Política de Inventário de Tratamento de PII e Fundamento de Licitude

A Política de Inventário de Tratamento de PII e Fundamento de Licitude define como uma organização mantém o seu Inventário de Tratamento de PII / RoPA e documenta os factos essenciais necessários para demonstrar tratamento responsável no âmbito do PIMS. Aplica-se a todas as atividades de tratamento de PII abrangidas pelo âmbito, incluindo tratamento realizado como responsável pelo tratamento, responsável conjunto pelo tratamento, subcontratante ou subcontratante subsequente. A política abrange o tratamento por processos de negócio, sistemas, aplicações, fornecedores, subcontratantes, subcontratantes subsequentes e destinatários de partilha de dados, e aplica-se a tratamento novo, materialmente alterado e retirado de serviço. Um registo de inventário de tratamento é definido como uma entrada REG02 que descreve uma atividade distinta de tratamento de PII, incluindo a sua finalidade, papel, proprietário, categorias de PII, categorias de titulares dos dados, referência ao fundamento de licitude ou à instrução do cliente, sistemas, destinatários, referência de retenção, referência de transferência, estado do risco de privacidade e estado da revisão. Um objetivo central da política é tornar o REG02 o objeto de evidência autoritativo para o inventário de tratamento de PII e para os registos de atividades de tratamento. A política exige que um proprietário do processo ou proprietário do negócio crie um registo REG02 antes do início de qualquer novo tratamento de PII e registe os campos exigidos antes do início da atividade. Exige também que o papel da organização no PIMS seja classificado para cada atividade e liga sistemas, aplicações, fornecedores, subcontratantes, subcontratantes subsequentes, partilha com terceiros e relações de responsável conjunto pelo tratamento ao registo REG02 aplicável. Isto cria um registo estruturado de tratamento que pode ser ligado a avisos de privacidade, consentimento, AIPD, risco, fornecedor, transferência, controlo e evidência de auditoria, quando aplicável. Para atividades de responsável pelo tratamento, a política exige que a finalidade específica do tratamento seja documentada antes de a PII ser recolhida, utilizada, divulgada ou tratada de outro modo. O responsável pela privacidade / gestor do PIMS deve validar o fundamento de licitude registado no REG02 antes do início do tratamento pelo responsável pelo tratamento e antes de qualquer alteração de finalidade produzir efeitos. A política aborda também situações especiais: o consentimento deve estar ligado ao REG05, os interesses legítimos devem referenciar o REG04, categorias especiais de PII exigem uma condição registada, e dados relativos a condenações penais ou infrações exigem uma base de autorização. Em contextos de subcontratante e subcontratante subsequente, a política exige que as referências às instruções do cliente, à finalidade do cliente, ao objeto, à duração, às categorias de PII e às categorias de titulares dos dados sejam registadas antes do início do tratamento, com evidência de acordo e instrução mantida no REG08. A política também define como o inventário permanece atual. As alterações materiais do tratamento incluem alterações à finalidade, fundamento de licitude, papel no PIMS, categoria de PII, categoria de titular dos dados, destinatário, sistema, fornecedor, subcontratante subsequente, local de tratamento, transferência, regra de retenção, classificação de segurança, aviso de privacidade, dependência de consentimento, estado da AIPD, instrução do cliente ou âmbito de certificação. O REG02 deve ser atualizado no prazo de 10 dias úteis após a identificação dessa alteração, e a triagem de riscos de privacidade e para AIPD deve ser iniciada no REG04 antes de o tratamento novo ou materialmente alterado prosseguir. O responsável pela privacidade / gestor do PIMS reconcilia trimestralmente o REG02 com o REG01, REG03, REG04, REG08 e REG09, enquanto a auditoria interna / revisores de conformidade selecionam amostras de completude, exatidão e atualidade durante revisões programadas. A governação, a medição, as exceções e a aplicação estão integradas na política. O responsável pela privacidade / gestor do PIMS submete resumos trimestrais do estado do inventário no REG12, regista métricas do inventário, valida novos registos REG02 e mantém regras mínimas de campos e periodicidade da revisão. A alta direção revê a completude, as revisões em atraso, questões relevantes de fundamento de licitude e não conformidades não resolvidas durante a revisão pela gestão. As exceções devem ser solicitadas e avaliadas no REG12, com datas de expiração não superiores a 90 dias, e certas exceções exigem parecer do encarregado da proteção de dados / assessor de privacidade e aprovação pela alta direção. A aplicação inclui o registo de não conformidades, a suspensão de novo tratamento quando a evidência está em falta, o bloqueio da entrada em produção de sistemas ou da integração de fornecedores quando a ligação exigida está ausente, e a verificação da eficácia das ações corretivas.