Politika evidencie spracúvania osobných údajov a právneho základu

Politika evidencie spracúvania osobných údajov a právneho základu definuje, ako organizácia udržiava svoju evidenciu spracúvania osobných údajov / RoPA a dokumentuje kľúčové skutočnosti potrebné na preukázanie zodpovedného spracúvania v rozsahu PIMS. Vzťahuje sa na všetky činnosti spracúvania osobných údajov v rozsahu, vrátane spracúvania vykonávaného ako prevádzkovateľ, spoločný prevádzkovateľ, sprostredkovateľ alebo ďalší sprostredkovateľ. Politika pokrýva spracúvanie prostredníctvom obchodných procesov, systémov, aplikácií, dodávateľov, sprostredkovateľov, ďalších sprostredkovateľov a príjemcov zdieľania údajov a vzťahuje sa na nové, podstatne zmenené aj ukončené spracúvanie. Záznam v evidencii spracúvania je definovaný ako záznam REG02, ktorý opisuje samostatnú činnosť spracúvania osobných údajov vrátane jej účelu, roly, vlastníka, kategórií osobných údajov, kategórií dotknutých osôb, odkazu na právny základ alebo pokyn zákazníka, systémov, príjemcov, odkazu na uchovávanie, odkazu na prenos, stavu rizika ochrany súkromia a stavu preskúmania. Ústredným cieľom politiky je, aby REG02 predstavoval autoritatívny dôkazový objekt pre evidenciu spracúvania osobných údajov a záznamy o spracovateľských činnostiach. Politika vyžaduje, aby vlastník procesu alebo vlastník organizácie vytvoril záznam REG02 pred začatím akéhokoľvek nového spracúvania osobných údajov a aby zaznamenal požadované polia pred začatím činnosti. Vyžaduje tiež klasifikáciu roly organizácie v PIMS pre každú činnosť a prepája systémy, aplikácie, dodávateľov, sprostredkovateľov, ďalších sprostredkovateľov, zdieľanie s tretími stranami a vzťahy spoločného prevádzkovateľa s príslušným záznamom REG02. Tým vzniká štruktúrovaný záznam o spracúvaní, ktorý možno podľa potreby prepojiť s oznámeniami o ochrane údajov, súhlasom, DPIA, rizikami, dodávateľmi, prenosmi, kontrolami a auditnými dôkazmi. Pri činnostiach prevádzkovateľa politika vyžaduje, aby bol konkrétny účel spracúvania zdokumentovaný pred tým, ako sa osobné údaje zhromažďujú, používajú, poskytujú alebo inak spracúvajú. Vedúci ochrany súkromia / manažér PIMS musí overiť právny základ zaznamenaný v REG02 pred začatím spracúvania prevádzkovateľom a pred nadobudnutím účinnosti akejkoľvek zmeny účelu. Politika rieši aj osobitné situácie: súhlas musí byť prepojený s REG05, oprávnené záujmy musia odkazovať na REG04, osobitná kategória osobných údajov vyžaduje zaznamenanú podmienku a údaje o odsúdeniach v trestných veciach alebo trestných činoch vyžadujú základ oprávnenia. V kontexte sprostredkovateľa a ďalšieho sprostredkovateľa politika vyžaduje, aby boli pred začatím spracúvania zaznamenané odkazy na pokyny zákazníka, účel zákazníka, predmet, trvanie, kategórie osobných údajov a kategórie dotknutých osôb, pričom dôkazy o zmluvách a pokynoch sa udržiavajú v REG08. Politika tiež definuje, ako evidencia zostáva aktuálna. Podstatné zmeny spracúvania zahŕňajú zmeny účelu, právneho základu, roly PIMS, kategórií osobných údajov, kategórií dotknutých osôb, príjemcov, systémov, dodávateľov, ďalších sprostredkovateľov, miest spracúvania, prenosov, pravidiel uchovávania, bezpečnostnej klasifikácie, oznámení o ochrane údajov, závislosti od súhlasu, stavu DPIA, pokynov zákazníka alebo rozsahu certifikácie. REG02 musí byť aktualizovaný do 10 pracovných dní od identifikácie takejto zmeny a pred pokračovaním nového alebo podstatne zmeneného spracúvania musí byť v REG04 iniciované posúdenie rizík ochrany súkromia a preverenie potreby DPIA. Vedúci ochrany súkromia / manažér PIMS štvrťročne zosúlaďuje REG02 s REG01, REG03, REG04, REG08 a REG09, zatiaľ čo preskúmavatelia vnútorného auditu / súladu vzorkovaním overujú úplnosť, presnosť a aktuálnosť počas plánovaných preskúmaní. Správa a riadenie, meranie, výnimky a uplatňovanie politiky sú jej neoddeliteľnou súčasťou. Vedúci ochrany súkromia / manažér PIMS predkladá štvrťročné súhrny stavu evidencie v REG12, zaznamenáva metriky evidencie, overuje nové záznamy REG02 a udržiava pravidlá minimálnych polí a periodicity preskúmania. Vrcholový manažment počas preskúmania manažmentom preskúmava úplnosť, oneskorené preskúmania, významné problémy s právnym základom a nevyriešené nezhody. Výnimky musia byť vyžiadané a posúdené v REG12, s dátumami skončenia platnosti nepresahujúcimi 90 dní, pričom niektoré výnimky vyžadujú stanovisko zodpovednej osoby pre ochranu osobných údajov / poradcu pre ochranu údajov a schválenie vrcholovým manažmentom. Uplatňovanie politiky zahŕňa zaznamenávanie nezhôd, pozastavenie nového spracúvania pri chýbajúcich dôkazoch, zablokovanie spustenia systému do produkčného prostredia alebo zavedenia dodávateľa pri absencii požadovanej väzby a overenie účinnosti nápravných opatrení.