Politica privind protecția datelor încă din faza de proiectare și în mod implicit

Politica privind protecția datelor încă din faza de proiectare și în mod implicit definește modul în care cerințele de confidențialitate trebuie integrate în activitățile noi și modificate de prelucrare a PII din domeniul de aplicare al PIMS. Aceasta se aplică proiectelor, produselor, serviciilor, sistemelor, aplicațiilor, integrărilor, activităților de achiziții și schimbărilor proceselor de afaceri. Politica este redactată pentru contexte de operator, operator asociat, persoană împuternicită și persoană subîmputernicită, inclusiv situații în care organizația proiectează, configurează, modifică sau operează prelucrări în numele unui client, operator sau persoană împuternicită din amonte, pe baza unor instrucțiuni documentate. Scopul său principal este de a asigura identificarea, implementarea și documentarea prin dovezi a cerințelor de confidențialitate înainte ca prelucrarea PII să înceapă sau să se modifice semnificativ. Politica pune un accent special pe scop, necesitate, minimizare și setări implicite care protejează confidențialitatea. Proprietarii de proces și proprietarii afacerii trebuie să documenteze în REG02 și REG04 categoriile minime de PII, categoriile de persoane vizate, sursele și scopurile înainte de aprobarea proiectării colectării sau importului. Proprietarii de sistem și proprietarii de aplicații trebuie să configureze setările implicite de prelucrare la nivelul minim de colectare și prelucrare PII necesar pentru scopul documentat și trebuie să înregistreze dovezi în REG04 înainte de intrarea în producție. Câmpurile PII opționale, opțiunile de prelucrare opționale, setările dezactivate implicit, setările de expunere pentru vizualizări și rapoarte, precum și gestionarea fișierelor temporare, cache-urilor, jurnalelor sau înregistrărilor de staging sunt tratate ca obligații de confidențialitate în etapa de proiectare, nu ca remedieri operaționale ulterioare. Corelarea dintre riscul privind confidențialitatea și DPIA este integrată în procesul de proiectare fără a înlocui metodologia separată definită în PII07. Responsabilul pentru confidențialitate / Managerul PIMS trebuie să confirme că riscul privind confidențialitatea și evaluarea preliminară DPIA sunt înregistrate în REG04 înainte de aprobarea proiectării pentru prelucrări PII noi sau modificate semnificativ. Acțiunile de tratament asociate proiectării pentru protecția datelor, proprietarii și termenele-limită trebuie înregistrate înainte de închiderea revizuirii, iar dovezile de implementare trebuie capturate înainte de intrarea în producție. Pentru prelucrări cu risc ridicat sau modificate semnificativ efectuate de operator, politica impune și o verificare post-implementare a proiectării pentru protecția datelor în REG04 în termen de 30 de zile calendaristice de la intrarea în producție. Atunci când aspectele de proiectare lipsesc, sunt ineficace, restante sau ocolite, se deschide o acțiune corectivă în REG12. Politica extinde, de asemenea, protecția datelor încă din faza de proiectare la achiziții și relații cu terții. Proprietarii furnizorilor și ai achizițiilor trebuie să înregistreze în REG08 cerințele privind protecția datelor încă din faza de proiectare pentru furnizori, persoane împuternicite, persoane subîmputernicite, servicii SaaS, platforme sau sisteme găzduite extern înainte de aprobarea achiziției. Necesitatea PII pentru terți, scopul și categoriile minime de PII trebuie documentate înainte de prelucrarea externă, partajarea datelor sau aprobarea achiziției. Sprijinul furnizorului pentru setări implicite de confidențialitate, minimizare și nevoi de configurare ale clientului trebuie înregistrat înainte de integrare, iar lacunele nerezolvate ale furnizorilor privind proiectarea pentru protecția datelor sunt escaladate în REG12 în termen de cinci zile lucrătoare și înainte de semnarea contractului. Guvernanța, monitorizarea, aplicarea și menținerea sunt definite prin dovezi recurente și cicluri de revizuire. Responsabilul pentru confidențialitate / Managerul PIMS transmite trimestrial în REG12 rezumate privind starea proiectării pentru protecția datelor, calculează metrici de finalizare și de acțiuni restante și verifică faptul că dovezile de proiectare rămân consolidate în REG02, REG04, REG08 și REG12 înainte de auditul intern. Conducerea de vârf revizuiește excepțiile cu impact ridicat, deciziile de intrare în producție blocate și constatările recurente în cadrul revizuirii de management. Prevederile de aplicare impun prevenirea intrării în producție atunci când revizuirea REG04 este incompletă, prevenirea integrării atunci când dovezile REG08 lipsesc și suspendarea prelucrărilor PII noi sau modificate până la finalizarea revizuirii REG04, a actualizărilor REG02 și a excepțiilor REG12 necesare.