Politica privind notele de informare privind confidențialitatea și transparența

Politica privind notele de informare privind confidențialitatea și transparența definește cerințele organizației pentru crearea, aprobarea, publicarea, menținerea, revizuirea și susținerea prin dovezi a notelor de informare privind confidențialitatea și a informațiilor privind transparența pentru prelucrarea PII în domeniul de aplicare al PIMS. Scopul declarat este de a asigura că persoanele vizate primesc „note de informare privind confidențialitatea clare, actuale, accesibile și care pot fi auditate înainte de momentul necesar sau la momentul necesar din ciclul de viață al prelucrării PII”. Politica se aplică prelucrării de către operatorul de date, informațiilor privind transparența ale operatorului asociat și suportului furnizat de persoana împuternicită sau de persoana subîmputernicită pentru obligațiile operatorului de date privind notele de informare, atunci când organizația acționează conform instrucțiunilor documentate ale clientului sau ale persoanei împuternicite. Politica este deținută de Responsabilul de confidențialitate / Managerul PIMS, aprobată de Conducerea de vârf și utilizează REG02, REG06, REG07, REG11 și REG12 ca obiecte de dovezi. O caracteristică centrală a politicii este controlul conținutului notelor de informare privind confidențialitatea prin REG07. Politica stabilește REG07 ca obiect de dovezi autorizat pentru inventarul notelor de informare, aprobare, publicare, revizuire, limbă și înregistrări de control al versiunilor. Pentru prelucrarea efectuată de operatorul de date, proprietarii de proces / proprietarii afacerii trebuie să creeze o înregistrare REG07 privind nota de informare privind confidențialitatea, corelată cu activitatea de prelucrare REG02 relevantă, înainte de lansarea oricărui nou canal de colectare a PII, serviciu, formular, campanie, produs sau funcționalitate. Atunci când PII sunt obținute dintr-o altă sursă decât persoana vizată, înregistrarea trebuie creată înainte de prima comunicare, înainte de prima divulgare către un terț sau în termen de 20 de zile lucrătoare de la obținerea PII, oricare dintre acestea survine mai întâi. Politica impune, de asemenea, ca notele de informare să fie corelate cu scopurile actuale de prelucrare REG02, referințele la temeiul juridic, categoriile de PII, categoriile de persoane vizate, categoriile de surse, categoriile de destinatari, referințele privind retenția și referințele privind transferurile. Politica definește un ciclu de viață structurat pentru aprobare și publicare. Proprietarii de proces / proprietarii afacerii certifică exactitatea și caracterul complet al conținutului notei de informare și transmit înregistrarea REG07 pentru aprobarea Responsabilului de confidențialitate / Managerului PIMS înainte de publicare sau de activarea canalului de colectare. Responsabilul de confidențialitate / Managerul PIMS verifică alinierea cu REG02 și aprobă sau respinge nota de informare. Proprietarii de sistem / proprietarii de aplicații pot publica numai versiunea aprobată a notei REG07 înainte de activarea canalelor digitale de colectare, iar proprietarii de proces / proprietarii afacerii trebuie să pună la dispoziție notele aprobate prin canale nedigitale înainte de colectarea PII. Dovezile de publicare, inclusiv locația și marcajul temporal sau dovada echivalentă, trebuie înregistrate în REG07 în termen de două zile lucrătoare după publicare. Dacă dovezile necesare privind nota de informare aprobată lipsesc, noul canal de colectare al operatorului de date nu trebuie să intre în producție. Calitatea transparenței este tratată prin controale privind limba, accesibilitatea, versiunea și schimbarea. Politica impune identificarea publicului-țintă al persoanelor vizate și a versiunilor lingvistice necesare înainte de aprobare. Aceasta impune dovezi în REG07 privind limbajul clar și adecvarea pentru publicul-țintă, versiuni traduse sau localizate înainte de publicare și paritate de versiune între nota principală și notele localizate în termen de 10 zile lucrătoare după o actualizare semnificativă. Versiunile perimate ale notelor trebuie eliminate, redirecționate sau etichetate în termen de cinci zile lucrătoare după publicarea înlocuirii, iar versiunile înlocuite, datele de intrare în vigoare, dovezile de aprobare și dovezile de publicare trebuie păstrate în REG07. Modificările semnificative privind identitatea operatorului de date, punctul de contact, scopul prelucrării, temeiul juridic, categoriile de PII, categoriile de destinatari, referințele privind retenția, referințele privind transferurile, canalele pentru cereri de exercitare a drepturilor, canalele de reclamații sau de contact privind confidențialitatea, acoperirea lingvistică, canalele de publicare sau contextul prelucrării declanșează controale de actualizare a notelor. Politica include, de asemenea, cerințe de guvernanță, măsurare, excepție, aplicare și menținere. Notele REG07 active sunt revizuite cel puțin anual și în termen de 30 de zile după modificări juridice, de reglementare, contractuale sau de prelucrare semnificative. Înregistrările REG07 privind notele sunt reconciliate trimestrial cu scopurile de prelucrare REG02, iar neconcordanțele nerezolvate sunt înregistrate în REG12. Metricile includ procentul de note active corelate cu scopurile actuale REG02, notele revizuite până la termenul-limită, actualizările restante, neconcordanțele nerezolvate, canalele de colectare blocate sau întârziate, cererile clienților privind informațiile-suport pentru notele de informare finalizate la timp și notele cu dovezi actuale privind limba, versiunea, aprobarea și publicarea. Excepțiile trebuie înregistrate în REG12 înainte de producerea abaterilor, cu consiliere necesară privind confidențialitatea și aprobarea Conducerii de vârf pentru excepțiile specificate legate de notele de informare. Dovezile lipsă, inexacte, nepublicate, neaprobate sau perimate privind notele sunt înregistrate ca neconformitate, iar notele semnificativ inexacte sau înșelătoare sunt escaladate către Responsabilul cu protecția datelor / Consilierul pentru confidențialitate și Conducerea de vârf în termen de două zile lucrătoare de la confirmare.