Politika riadenia práv dotknutých osôb

Politika riadenia práv dotknutých osôb stanovuje povinný prístup organizácie k riadeniu žiadostí od dotknutých osôb alebo ich oprávnených zástupcov. Jej rozsah pokrýva celý životný cyklus spracovania žiadostí o uplatnenie práv: prijímanie, validáciu, hodnotenie, vybavenie, odmietnutie, predĺženie, uzatvorenie, monitorovanie a dokladovanie žiadostí. Uplatňuje sa na prístup, opravu, výmaz, obmedzenie, prenosnosť, námietku, automatizované rozhodovanie, smerovanie odvolania súhlasu, sťažnosti a súvisiace otázky. Politika je navrhnutá pre kontexty prevádzkovateľa, spoločného prevádzkovateľa, sprostredkovateľa a ďalšieho sprostredkovateľa, pričom povinnosti sprostredkovateľa a ďalšieho sprostredkovateľa sa uplatňujú tam, kde sa poskytuje podpora prevádzkovateľovi, zákazníkovi alebo nadradenému sprostredkovateľovi na základe zdokumentovaných pokynov. Účelom politiky je zabezpečiť, aby sa žiadosti dotknutých osôb o uplatnenie práv riešili konzistentne, zákonne, bezpečne, v stanovených lehotách a s dôkazmi pripravenými na audit. Vyžaduje, aby bola každá žiadosť zaznamenaná v REG06 do dvoch pracovných dní od prijatia a klasifikovaná pred začiatkom hodnotenia. Povinné klasifikačné polia zahŕňajú typ žiadosti, kanál žiadosti, dátum žiadosti, referenciu identity žiadateľa, priradeného vlastníka, internú lehotu, zákonnú alebo zmluvnú lehotu a aktuálny stav. V prípade prevádzkovateľov musí vedúci ochrany súkromia / manažér PIMS potvrdiť prijatie alebo poskytnúť ďalšiu požadovanú komunikáciu do piatich pracovných dní od príjmu. Žiadosti musia byť pred priradením úkonov vybavenia prepojené aj s relevantnými spracovateľskými činnosťami v REG02, aby rozhodnutia o odpovedi vychádzali zo záznamov o spracúvaní, účelov, kategórií osobných údajov, systémov, príjemcov a obmedzení uchovávania. Významný prevádzkový dôraz sa kladie na overenie identity a bezpečné hodnotenie. Pred poskytnutím osobných údajov alebo vykonaním požadovaných zmien musí vedúci ochrany súkromia / manažér PIMS v REG06 overiť identitu žiadateľa alebo oprávnenie zástupcu. Ak identita alebo oprávnenie nie sú dostatočné, možno požadovať iba minimálne dodatočné informácie potrebné na overenie. Politika priraďuje žiadosti s vysokým rizikom, sporné, nejasné, nadmerné, opakované, odmietnuté alebo čiastočne vybavené na preskúmanie zodpovednej osobe pre ochranu osobných údajov / poradcovi pre ochranu súkromia pred oznámením rozhodnutia. Vyžaduje tiež preskúmanie výpisov odpovede vlastníkom systému / vlastníkom aplikácie s cieľom vylúčiť nesúvisiace osobné údaje a neoprávnené údaje tretích strán, ako aj preskúmanie metód doručenia vedúcim informačnej bezpečnosti pred poskytnutím veľkoobjemových, citlivých osobných údajov, osobitných kategórií osobných údajov alebo vysokorizikových osobných údajov. Požiadavky na vybavenie sú špecifické podľa povahy práva. Vlastníci procesov musia poskytnúť výsledky vyhľadávania pre prístup najneskôr desať pracovných dní pred lehotou na odpoveď. Vlastníci systémov musia dokončiť schválené úkony opravy, výmazu, obmedzenia alebo vylúčenia z kontaktovania a zaznamenať dôkazy o dokončení v REG06. Balíky odpovedí pre prístup a prenosnosť musia byť doručené autorizovanou metódou, pričom dôkaz o doručení sa zaznamená pred uzatvorením. Žiadosti o námietku musia byť vyhodnotené a zaznamenané pred tým, ako napadnuté spracúvanie pokračuje alebo sa zastaví. Žiadosti zahŕňajúce výlučne automatizované rozhodnutia vyžadujú preskúmanie pred tým, ako organizácia poskytne výsledok, cestu ľudského preskúmania alebo odôvodnenie odmietnutia. Ak schválené výsledky vyžadujú notifikáciu sprostredkovateľov, ďalších sprostredkovateľov, spoločných prevádzkovateľov, príjemcov alebo strán zdieľania údajov zaznamenaných v REG08, vlastník dodávateľov / obstarávania musí túto notifikáciu koordinovať. Politika zároveň definuje požiadavky na správu a riadenie, meranie, výnimky a uplatňovanie. Vedúci ochrany súkromia / manažér PIMS vlastní pracovný tok žiadostí o uplatnenie práv, štruktúru REG06, lehoty, pravidlá priraďovania a kritériá uzatvorenia, pričom zabezpečuje aspoň ročné preskúmanie a aktualizácie po podstatnej zmene. Metriky zahŕňajú mesačné meranie žiadostí podľa typu, stavu, vlastníka procesu a spracovateľskej činnosti, mesačné vykazovanie oneskorených položiek, štvrťročné meranie mier odmietnutia, čiastočného vybavenia a predĺženia a štvrťročné preskúmanie opakujúcich sa tém, sťažností, sporov a nápravných opatrení. Plánované audity musia vzorkovať uzatvorené záznamy REG06 a zaznamenávať zistenia o kvalite dôkazov, včasnosti a uzatvorení v REG12. Výnimky musia byť pred implementáciou schválené v REG12, s priradenými dátumami skončenia platnosti, vlastníkmi a kompenzačnými kontrolami. Ustanovenia o uplatňovaní vyžadujú nezhody, eskaláciu nespolupráce tretích strán, priradenie vlastníctva nápravných opatrení manažmentom pri systémových zlyhaniach a preskúmanie REG10, ak nezhoda naznačuje neoprávnené sprístupnenie, stratu, zmenu, nedostupnosť alebo iný podozrivý incident týkajúci sa osobných údajov.