Polityka inwentaryzacji przetwarzania PII i podstawy prawnej

Polityka inwentaryzacji przetwarzania PII i podstawy prawnej określa, w jaki sposób organizacja utrzymuje inwentarz przetwarzania PII / ROPA oraz dokumentuje kluczowe fakty potrzebne do wykazania rozliczalnego przetwarzania w zakresie PIMS. Ma zastosowanie do wszystkich objętych zakresem czynności przetwarzania PII, w tym przetwarzania prowadzonego jako administrator, współadministrator, podmiot przetwarzający lub podwykonawca przetwarzania. Polityka obejmuje przetwarzanie realizowane przez procesy biznesowe, systemy, aplikacje, dostawców, podmioty przetwarzające, podwykonawców przetwarzania oraz odbiorców, którym dane są udostępniane, i ma zastosowanie do przetwarzania nowego, istotnie zmienionego oraz wycofanego. Zapis inwentarza przetwarzania jest zdefiniowany jako wpis REG02 opisujący odrębną czynność przetwarzania PII, w tym jej cel, rolę, właściciela, kategorie PII, kategorie osób, których dane dotyczą, podstawę prawną lub odniesienie do polecenia klienta, systemy, odbiorców, odniesienie do retencji, odniesienie do transferu, status ryzyka dla prywatności oraz status przeglądu. Głównym celem polityki jest ustanowienie REG02 jako autorytatywnego obiektu dowodowego dla inwentarza przetwarzania PII i rejestru czynności przetwarzania. Polityka wymaga, aby właściciel procesu lub właściciel biznesowy utworzył zapis REG02 przed rozpoczęciem każdego nowego przetwarzania PII oraz zapisał wymagane pola przed rozpoczęciem czynności. Wymaga również sklasyfikowania roli PIMS organizacji dla każdej czynności oraz powiązania systemów, aplikacji, dostawców, podmiotów przetwarzających, podwykonawców przetwarzania, udostępnień danych stronom trzecim i relacji współadministratorów z właściwym zapisem REG02. Tworzy to ustrukturyzowany zapis przetwarzania, który w stosownych przypadkach można powiązać z klauzulami informacyjnymi, zgodą, DPIA, ryzykiem, dostawcami, transferami, kontrolami i dowodami z audytu. W przypadku czynności administratora polityka wymaga udokumentowania konkretnego celu przetwarzania przed zebraniem, użyciem, ujawnieniem lub innym przetwarzaniem PII. Osoba odpowiedzialna za prywatność / menedżer PIMS musi zwalidować podstawę prawną zapisaną w REG02 przed rozpoczęciem przetwarzania przez administratora oraz przed wejściem w życie każdej zmiany celu. Polityka odnosi się również do sytuacji szczególnych: zgoda musi być powiązana z REG05, prawnie uzasadniony interes musi odwoływać się do REG04, szczególne kategorie PII wymagają zapisania warunku przetwarzania, a dane dotyczące wyroków skazujących lub czynów zabronionych wymagają podstawy upoważnienia. W kontekście podmiotu przetwarzającego i podwykonawcy przetwarzania polityka wymaga, aby przed rozpoczęciem przetwarzania zapisano odniesienia do poleceń klienta, cel klienta, przedmiot, czas trwania, kategorie PII oraz kategorie osób, których dane dotyczą, przy czym dowody umów i poleceń są utrzymywane w REG08. Polityka określa również, w jaki sposób inwentarz pozostaje aktualny. Istotne zmiany przetwarzania obejmują zmiany celu, podstawy prawnej, roli PIMS, kategorii PII, kategorii osób, których dane dotyczą, odbiorcy, systemu, dostawcy, podwykonawcy przetwarzania, lokalizacji przetwarzania, transferu, reguły retencji, klasyfikacji bezpieczeństwa, klauzuli informacyjnej, zależności od zgody, statusu DPIA, polecenia klienta lub zakresu certyfikacji. REG02 musi zostać zaktualizowany w ciągu 10 dni roboczych od zidentyfikowania takiej zmiany, a ocena ryzyka dla prywatności i ocena potrzeby przeprowadzenia DPIA muszą zostać zainicjowane w REG04, zanim nowe lub istotnie zmienione przetwarzanie będzie kontynuowane. Osoba odpowiedzialna za prywatność / menedżer PIMS kwartalnie uzgadnia REG02 z REG01, REG03, REG04, REG08 i REG09, natomiast audyt wewnętrzny / osoby dokonujące przeglądu zgodności próbkują kompletność, prawidłowość i aktualność podczas zaplanowanych przeglądów. Ład zarządczy, pomiar, wyjątki i egzekwowanie są wbudowane w politykę. Osoba odpowiedzialna za prywatność / menedżer PIMS przekazuje kwartalne podsumowania stanu inwentarza w REG12, zapisuje metryki inwentarza, waliduje nowe zapisy REG02 oraz utrzymuje minimalne reguły dotyczące pól i częstotliwości przeglądów. Najwyższe kierownictwo przegląda kompletność, zaległe przeglądy, istotne problemy dotyczące podstawy prawnej oraz nierozwiązane niezgodności podczas przeglądu zarządzania. O wyjątki należy wnioskować i oceniać je w REG12, z datami wygaśnięcia nieprzekraczającymi 90 dni; określone wyjątki wymagają opinii inspektora ochrony danych (IOD) / doradcy ds. ochrony prywatności oraz zatwierdzenia przez najwyższe kierownictwo. Egzekwowanie obejmuje zapisywanie niezgodności, zawieszanie nowego przetwarzania w przypadku braku dowodów, blokowanie uruchomienia produkcyjnego systemu lub onboardingu dostawcy, gdy brakuje wymaganego powiązania, oraz weryfikowanie skuteczności działań korygujących.