Polityka privacy by design i privacy by default

Polityka privacy by design i privacy by default określa, w jaki sposób wymagania dotyczące prywatności muszą być wbudowywane w nowe i zmieniane czynności przetwarzania PII w zakresie PIMS. Ma zastosowanie do projektów, produktów, usług, systemów, aplikacji, integracji, działań zakupowych i zmian procesów biznesowych. Polityka jest przygotowana dla kontekstów administratora, współadministratora, podmiotu przetwarzającego i podwykonawcy przetwarzania, w tym do sytuacji, w których organizacja projektuje, konfiguruje, zmienia lub obsługuje przetwarzanie w imieniu klienta, administratora lub nadrzędnego podmiotu przetwarzającego na podstawie udokumentowanych poleceń. Jej podstawowym celem jest zapewnienie, że wymagania dotyczące prywatności są identyfikowane, wdrażane i potwierdzane dowodami przed rozpoczęciem przetwarzania PII lub jego istotną zmianą. Polityka kładzie szczególny nacisk na cel, niezbędność, minimalizację i domyślne ustawienia chroniące prywatność. Właściciele procesów i właściciele biznesowi muszą udokumentować minimalne kategorie PII, kategorie osób, których dane dotyczą, źródła i cele w REG02 i REG04 przed zatwierdzeniem projektu gromadzenia lub importu danych. Właściciele systemów i właściciele aplikacji muszą skonfigurować domyślne ustawienia przetwarzania do minimalnego zakresu gromadzenia i przetwarzania PII wymaganego dla udokumentowanego celu oraz muszą zapisać dowody w REG04 przed uruchomieniem produkcyjnym. Opcjonalne pola PII, opcjonalne wybory dotyczące przetwarzania, ustawienia domyślnie wyłączone, ustawienia ekspozycji dla widoków i raportów oraz postępowanie z plikami tymczasowymi, pamięcią cache, logami lub zapisami w środowisku testowym są traktowane jako obowiązki dotyczące prywatności na etapie projektowania, a nie jako późniejsze korekty operacyjne. Powiązanie z ryzykiem dla prywatności i DPIA jest wbudowane w proces projektowania, bez zastępowania odrębnej metodyki określonej w PII07. Privacy Lead / Menedżer PIMS musi potwierdzić, że ryzyko dla prywatności i ocena potrzeby przeprowadzenia DPIA zostały zapisane w REG04 przed zatwierdzeniem projektu dla nowego lub istotnie zmienionego przetwarzania PII. Działania w zakresie postępowania z ryzykiem dla privacy by design, właściciele i terminy realizacji muszą zostać zapisane przed zamknięciem przeglądu, a dowody wdrożenia muszą zostać zebrane przed uruchomieniem produkcyjnym. W przypadku przetwarzania przez administratora, które wiąże się z wysokim ryzykiem lub zostało istotnie zmienione, polityka wymaga również powdrożeniowej kontroli privacy by design w REG04 w terminie 30 dni kalendarzowych od uruchomienia produkcyjnego. Jeżeli brakuje kwestii projektowych, są one nieskuteczne, zaległe lub pominięte, w REG12 otwierane jest działanie korygujące. Polityka rozszerza również privacy by design na zakupy i relacje ze stronami trzecimi. Właściciele dostawców i zakupów muszą zapisać wymagania privacy by design wobec dostawców, podmiotów przetwarzających, podwykonawców przetwarzania, usług SaaS, platform lub systemów hostowanych zewnętrznie w REG08 przed zatwierdzeniem zakupu. Niezbędność PII po stronie trzeciej, cel i minimalne kategorie PII muszą zostać udokumentowane przed przetwarzaniem zewnętrznym, udostępnianiem danych lub zatwierdzeniem zakupu. Wsparcie dostawcy dla ustawień domyślnej ochrony danych, minimalizacji i potrzeb konfiguracyjnych klienta musi zostać zapisane przed onboardingiem, natomiast nierozwiązane luki dostawcy dotyczące privacy by design są eskalowane do REG12 w ciągu pięciu dni roboczych i przed podpisaniem umowy. Ład zarządczy, monitorowanie, egzekwowanie postanowień i utrzymanie są określone przez cykliczne dowody i cykle przeglądów. Privacy Lead / Menedżer PIMS przekazuje kwartalne podsumowania statusu privacy by design w REG12, oblicza metryki ukończenia i zaległych działań oraz weryfikuje przed audytem wewnętrznym, że dowody projektowe pozostają skonsolidowane w REG02, REG04, REG08 i REG12. Najwyższe kierownictwo analizuje wyjątki o istotnym wpływie, zablokowane decyzje o uruchomieniu produkcyjnym i powtarzające się ustalenia podczas przeglądu zarządzania. Postanowienia dotyczące stosowania polityki wymagają wstrzymania uruchomienia produkcyjnego, gdy przegląd REG04 jest niekompletny, wstrzymania onboardingu, gdy brakuje dowodów REG08, oraz zawieszenia nowego lub zmienionego przetwarzania PII do czasu ukończenia przeglądu REG04, aktualizacji REG02 oraz obsłużenia wymaganych wyjątków REG12.