Politika popisa dejavnosti obdelave osebno določljivih podatkov in pravne podlage

Politika popisa dejavnosti obdelave osebno določljivih podatkov in pravne podlage določa, kako organizacija vzdržuje svoj popis dejavnosti obdelave osebno določljivih podatkov / RoPA in dokumentira ključna dejstva, potrebna za dokazovanje odgovorne obdelave znotraj obsega PIMS. Uporablja se za vse dejavnosti obdelave osebno določljivih podatkov v obsegu, vključno z obdelavo, ki se izvaja kot upravljavec, skupni upravljavec, obdelovalec ali podobdelovalec. Politika zajema obdelavo v poslovnih procesih, sistemih, aplikacijah, pri dobaviteljih, obdelovalcih, podobdelovalcih in prejemnikih pri deljenju podatkov ter se uporablja za novo, bistveno spremenjeno in umaknjeno obdelavo. Zapis v popisu dejavnosti obdelave je opredeljen kot vnos REG02, ki opisuje ločeno dejavnost obdelave osebno določljivih podatkov, vključno z njenim namenom, vlogo, lastnikom, kategorijami osebno določljivih podatkov, kategorijami posameznikov, na katere se nanašajo osebno določljivi podatki, sklicem na pravno podlago ali navodilo naročnika, sistemi, prejemniki, sklicem na hrambo, sklicem na prenos, statusom tveganja za zasebnost in statusom pregleda. Osrednji cilj politike je, da REG02 postane avtoritativni dokazni objekt za popis dejavnosti obdelave osebno določljivih podatkov in evidence dejavnosti obdelave. Politika zahteva, da lastnik procesa ali lastnik poslovnega področja ustvari zapis REG02 pred začetkom vsake nove obdelave osebno določljivih podatkov in pred začetkom dejavnosti evidentira zahtevana polja. Zahteva tudi, da se za vsako dejavnost razvrsti vloga organizacije v PIMS ter da se sistemi, aplikacije, dobavitelji, obdelovalci, podobdelovalci, deljenje s tretjimi osebami in razmerja skupnega upravljavca povežejo z ustreznim zapisom REG02. S tem nastane strukturirana evidenca obdelave, ki se lahko po potrebi poveže z obvestili o zasebnosti, privolitvijo, DPIA, tveganjem, dobavitelji, prenosi, kontrolami in revizijskimi dokazili. Za dejavnosti upravljavca politika zahteva, da je določen namen obdelave dokumentiran, preden se osebno določljivi podatki zbirajo, uporabljajo, razkrivajo ali drugače obdelujejo. Vodja zasebnosti / vodja PIMS mora pred začetkom obdelave v vlogi upravljavca in pred uveljavitvijo vsake spremembe namena potrditi pravno podlago, evidentirano v REG02. Politika obravnava tudi posebne primere: privolitev mora biti povezana z REG05, zakoniti interesi se morajo sklicevati na REG04, posebne kategorije osebno določljivih podatkov zahtevajo evidentiran pogoj, podatki o kazenskih obsodbah ali prekrških pa zahtevajo podlago za pooblastitev. V kontekstih obdelovalca in podobdelovalca politika zahteva, da se pred začetkom obdelave evidentirajo sklici na navodila naročnika, namen naročnika, predmet obdelave, trajanje, kategorije osebno določljivih podatkov in kategorije posameznikov, na katere se nanašajo osebno določljivi podatki, pri čemer se dokazila o dogovoru in navodilih vzdržujejo v REG08. Politika določa tudi, kako popis ostaja aktualen. Bistvene spremembe obdelave vključujejo spremembe namena, pravne podlage, vloge PIMS, kategorij osebno določljivih podatkov, kategorij posameznikov, na katere se nanašajo osebno določljivi podatki, prejemnika, sistema, dobavitelja, podobdelovalca, lokacije obdelave, prenosa, pravila hrambe, varnostne klasifikacije, obvestila o zasebnosti, odvisnosti od privolitve, statusa DPIA, navodila naročnika ali obsega certifikacije. REG02 mora biti posodobljen v 10 delovnih dneh po identifikaciji takšne spremembe, obravnava tveganj za zasebnost in preverjanje potrebe po DPIA pa se morata začeti v REG04, preden se nova ali bistveno spremenjena obdelava nadaljuje. Vodja zasebnosti / vodja PIMS četrtletno usklajuje REG02 z REG01, REG03, REG04, REG08 in REG09, medtem ko notranja revizija / pregledovalci skladnosti med načrtovanimi pregledi vzorčijo popolnost, točnost in ažurnost. Upravljanje, merjenje, izjeme in uveljavljanje so vgrajeni v politiko. Vodja zasebnosti / vodja PIMS v REG12 predloži četrtletne povzetke stanja popisa, evidentira metrike popisa, validira nove zapise REG02 ter vzdržuje pravila za minimalna polja in pogostost pregledov. Najvišje vodstvo med pregledom vodstva pregleda popolnost, zapadle preglede, večje težave s pravno podlago in nerešene neskladnosti. Izjeme je treba zahtevati in oceniti v REG12, datumi poteka pa ne smejo presegati 90 dni; določene izjeme zahtevajo nasvet pooblaščene osebe za varstvo podatkov / svetovalca za zasebnost in odobritev najvišjega vodstva. Uveljavljanje vključuje evidentiranje neskladnosti, začasno ustavitev nove obdelave, kadar dokazila manjkajo, blokiranje prehoda sistema v produkcijo ali uvajanja dobaviteljev, kadar zahtevane povezave niso vzpostavljene, ter preverjanje učinkovitosti korektivnih ukrepov.