Politica privind inventarul prelucrării PII și temeiul juridic

Politica privind inventarul prelucrării PII și temeiul juridic definește modul în care o organizație își menține inventarul prelucrării PII / RoPA și documentează faptele esențiale necesare pentru a demonstra prelucrarea responsabilă în domeniul de aplicare al PIMS. Se aplică tuturor activităților de prelucrare a PII incluse în domeniu, inclusiv prelucrării efectuate ca operator, operator asociat, persoană împuternicită sau persoană subîmputernicită. Politica acoperă prelucrarea prin procese de afaceri, sisteme, aplicații, furnizori, persoane împuternicite, persoane subîmputernicite și destinatari ai partajării datelor și se aplică prelucrărilor noi, modificate semnificativ și retrase. O înregistrare în inventarul prelucrării este definită ca o intrare REG02 care descrie o activitate distinctă de prelucrare a PII, inclusiv scopul, rolul, proprietarul, categoriile de PII, categoriile de persoane vizate, temeiul juridic sau referința la instrucțiunea clientului, sistemele, destinatarii, referința de retenție, referința de transfer, starea riscului privind confidențialitatea și starea revizuirii. Un obiectiv central al politicii este ca REG02 să devină obiectul de dovezi autorizat pentru inventarul prelucrării PII și evidențele activităților de prelucrare. Politica impune Proprietarului de proces sau Proprietarului activității să creeze o înregistrare REG02 înainte de începerea oricărei noi prelucrări a PII și să înregistreze câmpurile obligatorii înainte ca activitatea să înceapă. De asemenea, impune clasificarea rolului PIMS al organizației pentru fiecare activitate și corelează sistemele, aplicațiile, furnizorii, persoanele împuternicite, persoanele subîmputernicite, partajarea cu terți și relațiile de operator asociat cu înregistrarea REG02 relevantă. Astfel se creează o evidență structurată a prelucrării care se poate conecta la note de informare privind confidențialitatea, consimțământ, DPIA, risc, furnizori, transferuri, controale și dovezi de audit, după caz. Pentru activitățile de operator, politica impune documentarea scopului specific al prelucrării înainte ca PII să fie colectate, utilizate, divulgate sau prelucrate în alt mod. Responsabilul pentru confidențialitate / Managerul PIMS trebuie să valideze temeiul juridic înregistrat în REG02 înainte de începerea prelucrării de către operator și înainte ca orice schimbare de scop să producă efecte. Politica tratează și situațiile speciale: consimțământul trebuie corelat cu REG05, interesele legitime trebuie să facă trimitere la REG04, PII din categorii speciale necesită o condiție înregistrată, iar datele privind condamnările penale sau infracțiunile necesită un temei de autorizare. Pentru contexte de persoană împuternicită și persoană subîmputernicită, politica impune înregistrarea referințelor la instrucțiunile clientului, scopul clientului, obiectul, durata, categoriile de PII și categoriile de persoane vizate înainte de începerea prelucrării, cu dovezi privind acordurile și instrucțiunile menținute în REG08. Politica definește și modul în care inventarul rămâne actual. Modificările semnificative ale prelucrării includ schimbări ale scopului, temeiului juridic, rolului PIMS, categoriei de PII, categoriei de persoane vizate, destinatarului, sistemului, furnizorului, persoanei subîmputernicite, locației de prelucrare, transferului, regulii de retenție, clasificării de securitate, notei de informare privind confidențialitatea, dependenței de consimțământ, stării DPIA, instrucțiunii clientului sau domeniului de certificare. REG02 trebuie actualizat în termen de 10 zile lucrătoare de la identificarea unei astfel de modificări, iar evaluarea riscurilor privind confidențialitatea și evaluarea preliminară DPIA trebuie inițiate în REG04 înainte ca prelucrarea nouă sau modificată semnificativ să continue. Responsabilul pentru confidențialitate / Managerul PIMS reconciliază trimestrial REG02 cu REG01, REG03, REG04, REG08 și REG09, în timp ce Funcția de audit intern / conformitate eșantionează completitudinea, exactitatea și actualitatea în cadrul revizuirilor programate. Guvernanța, măsurarea, excepțiile și aplicarea sunt integrate în politică. Responsabilul pentru confidențialitate / Managerul PIMS transmite trimestrial în REG12 rezumate privind starea inventarului, înregistrează metrici ale inventarului, validează noile înregistrări REG02 și menține regulile privind câmpurile minime și cadența revizuirii. Conducerea de vârf revizuiește completitudinea, revizuirile restante, problemele majore privind temeiul juridic și neconformitățile nerezolvate în cadrul revizuirii de management. Excepțiile trebuie solicitate și evaluate în REG12, cu date de expirare care nu depășesc 90 de zile, iar anumite excepții necesită avizul Responsabilului cu protecția datelor / Consilierului pentru confidențialitate și aprobarea Conducerii de vârf. Aplicarea include înregistrarea neconformităților, suspendarea prelucrării noi atunci când lipsesc dovezile, blocarea intrării în producție a sistemului sau a integrării furnizorilor atunci când lipsește corelarea obligatorie și verificarea eficacității acțiunilor corective.