działań realizacyjnych, aby decyzje dotyczące odpowiedzi były oparte na zapisach przetwarzania, celach, kategoriach PII, systemach, odbiorcach i ograniczeniach retencji. Istotnym akcentem operacyjnym jest weryfikacja tożsamości i bezpieczna ocena. Przed ujawnieniem PII lub wprowadzeniem żądanych zmian Privacy Lead / Menedżer PIMS musi zweryfikować tożsamość wnioskodawcy lub umocowanie przedstawiciela w REG06. Jeżeli tożsamość lub umocowanie są niewystarczające, można żądać wyłącznie minimalnych dodatkowych informacji potrzebnych do weryfikacji. Polityka przypisuje wnioski wysokiego ryzyka, sporne, niejasne, nadmierne, powtarzające się, odrzucone lub częściowo zrealizowane do przeglądu przez Inspektora Ochrony Danych / doradcę ds. prywatności przed zakomunikowaniem decyzji. Wymaga również przeglądu wyciągów odpowiedzi przez Właściciela systemu / właściciela aplikacji w celu wykluczenia niepowiązanych danych PII i nieuprawnionych danych stron trzecich oraz przeglądu metod dostarczenia przez kierownika ds. bezpieczeństwa informacji przed ujawnieniem danych PII o dużej objętości, wrażliwych, należących do szczególnych kategorii lub wysokiego ryzyka. Wymagania dotyczące realizacji są właściwe dla charakteru danego prawa. Właściciele biznesowi muszą przekazać wyniki wyszukiwania na potrzeby dostępu nie później niż dziesięć dni roboczych przed terminem odpowiedzi. Właściciele systemów muszą wykonać zatwierdzone działania sprostowania, usunięcia, ograniczenia lub tłumienia oraz odnotować dowody zakończenia w REG06. Pakiety odpowiedzi dotyczące dostępu i przenoszenia muszą być dostarczane autoryzowaną metodą, z dowodem dostarczenia odnotowanym przed zamknięciem. Wnioski dotyczące sprzeciwu muszą zostać ocenione i odnotowane, zanim zakwestionowane przetwarzanie będzie kontynuowane lub zatrzymane. Wnioski dotyczące decyzji podejmowanych wyłącznie w sposób zautomatyzowany wymagają przeglądu, zanim organizacja przekaże wynik, ścieżkę interwencji ludzkiej lub uzasadnienie odmowy. Gdy zatwierdzone wyniki wymagają powiadomienia podmiotów przetwarzających, podwykonawców przetwarzania, współadministratorów, odbiorców lub stron udostępniania danych odnotowanych w REG08, Vendor / Procurement Owner musi koordynować to powiadomienie. Polityka określa również wymagania dotyczące ładu zarządczego, pomiaru, wyjątków i egzekwowania. Privacy Lead / Menedżer PIMS jest właścicielem procesu wniosków o realizację praw, struktury REG06, terminów, zasad przypisywania i kryteriów zamknięcia, z przeglądem co najmniej raz w roku oraz aktualizacjami po istotnej zmianie. Metryki obejmują miesięczny pomiar wniosków według typu, statusu, właściciela biznesowego i czynności przetwarzania, miesięczne raportowanie pozycji przeterminowanych, kwartalny pomiar wskaźników odmów, częściowej realizacji i przedłużeń oraz kwartalny przegląd powtarzających się tematów, skarg, sporów i działań korygujących. Zaplanowane audyty muszą obejmować próbę zamkniętych zapisów REG06 oraz odnotowywać w REG12 ustalenia dotyczące jakości dowodów, terminowości i zamknięcia. Wyjątki muszą zostać zatwierdzone w REG12 przed wdrożeniem, z przypisanymi datami wygaśnięcia, właścicielami i środkami kompensującymi. Postanowienia dotyczące egzekwowania wymagają odnotowywania niezgodności, eskalacji braku współpracy strony trzeciej, przypisania przez kierownictwo odpowiedzialności za działania korygujące dla systemowych nieskuteczności oraz przeglądu REG10, gdy niezgodność sugeruje nieuprawnione ujawnienie, utratę, zmianę, niedostępność lub inny podejrzewany incydent PII.