Politika zhromažďovania, používania, poskytovania a zdieľania osobne identifikovateľných údajov (PII)

Politika zhromažďovania, používania, poskytovania a zdieľania osobne identifikovateľných údajov (PII) definuje prevádzkové požiadavky na to, ako sa osobne identifikovateľné informácie zhromažďujú, používajú, poskytujú a zdieľajú v rámci rozsahu PIMS. Jej deklarovaným účelom je zabezpečiť, aby sa s PII nakladalo iba na zdokumentované, schválené, obmedzené a zodpovedne riadené účely. Politika sa uplatňuje v kontextoch prevádzkovateľa, spoločného prevádzkovateľa, sprostredkovateľa a ďalšieho sprostredkovateľa a pokrýva zhromažďovanie prostredníctvom priamych, nepriamych, automatizovaných, manuálnych, interných a externých kanálov a kanálov tretích strán. Rieši aj schválené interné používanie v rámci obchodných procesov, systémov a aplikácií, sekundárne použitie na nové alebo podstatne zmenené účely, externé poskytnutie príjemcom a tretím stranám, ako aj opakované nastavenia zdieľania údajov a jednorazové poskytnutia. Kľúčovým prvkom politiky je používanie registrov dôkazov na prepojenie rozhodnutí v oblasti ochrany súkromia s auditovateľnými záznamami. REG02 sa používa pre evidenciu spracúvania PII, schválené účely, pravidlá zhromažďovania, pravidlá používania a posúdenia zlučiteľnosti sekundárneho použitia. REG08 sa používa pre záznamy o sprostredkovateľoch, ďalších sprostredkovateľoch a zdieľaní údajov vrátane identity príjemcu, roly príjemcu, účelu poskytnutia, kategórií PII, frekvencie zdieľania, miesta spracúvania a zdroja oprávnenia. REG09 sa používa, keď zdieľanie zahŕňa novú krajinu, medzinárodnú organizáciu, miesto vzdialeného prístupu, miesto príjemcu alebo miesto ďalšieho prenosu. REG12 sa používa pre výnimky, nezhody, auditné zistenia, nápravné opatrenia, prekážky implementácie a záznamy o preskúmaní politiky. Politika stanovuje jasné kontrolné body pred začatím spracúvania. Vlastníci procesov alebo vlastníci podniku musia v REG02 zaznamenať účely zhromažďovania, zdroje alebo kanály, kategórie PII, kategórie dotknutých osôb a minimálne dátové prvky pred začatím nového zhromažďovania alebo pred podstatnou zmenou. Pred zhromažďovaním musia tiež zdokumentovať odôvodnenie nevyhnutnosti pre každý dátový prvok PII. Vlastníci systémov alebo vlastníci aplikácií môžu implementovať iba schválené polia zhromažďovania, polia pracovného toku, reporty, exporty alebo výstupy poskytnutia, ktoré zodpovedajú schváleniu v REG02 alebo REG08. V kontextoch sprostredkovateľa sa musí pred zhromažďovaním, používaním alebo poskytovaním PII zákazníka zaznamenať súlad s pokynom zákazníka. Sekundárne použitie sa považuje za riadené rozhodnutie, nie za neformálne rozšírenie existujúcej činnosti. Pred použitím PII na účel, ktorý ešte nie je schválený v REG02, musí vlastník procesu alebo vlastník podniku zaznamenať posúdenie zlučiteľnosti zahŕňajúce pôvodný účel, navrhovaný účel, závislosť od právneho základu, kategórie PII, očakávania dotknutých osôb, odôvodnenie minimalizácie, dopad poskytnutia alebo prenosu a podľa potreby smerovanie na iné politiky PIMS. Vedúci ochrany súkromia alebo manažér PIMS musí pred začatím sekundárneho použitia zaznamenať schválenie alebo zamietnutie. Ak ide o citlivé opakované zdieľanie, zraniteľné dotknuté osoby, záznamy s vysokým dopadom alebo podstatne zmenené očakávania, pred schválením sa musí zaznamenať stanovisko zodpovednej osoby pre ochranu osobných údajov alebo poradcu pre ochranu súkromia. Správa, meranie a uplatňovanie politiky sú zabudované priamo do politiky. Vedúci ochrany súkromia alebo manažér PIMS preskúmava pravidlá schváleného používania najmenej raz ročne, najmenej raz ročne zosúlaďuje schválené účely v REG02 s aktívnymi záznamami zdieľania v REG08 a výsledky zaznamenáva v REG12. Vlastníci pre oblasť dodávateľov alebo obstarávania zosúlaďujú aktívne položky zdieľania v REG08 s aktívnymi vzťahmi so sprostredkovateľmi, ďalšími sprostredkovateľmi, príjemcami a vzťahmi zdieľania údajov najmenej štvrťročne. Vnútorný audit alebo preskúmavatelia súladu každoročne výberovo preverujú dôkazy REG02, REG08 a REG09 a výsledky zaznamenávajú v REG12. Neschválené zhromažďovanie, používanie, poskytnutie alebo zdieľanie sa musí zaznamenať ako nezhoda do piatich pracovných dní a spracúvanie môže byť pozastavené do jedného pracovného dňa, ak schválené dôkazy chýbajú.