Politica de management al drepturilor persoanelor vizate

Politica de management al drepturilor persoanelor vizate stabilește abordarea obligatorie a organizației pentru gestionarea cererilor primite de la persoanele vizate sau de la reprezentanții lor împuterniciți. Domeniul său de aplicare acoperă întregul ciclu de viață al gestionării cererilor de exercitare a drepturilor: primirea, validarea, evaluarea, îndeplinirea, refuzarea, prelungirea, închiderea, monitorizarea și demonstrarea prin dovezi a cererilor. Se aplică accesului, rectificării, ștergerii, restricționării, portabilității, opoziției, procesului decizional automatizat, rutării retragerii consimțământului, plângerilor și solicitărilor conexe. Politica este concepută pentru contexte de operator, operator asociat, persoană împuternicită și persoană subîmputernicită, cu obligații ale persoanelor împuternicite și ale persoanelor subîmputernicite aplicabile atunci când se oferă suport unui operator, client sau unei persoane împuternicite din amonte pe baza unor instrucțiuni documentate. Scopul politicii este să asigure că cererile de exercitare a drepturilor persoanelor vizate sunt gestionate consecvent, legal, securizat, în termene definite și cu dovezi pregătite pentru audit. Politica impune ca fiecare cerere să fie înregistrată în REG06 în termen de două zile lucrătoare de la primire și clasificată înainte de începerea evaluării. Câmpurile obligatorii de clasificare includ tipul cererii, canalul cererii, data cererii, referința privind identitatea solicitantului, proprietarul desemnat, termenul-limită intern, termenul-limită legal sau contractual și starea curentă. Pentru operatori, Responsabilul pentru confidențialitate / Managerul PIMS trebuie să confirme primirea sau să transmită următoarea comunicare necesară în termen de cinci zile lucrătoare de la primire. Cererile trebuie, de asemenea, corelate cu activitățile relevante de prelucrare REG02 înainte ca acțiunile de îndeplinire să fie atribuite, asigurând că deciziile de răspuns sunt fundamentate pe evidențele de prelucrare, scopuri, categorii de PII, sisteme, destinatari și constrângeri de retenție. Un accent operațional major este verificarea identității și evaluarea securizată. Înainte de divulgarea PII sau de efectuarea modificărilor solicitate, Responsabilul pentru confidențialitate / Managerul PIMS trebuie să verifice identitatea solicitantului sau autoritatea reprezentantului în REG06. Atunci când identitatea sau autoritatea este insuficientă, pot fi solicitate numai informațiile suplimentare minime necesare pentru verificare. Politica atribuie cererile cu risc ridicat, contestate, neclare, excesive, repetate, refuzate sau îndeplinite parțial Responsabilului cu protecția datelor / Consilierului pentru confidențialitate pentru revizuire înainte ca decizia să fie comunicată. De asemenea, impune revizuirea de către proprietarul de sistem / proprietarul de aplicație a extraselor de răspuns pentru a exclude PII fără legătură cu cererea și date neautorizate ale terților, precum și revizuirea de către Responsabilul pentru securitatea informației a metodelor de livrare înainte de divulgarea unor volume mari de PII, a PII sensibile, a PII din categorii speciale sau a PII cu risc ridicat. Cerințele de îndeplinire sunt specifice naturii dreptului. Proprietarii de business trebuie să furnizeze rezultatele căutărilor pentru acces cu cel puțin zece zile lucrătoare înainte de termenul-limită de răspuns. Proprietarii de sistem trebuie să finalizeze acțiunile aprobate de rectificare, ștergere, restricționare sau suprimare și să înregistreze dovezile de finalizare în REG06. Pachetele de răspuns pentru acces și portabilitate trebuie livrate printr-o metodă autorizată, cu dovezi privind livrarea înregistrate înainte de închidere. Cererile de opoziție trebuie evaluate și înregistrate înainte ca prelucrarea contestată să continue sau să înceteze. Cererile care implică exclusiv decizii automatizate necesită revizuire înainte ca organizația să furnizeze un rezultat, o cale de revizuire umană sau motivarea refuzului. Atunci când rezultatele aprobate necesită notificarea persoanelor împuternicite, a persoanelor subîmputernicite, a operatorilor asociați, a destinatarilor sau a părților implicate în partajarea datelor înregistrate în REG08, Proprietarul de furnizor / achiziții trebuie să coordoneze notificarea respectivă. Politica definește, de asemenea, cerințe de guvernanță, măsurare, excepții și aplicare. Responsabilul pentru confidențialitate / Managerul PIMS deține fluxul de lucru al cererilor de exercitare a drepturilor, structura REG06, termenele-limită, regulile de atribuire și criteriile de închidere, cu revizuire cel puțin anuală și actualizări după modificări semnificative. Metricile includ măsurarea lunară a cererilor după tip, stare, proprietar de business și activitate de prelucrare, raportarea lunară a elementelor restante, măsurarea trimestrială a ratelor de refuz, îndeplinire parțială și prelungire, precum și revizuirea trimestrială a temelor recurente, plângerilor, disputelor și acțiunilor corective. Auditurile planificate trebuie să eșantioneze înregistrări REG06 închise și să înregistreze în REG12 constatările privind calitatea dovezilor, respectarea termenelor și închiderea. Excepțiile trebuie aprobate în REG12 înainte de implementare, cu date de expirare, proprietari și controale compensatorii atribuite. Dispozițiile de aplicare impun neconformități, escaladarea lipsei de cooperare din partea terților, atribuirea de către management a responsabilității pentru acțiuni corective în cazul eșecurilor sistemice și revizuirea REG10 atunci când o neconformitate sugerează o divulgare neautorizată, pierdere, alterare, indisponibilitate sau un alt incident suspectat privind PII.