Politika varstva zasebnosti že pri načrtovanju in privzetega varstva zasebnosti

Politika varstva zasebnosti že pri načrtovanju in privzetega varstva zasebnosti določa, kako morajo biti zahteve glede zasebnosti vgrajene v nove in spremenjene dejavnosti obdelave PII znotraj obsega PIMS. Uporablja se za projekte, produkte, storitve, sisteme, aplikacije, integracije, nabavne dejavnosti in spremembe poslovnih procesov. Politika je pripravljena za kontekste upravljavca, skupnega upravljavca, obdelovalca in podobdelovalca, vključno s primeri, ko organizacija zasnuje, konfigurira, spreminja ali izvaja obdelavo v imenu naročnika, upravljavca ali nadrejenega obdelovalca na podlagi dokumentiranih navodil. Njen temeljni namen je zagotoviti, da so zahteve glede zasebnosti opredeljene, izvedene in podprte z dokazili, preden se obdelava PII začne ali bistveno spremeni. Politika posebej poudarja namen, nujnost, minimizacijo in privzete nastavitve, ki varujejo zasebnost. Lastniki procesov in lastniki podjetja morajo v REG02 in REG04 dokumentirati najmanjše kategorije PII, kategorije posameznikov, na katere se nanašajo osebno določljivi podatki, vire in namene, preden se odobri zasnova zbiranja ali uvoza. Lastniki sistemov in lastniki aplikacij morajo privzete nastavitve obdelave konfigurirati na najmanjši obseg zbiranja in obdelave PII, potreben za dokumentirani namen, ter pred prehodom v produkcijo zabeležiti dokazila v REG04. Neobvezna polja PII, neobvezne izbire obdelave, privzeto izklopljene nastavitve, nastavitve izpostavljenosti za prikaze in poročila ter obravnava začasnih datotek, predpomnilnikov, dnevnikov ali zapisov v pripravljalnem okolju se obravnavajo kot obveznosti glede zasebnosti v fazi zasnove, ne kot naknadni operativni popravki. Povezava s tveganji za zasebnost in DPIA je vgrajena v proces zasnove, ne da bi nadomestila ločeno metodologijo, določeno v PII07. Vodja zasebnosti / vodja PIMS mora potrditi, da sta tveganje za zasebnost in preverjanje potrebe po DPIA zabeleženi v REG04 pred odobritvijo zasnove za novo ali bistveno spremenjeno obdelavo PII. Ukrepi obravnave zasnove z vidika zasebnosti, lastniki in roki zapadlosti morajo biti zabeleženi pred zaključkom pregleda, dokazila o implementaciji pa morajo biti zajeta pred prehodom v produkcijo. Za obdelavo pri upravljavcu z visokim tveganjem ali bistveno spremenjeno obdelavo pri upravljavcu politika zahteva tudi pregled zasnove z vidika zasebnosti po implementaciji v REG04 v 30 koledarskih dneh po prehodu v produkcijo. Kadar so vprašanja zasnove manjkajoča, neučinkovita, zapadla ali obidena, se v REG12 odpre korektivni ukrep. Politika razširja varstvo zasebnosti že pri načrtovanju tudi na nabavo in razmerja s tretjimi osebami. Lastniki dobaviteljev in nabave morajo v REG08 pred odobritvijo nabave zabeležiti zahteve varstva zasebnosti že pri načrtovanju za dobavitelje, obdelovalce, podobdelovalce, storitve SaaS, platforme ali zunanje gostovane sisteme. Nujnost PII pri tretjih osebah, namen in najmanjše kategorije PII morajo biti dokumentirani pred zunanjo obdelavo, deljenjem podatkov ali odobritvijo nabave. Podpora dobaviteljev za privzete nastavitve zasebnosti, minimizacijo in potrebe glede naročnikove konfiguracije mora biti zabeležena pred uvajanjem dobaviteljev, nerešene vrzeli pri zasnovi zasebnosti pri dobaviteljih pa se eskalirajo v REG12 v petih delovnih dneh in pred podpisom pogodbe. Upravljanje, spremljanje, izvajanje in vzdrževanje so opredeljeni prek ponavljajočih se ciklov dokazil in pregledov. Vodja zasebnosti / vodja PIMS v REG12 predloži četrtletne povzetke statusa zasnove z vidika zasebnosti, izračuna metrike dokončanja in zapadlih ukrepov ter pred notranjo revizijo preveri, ali dokazila o zasnovi ostajajo združena v REG02, REG04, REG08 in REG12. Najvišje vodstvo med pregledom vodstva pregleda izjeme z velikim vplivom, blokirane odločitve o prehodu v produkcijo in ponavljajoče se ugotovitve. Določbe o izvajanju zahtevajo preprečitev prehoda v produkcijo, kadar pregled REG04 ni dokončan, preprečitev uvajanja, kadar dokazila REG08 niso prisotna, ter začasno ustavitev nove ali spremenjene obdelave PII, dokler niso dokončani pregled REG04, posodobitve REG02 in zahtevane izjeme REG12.