Politika upravljanja pravic posameznikov, na katere se nanašajo osebno določljivi podatki

Politika upravljanja pravic posameznikov, na katere se nanašajo osebno določljivi podatki, določa obvezen pristop organizacije k upravljanju zahtev posameznikov, na katere se nanašajo osebno določljivi podatki, ali njihovih pooblaščenih zastopnikov. Njeno področje uporabe zajema celoten življenjski cikel obravnave zahtev za uveljavljanje pravic: prejemanje, validacijo, ocenjevanje, izpolnjevanje, zavračanje, podaljševanje, zapiranje, spremljanje in dokazovanje zahtev. Uporablja se za dostop, popravek, izbris, omejitev, prenosljivost, ugovor, avtomatizirano sprejemanje odločitev, usmerjanje preklica privolitve, pritožbe in povezane poizvedbe. Politika je zasnovana za kontekste upravljavca, skupnega upravljavca, obdelovalca in podobdelovalca, pri čemer se obveznosti obdelovalca in podobdelovalca uporabljajo, kadar se upravljavcu, naročniku ali nadrejenemu obdelovalcu zagotavlja podpora na podlagi dokumentiranih navodil. Namen politike je zagotoviti, da se zahteve za uveljavljanje pravic posameznikov, na katere se nanašajo osebno določljivi podatki, obravnavajo dosledno, zakonito, varno, v opredeljenih rokih in z dokazili, pripravljenimi na revizijo. Zahteva, da se vsaka zahteva v dveh delovnih dneh od prejema evidentira v REG06 in razvrsti pred začetkom ocenjevanja. Zahtevana polja razvrstitve vključujejo vrsto zahteve, kanal zahteve, datum zahteve, referenco identitete vlagatelja zahteve, dodeljenega lastnika, interni rok, zakonski ali pogodbeni rok ter trenutni status. Za upravljavce mora vodja zasebnosti / vodja PIMS v petih delovnih dneh od vnosa potrditi prejem ali zagotoviti naslednjo zahtevano komunikacijo. Zahteve morajo biti pred dodelitvijo dejanj za izpolnitev povezane tudi z ustreznimi dejavnostmi obdelave REG02, s čimer se zagotovi, da odločitve o odgovorih temeljijo na evidencah dejavnosti obdelave, namenih, kategorijah osebno določljivih podatkov, sistemih, prejemnikih in omejitvah hrambe. Pomemben operativni poudarek je na preverjanju identitete in varnem ocenjevanju. Pred razkritjem osebno določljivih podatkov ali izvedbo zahtevanih sprememb mora vodja zasebnosti / vodja PIMS v REG06 preveriti identiteto vlagatelja zahteve ali pooblastilo zastopnika. Kadar identiteta ali pooblastilo nista zadostna, se sme zahtevati samo najmanjši obseg dodatnih informacij, potreben za preverjanje. Politika določa, da mora pooblaščena oseba za varstvo podatkov / svetovalec za zasebnost pregledati zahteve z visokim tveganjem, sporne, nejasne, pretirane, ponavljajoče se, zavrnjene ali delno izpolnjene zahteve, preden se odločitev sporoči. Zahteva tudi, da lastnik sistema / lastnik aplikacije pregleda izpiske za odgovor, da izključi nepovezane osebno določljive podatke in nepooblaščene podatke tretjih oseb, ter da vodja informacijske varnosti pregleda metode dostave, preden se razkrijejo osebno določljivi podatki velikega obsega, občutljivi podatki, posebne vrste podatkov ali osebno določljivi podatki z visokim tveganjem. Zahteve za izpolnitev so določene glede na naravo pravice. Lastniki podjetja morajo rezultate iskanja za dostop zagotoviti najpozneje deset delovnih dni pred rokom za odgovor. Lastniki sistemov morajo dokončati odobrene ukrepe popravka, izbrisa, omejitve ali zaviranja obdelave ter dokazila o dokončanju evidentirati v REG06. Paketi odgovorov za dostop in prenosljivost morajo biti dostavljeni z odobreno metodo, dokazilo o dostavi pa mora biti evidentirano pred zaprtjem. Zahteve za ugovor morajo biti ocenjene in evidentirane, preden se izpodbijana obdelava nadaljuje ali ustavi. Zahteve, ki vključujejo izključno avtomatizirane odločitve, zahtevajo pregled, preden organizacija zagotovi rezultat, pot človeškega pregleda ali utemeljitev zavrnitve. Kadar odobreni rezultati zahtevajo obveščanje obdelovalcev, podobdelovalcev, skupnih upravljavcev, prejemnikov ali strank pri deljenju podatkov, evidentiranih v REG08, mora lastnik za dobavitelje / nabavo uskladiti takšno obveščanje. Politika določa tudi zahteve glede upravljanja, merjenja, izjem in uveljavljanja. Vodja zasebnosti / vodja PIMS je odgovoren za delovni tok zahtev za uveljavljanje pravic, strukturo REG06, roke, pravila dodeljevanja in merila zaprtja, z najmanj enkrat letnim pregledom in posodobitvami po bistveni spremembi. Kazalniki vključujejo mesečno merjenje zahtev po vrsti, statusu, lastniku podjetja in dejavnosti obdelave, mesečno poročanje o zapadlih postavkah, četrtletno merjenje stopenj zavrnitev, delnih izpolnitev in podaljšanj ter četrtletni pregled ponavljajočih se tem, pritožb, sporov in korektivnih ukrepov. Načrtovane presoje morajo vzorčiti zaprte zapise REG06 ter ugotovitve o kakovosti dokazil, pravočasnosti in zaprtju evidentirati v REG12. Izjeme morajo biti pred implementacijo odobrene v REG12, z dodeljenimi datumi poteka, lastniki in kompenzacijskimi kontrolami. Določbe o uveljavljanju zahtevajo evidentiranje neskladnosti, eskalacijo nesodelovanja tretjih oseb, dodelitev lastništva korektivnih ukrepov s strani vodstva za sistemske odpovedi ter pregled REG10, kadar neskladnost kaže na nepooblaščeno razkritje, izgubo, spremembo, nerazpoložljivost ali drug sum incidenta v zvezi z osebno določljivimi podatki.