Politika obvestil o zasebnosti in preglednosti

Politika obvestil o zasebnosti in preglednosti določa zahteve organizacije za pripravo, odobritev, objavo, vzdrževanje, pregledovanje in dokazovanje obvestil o zasebnosti ter informacij o preglednosti za obdelavo osebno določljivih podatkov znotraj obsega PIMS. Njen navedeni namen je zagotoviti, da posamezniki, na katere se nanašajo osebno določljivi podatki, prejmejo »jasna, aktualna, dostopna in za revizijo primerna obvestila o zasebnosti pred zahtevano točko v življenjskem ciklu obdelave osebno določljivih podatkov ali ob njej«. Politika se uporablja za obdelavo pri upravljavcu, informacije o preglednosti pri skupnem upravljavcu ter podporo obdelovalca ali podobdelovalca pri obveznostih upravljavca glede obvestil, kadar organizacija deluje na podlagi dokumentiranih navodil naročnika ali obdelovalca. Lastnik politike je vodja zasebnosti / vodja PIMS, odobri jo najvišje vodstvo, kot dokazne objekte pa uporablja REG02, REG06, REG07, REG11 in REG12. Osrednja značilnost politike je nadzor vsebine obvestil o zasebnosti prek REG07. Politika vzpostavlja REG07 kot avtoritativni dokazni objekt za zapise o popisu obvestil, odobritvi, objavi, pregledu, jeziku in nadzoru različic. Pri obdelavi pri upravljavcu morajo lastniki procesov / poslovni lastniki ustvariti zapis obvestila o zasebnosti REG07, povezan z ustrezno dejavnostjo obdelave REG02, preden se uvede kateri koli nov kanal za zbiranje osebno določljivih podatkov, storitev, obrazec, kampanja, produkt ali funkcionalnost. Kadar so osebno določljivi podatki pridobljeni iz vira, ki ni posameznik, na katerega se nanašajo osebno določljivi podatki, mora biti zapis ustvarjen pred prvo komunikacijo, pred prvim razkritjem tretji osebi ali v 20 delovnih dneh od pridobitve osebno določljivih podatkov, kar nastopi prej. Politika zahteva tudi, da so obvestila povezana z aktualnimi nameni obdelave REG02, sklici na pravno podlago, kategorijami osebno določljivih podatkov, kategorijami posameznikov, na katere se nanašajo osebno določljivi podatki, kategorijami virov, kategorijami prejemnikov, sklici na hrambo in sklici na prenose. Politika določa strukturiran življenjski cikel odobritve in objave. Lastniki procesov / poslovni lastniki potrdijo točnost in popolnost vsebine obvestila ter pred objavo ali aktivacijo kanala za zbiranje predložijo zapis REG07 v odobritev vodji zasebnosti / vodji PIMS. Vodja zasebnosti / vodja PIMS preveri skladnost z REG02 in obvestilo odobri ali zavrne. Lastniki sistemov / lastniki aplikacij smejo objaviti samo odobreno različico obvestila REG07 pred omogočanjem digitalnih kanalov za zbiranje, lastniki procesov / poslovni lastniki pa morajo odobrena obvestila zagotoviti prek nedigitalnih kanalov, preden se osebno določljivi podatki začnejo zbirati. Dokazila o objavi, vključno z lokacijo in časovnim žigom ali enakovrednim dokazilom, morajo biti zabeležena v REG07 v dveh delovnih dneh po objavi. Če zahtevana dokazila o odobrenem obvestilu manjkajo, novi kanal upravljavca za zbiranje podatkov ne sme preiti v produkcijo. Kakovost preglednosti se obravnava prek kontrol jezika, dostopnosti, različic in sprememb. Politika zahteva opredelitev ciljnih skupin posameznikov, na katere se nanašajo osebno določljivi podatki, in zahtevanih jezikovnih različic pred odobritvijo. Zahteva dokazila o jasnosti jezika in primernosti za ciljno skupino v REG07, prevedene ali lokalizirane različice pred objavo ter enakovrednost različic med izvirnimi in lokaliziranimi obvestili v 10 delovnih dneh po bistveni posodobitvi. Zastarele različice obvestil morajo biti odstranjene, preusmerjene ali označene v petih delovnih dneh po objavi nadomestne različice, nadomeščene različice, datumi začetka veljavnosti, dokazila o odobritvi in dokazila o objavi pa morajo biti hranjeni v REG07. Kontrole posodobitve obvestil sprožijo bistvene spremembe identitete upravljavca, kontaktne točke, namena obdelave, pravne podlage, kategorij osebno določljivih podatkov, kategorij prejemnikov, sklicev na hrambo, sklicev na prenose, kanalov za zahteve za uveljavljanje pravic, pritožbenih kanalov ali kontaktnih kanalov za zasebnost, jezikovne pokritosti, kanalov objave ali konteksta obdelave. Politika vključuje tudi zahteve glede upravljanja, merjenja, izjem, uveljavljanja in vzdrževanja. Aktivna obvestila REG07 se pregledajo najmanj enkrat letno in v 30 dneh po bistvenih pravnih, regulativnih, pogodbenih spremembah ali spremembah obdelave. Zapisi obvestil REG07 se četrtletno uskladijo z nameni obdelave REG02, nerešena neskladja pa se zabeležijo v REG12. Kazalniki vključujejo odstotek aktivnih obvestil, povezanih z aktualnimi nameni REG02, obvestila, pregledana do roka zapadlosti, zapoznele posodobitve, nerešena neskladja, blokirane ali zakasnjene kanale za zbiranje, pravočasno zaključene zahteve naročnikov za podporo pri obvestilih ter obvestila z aktualnimi dokazili o jeziku, različici, odobritvi in objavi. Izjeme morajo biti zabeležene v REG12, preden pride do odstopanj, za določene izjeme, povezane z obvestili, pa sta zahtevana nasvet s področja zasebnosti in odobritev najvišjega vodstva. Manjkajoča, netočna, neobjavljena, neodobrena ali zastarela dokazila o obvestilih se zabeležijo kot neskladnost, bistveno netočna ali zavajajoča obvestila pa se v dveh delovnih dneh po potrditvi eskalirajo pooblaščeni osebi za varstvo podatkov / svetovalcu za zasebnost in najvišjemu vodstvu.