Politika oznámení o ochrane údajov a transparentnosti

Politika oznámení o ochrane údajov a transparentnosti definuje požiadavky organizácie na vytváranie, schvaľovanie, zverejňovanie, udržiavanie, preskúmavanie a dokladovanie oznámení o ochrane údajov a informácií o transparentnosti pri spracúvaní PII v rozsahu PIMS. Jej deklarovaným účelom je zabezpečiť, aby dotknuté osoby dostali „jasné, aktuálne, prístupné a auditovateľné oznámenia o ochrane údajov pred požadovaným okamihom v životnom cykle spracúvania PII alebo v tomto okamihu“. Politika sa uplatňuje na spracúvanie prevádzkovateľom, informácie o transparentnosti spoločného prevádzkovateľa a podporu sprostredkovateľa alebo ďalšieho sprostredkovateľa pri povinnostiach prevádzkovateľa týkajúcich sa oznámení, keď organizácia koná na základe zdokumentovaných pokynov zákazníka alebo sprostredkovateľa. Vlastníkom politiky je vedúci ochrany súkromia / manažér PIMS, schvaľuje ju vrcholový manažment a ako dôkazové objekty používa REG02, REG06, REG07, REG11 a REG12. Ústredným prvkom politiky je riadenie obsahu oznámení o ochrane údajov prostredníctvom REG07. Politika ustanovuje REG07 ako autoritatívny dôkazový objekt pre evidenciu oznámení, schvaľovanie, zverejňovanie, preskúmanie, jazyk a záznamy riadenia verzií. Pri spracúvaní prevádzkovateľom musia vlastníci procesov / vlastníci organizácie vytvoriť záznam oznámenia o ochrane údajov REG07 prepojený s príslušnou činnosťou spracúvania REG02 pred spustením každého nového kanála zberu PII, služby, formulára, kampane, produktu alebo funkcionality. Ak sa PII získava zo zdroja iného než dotknutá osoba, záznam sa musí vytvoriť pred prvou komunikáciou, pred prvým poskytnutím tretej strane alebo do 20 pracovných dní od získania PII, podľa toho, čo nastane skôr. Politika tiež vyžaduje, aby oznámenia odkazovali na aktuálne účely spracúvania REG02, odkazy na právny základ, kategórie PII, kategórie dotknutých osôb, kategórie zdrojov, kategórie príjemcov, odkazy na uchovávanie a odkazy na prenosy. Politika definuje štruktúrovaný životný cyklus schvaľovania a zverejňovania. Vlastníci procesov / vlastníci organizácie potvrdzujú presnosť a úplnosť obsahu oznámenia a pred zverejnením alebo aktiváciou kanála zberu predkladajú záznam REG07 na schválenie vedúcemu ochrany súkromia / manažérovi PIMS. Vedúci ochrany súkromia / manažér PIMS overuje súlad s REG02 a oznámenie schvaľuje alebo zamieta. Vlastníci systémov / vlastníci aplikácií môžu pred aktiváciou digitálnych kanálov zberu zverejniť iba schválenú verziu oznámenia REG07, zatiaľ čo vlastníci procesov / vlastníci organizácie musia pred zberom PII sprístupniť schválené oznámenia prostredníctvom nedigitálnych kanálov. Dôkazy o zverejnení vrátane umiestnenia a časovej pečiatky alebo rovnocenného dôkazu sa musia zaznamenať v REG07 do dvoch pracovných dní po zverejnení. Ak chýbajú požadované dôkazy o schválenom oznámení, nový kanál zberu prevádzkovateľa sa nesmie spustiť do produkčného prostredia. Kvalita transparentnosti sa rieši prostredníctvom kontrol jazyka, prístupnosti, verzií a zmien. Politika vyžaduje identifikáciu cieľových skupín dotknutých osôb a požadovaných jazykových verzií pred schválením. Vyžaduje dôkazy o zrozumiteľnom jazyku a vhodnosti pre cieľovú skupinu v REG07, preložené alebo lokalizované verzie pred zverejnením a paritu verzií medzi riadenou kópiou a lokalizovanými oznámeniami do 10 pracovných dní po podstatnej aktualizácii. Zastarané verzie oznámení sa musia odstrániť, presmerovať alebo označiť do piatich pracovných dní po zverejnení náhradnej verzie, pričom nahradené verzie, dátumy účinnosti, dôkazy o schválení a dôkazy o zverejnení sa musia uchovávať v REG07. Podstatné zmeny identity prevádzkovateľa, kontaktného miesta, účelu spracúvania, právneho základu, kategórií PII, kategórií príjemcov, odkazov na uchovávanie, odkazov na prenosy, kanálov žiadostí o uplatnenie práv, kanálov sťažností alebo kontaktov pre ochranu súkromia, jazykového pokrytia, kanálov zverejňovania alebo kontextu spracúvania spúšťajú kontroly aktualizácie oznámení. Politika zahŕňa aj požiadavky na správu, meranie, výnimky, uplatňovanie a údržbu. Aktívne oznámenia REG07 sa preskúmavajú najmenej raz ročne a do 30 dní po podstatných právnych, regulačných, zmluvných zmenách alebo zmenách spracúvania. Záznamy oznámení REG07 sa štvrťročne zosúlaďujú s účelmi spracúvania REG02, pričom nevyriešené nesúlady sa zaznamenávajú v REG12. Medzi metriky patrí percento aktívnych oznámení prepojených s aktuálnymi účelmi REG02, oznámenia preskúmané v lehote, oneskorené aktualizácie, nevyriešené nesúlady, zablokované alebo oneskorené kanály zberu, žiadosti zákazníkov o podporu pri oznámení o ochrane údajov dokončené načas a oznámenia s aktuálnymi dôkazmi o jazyku, verzii, schválení a zverejnení. Výnimky sa musia zaznamenať v REG12 pred vznikom odchýlok, pričom pri určených výnimkách súvisiacich s oznámeniami sa vyžaduje poradenstvo v oblasti ochrany súkromia a schválenie vrcholovým manažmentom. Chýbajúce, nepresné, nezverejnené, neschválené alebo zastarané dôkazy o oznámení sa zaznamenávajú ako nezhoda a podstatne nepresné alebo zavádzajúce oznámenia sa eskalujú zodpovednej osobe pre ochranu osobných údajov / poradcovi pre ochranu súkromia a vrcholovému manažmentu do dvoch pracovných dní od potvrdenia.