Policy för insamling, användning, utlämnande och delning av personuppgifter

Policyn för insamling, användning, utlämnande och delning av personuppgifter definierar operativa krav för hur personligt identifierbar information samlas in, används, lämnas ut och delas inom PIMS-omfattningen. Dess uttalade syfte är att säkerställa att personuppgifter hanteras endast för dokumenterade, godkända, begränsade och ansvarsskyldiga ändamål. Policyn gäller i sammanhang med personuppgiftsansvariga, gemensamt personuppgiftsansvariga, personuppgiftsbiträden och underbiträden, och omfattar insamling genom direkta, indirekta, automatiserade, manuella, interna, externa och tredjepartskanaler. Den behandlar även godkänd intern användning av verksamhetsprocesser, system och applikationer, sekundär användning för nya eller väsentligt ändrade ändamål, externt utlämnande till mottagare och tredje parter samt både återkommande upplägg för datadelning och engångsutlämnanden. En central del av policyn är användningen av underlagsregister för att koppla integritetsbeslut till poster som kan granskas. REG02 används för behandlingsförteckning för personuppgifter, godkända ändamål, insamlingsregler, användningsregler och förenlighetsbedömningar för sekundär användning. REG08 används för register över personuppgiftsbiträden, underbiträden och datadelning, inklusive mottagarens identitet, mottagarens roll, ändamål med utlämnandet, kategorier av personuppgifter, delningsfrekvens, behandlingsplats och behörighetskälla. REG09 används när delning omfattar ett nytt land, en internationell organisation, plats för fjärråtkomst, mottagarens plats eller plats för vidareöverföring. REG12 används för undantag, avvikelser, revisionsiakttagelser, korrigerande åtgärder, blockerande frågor vid genomförande och poster från policygranskning. Policyn fastställer tydliga kontrollpunkter innan behandlingen börjar. Processägare eller verksamhetsägare ska registrera insamlingsändamål, källor eller kanaler, kategorier av personuppgifter, kategorier av registrerade och minsta dataelement i REG02 innan ny insamling eller väsentlig ändring börjar. De ska även dokumentera en nödvändighetsmotivering för varje dataelement som avser personuppgifter innan insamling. Systemägare eller applikationsägare får endast införa godkända insamlingsfält, arbetsflödesfält, rapporter, exporter eller utdata för utlämnande som motsvarar godkännandet i REG02 eller REG08. I sammanhang med personuppgiftsbiträden ska anpassning till kundinstruktion registreras innan kunders personuppgifter samlas in, används eller lämnas ut. Sekundär användning behandlas som ett styrt beslut och inte som en informell utvidgning av en befintlig aktivitet. Innan personuppgifter används för ett ändamål som inte redan är godkänt i REG02 ska processägaren eller verksamhetsägaren registrera en förenlighetsbedömning som omfattar det ursprungliga ändamålet, det föreslagna ändamålet, beroende av rättslig grund, kategorier av personuppgifter, förväntningar hos registrerade, motivering för minimering, påverkan på utlämnande eller överföring samt routning till andra PIMS-policyer vid behov. Privacy Lead eller PIMS-ansvarig ska registrera ett godkännande eller avslag innan den sekundära användningen börjar. När återkommande delning av känsliga personuppgifter, sårbara registrerade, poster med hög påverkan eller väsentligt ändrade förväntningar berörs ska råd från dataskyddsombud eller integritetsrådgivare registreras före godkännande. Styrning, mätning och tillämpning är inbyggda i policyn. Privacy Lead eller PIMS-ansvarig granskar regler för godkänd användning minst årligen, avstämmer godkända ändamål i REG02 mot aktiva delningsposter i REG08 minst årligen och registrerar resultat i REG12. Leverantörsansvariga eller upphandlingsansvariga avstämmer aktiva delningsposter i REG08 mot aktiva relationer med personuppgiftsbiträden, underbiträden, mottagare och datadelning minst kvartalsvis. Internrevision eller granskare av regelefterlevnad gör årliga stickprov på underlag i REG02, REG08 och REG09 och registrerar resultat i REG12. Icke-godkänd insamling, användning, utlämnande eller delning ska registreras som en avvikelse inom fem arbetsdagar, och behandlingen kan stoppas inom en arbetsdag om godkänt underlag saknas.