Politika ochrany súkromia už od návrhu a štandardne

Politika ochrany súkromia už od návrhu a štandardne definuje, ako sa požiadavky ochrany súkromia musia začleniť do nových a zmenených činností spracúvania osobne identifikovateľných údajov (PII) v rámci rozsahu PIMS. Uplatňuje sa naprieč projektmi, produktmi, službami, systémami, aplikáciami, integráciami, obstarávacími činnosťami a zmenami obchodných procesov. Politika je určená pre kontext prevádzkovateľa, spoločného prevádzkovateľa, sprostredkovateľa a ďalšieho sprostredkovateľa vrátane situácií, v ktorých organizácia navrhuje, konfiguruje, mení alebo prevádzkuje spracúvanie v mene zákazníka, prevádzkovateľa alebo nadradeného sprostredkovateľa podľa zdokumentovaných pokynov. Jej hlavným účelom je zabezpečiť, aby boli požiadavky ochrany súkromia identifikované, implementované a doložené dôkazmi pred začatím spracúvania PII alebo pred jeho podstatnou zmenou. Politika kladie osobitný dôraz na účel, nevyhnutnosť, minimalizáciu a predvolené nastavenia chrániace súkromie. Vlastníci procesov a vlastníci organizácie musia pred schválením návrhu zhromažďovania alebo importu zdokumentovať minimálne kategórie PII, kategórie dotknutých osôb, zdroje a účely v REG02 a REG04. Vlastníci systémov a vlastníci aplikácií musia nakonfigurovať predvolené nastavenia spracúvania na minimálny zber a spracúvanie PII potrebné na zdokumentovaný účel a pred spustením do produkčného prostredia musia zaznamenať dôkazy v REG04. Voliteľné polia PII, voliteľné voľby spracúvania, predvolene vypnuté nastavenia, nastavenia sprístupnenia pre zobrazenia a reporty a nakladanie s dočasnými súbormi, cache, logmi alebo stagingovými záznamami sa považujú za povinnosti ochrany súkromia v štádiu návrhu, nie za dodatočné prevádzkové opravy. Väzba na riziko ochrany súkromia a DPIA je zabudovaná do procesu návrhu bez nahradenia samostatnej metodiky definovanej v PII07. Vedúci ochrany súkromia / manažér PIMS musí potvrdiť, že riziko ochrany súkromia a preverenie potreby DPIA sú zaznamenané v REG04 pred schválením návrhu nového alebo podstatne zmeneného spracúvania PII. Opatrenia ošetrenia návrhu ochrany súkromia, vlastníci a lehoty plnenia musia byť zaznamenané pred uzavretím preskúmania a dôkazy implementácie musia byť zaistené pred spustením do produkčného prostredia. Pri vysokorizikovom alebo podstatne zmenenom spracúvaní prevádzkovateľa politika vyžaduje aj poinštalačnú kontrolu návrhu ochrany súkromia v REG04 do 30 kalendárnych dní po spustení do produkčného prostredia. Ak otázky návrhu chýbajú, sú neúčinné, po lehote alebo obídené, v REG12 sa otvorí nápravné opatrenie. Politika rozširuje ochranu súkromia už od návrhu aj do obstarávania a vzťahov s tretími stranami. Vlastníci dodávateľov a vlastníci obstarávania musia pred schválením obstarávania zaznamenať v REG08 požiadavky ochrany súkromia už od návrhu pre dodávateľov, sprostredkovateľov, ďalších sprostredkovateľov, SaaS služby, platformy alebo externe hostované systémy. Nevyhnutnosť PII tretej strany, účel a minimálne kategórie PII musia byť zdokumentované pred externým spracúvaním, zdieľaním údajov alebo schválením obstarávania. Podpora dodávateľa pre predvolené nastavenia ochrany súkromia, minimalizáciu a potreby konfigurácie zákazníka musí byť zaznamenaná pred zavedením dodávateľa, pričom nevyriešené medzery dodávateľa v návrhu ochrany súkromia sa eskalujú do REG12 do piatich pracovných dní a pred podpisom zmluvy. Správa a riadenie, monitorovanie, uplatňovanie politiky a údržba sú definované prostredníctvom opakujúcich sa dôkazov a cyklov preskúmania. Vedúci ochrany súkromia / manažér PIMS predkladá štvrťročné súhrny stavu návrhu ochrany súkromia v REG12, vypočítava metriky dokončenia a opatrení po lehote a pred vnútorným auditom overuje, že dôkazy návrhu zostávajú konsolidované v REG02, REG04, REG08 a REG12. Vrcholový manažment preskúmava výnimky s vysokým dopadom, zablokované rozhodnutia o spustení do produkčného prostredia a opakujúce sa zistenia počas preskúmania manažmentom. Ustanovenia o uplatňovaní politiky vyžadujú zabrániť spusteniu do produkčného prostredia, ak preskúmanie REG04 nie je dokončené, zabrániť zavedeniu dodávateľa, ak chýbajú dôkazy REG08, a pozastaviť nové alebo zmenené spracúvanie PII, kým nie sú dokončené preskúmanie REG04, aktualizácie REG02 a požadované výnimky REG12.