Policy för hantering av registrerades rättigheter

Policyn för hantering av registrerades rättigheter fastställer organisationens obligatoriska arbetssätt för att hantera begäranden från registrerade eller deras behöriga företrädare. Omfattningen täcker hela livscykeln för hantering av rättighetsbegäranden: mottagande, validering, utvärdering, tillgodoseende, avslag, förlängning, stängning, övervakning och dokumentation av underlag. Den gäller åtkomst, rättelse, radering, begränsning, dataportabilitet, invändning, automatiserat beslutsfattande, dirigering av återkallelse av samtycke, klagomål och relaterade förfrågningar. Policyn är utformad för sammanhang med personuppgiftsansvarig, gemensamt personuppgiftsansvariga, personuppgiftsbiträde och underbiträde, där skyldigheter för personuppgiftsbiträde och underbiträde gäller när stöd lämnas till en personuppgiftsansvarig, kund eller uppströms personuppgiftsbiträde enligt dokumenterade instruktioner. Policyns syfte är att säkerställa att registrerades rättighetsbegäranden hanteras konsekvent, lagenligt, säkert, inom fastställda tidsramar och med underlag som ger beredskap för revision. Den kräver att varje begäran registreras i REG06 inom två arbetsdagar från mottagandet och klassificeras innan utvärderingen påbörjas. Obligatoriska klassificeringsfält omfattar typ av begäran, kanal för begäran, datum för begäran, identitetsreferens för begärande part, tilldelad ägare, intern förfallodag, lagstadgad eller avtalsenlig förfallodag och aktuell status. För personuppgiftsansvariga ska Dataskyddsansvarig / PIMS-ansvarig bekräfta mottagandet eller lämna nästa obligatoriska kommunikation inom fem arbetsdagar från mottagandet. Begäranden ska också kopplas till relevanta REG02-behandlingsaktiviteter innan åtgärder för tillgodoseende tilldelas, så att svarsbeslut grundas på behandlingsregister, ändamål, kategorier av personuppgifter, system, mottagare och begränsningar för bevarande. En viktig operativ tyngdpunkt är identitetsverifiering och säker utvärdering. Innan personuppgifter lämnas ut eller begärda ändringar görs ska Dataskyddsansvarig / PIMS-ansvarig verifiera den begärande partens identitet eller företrädarens behörighet i REG06. Om identitet eller behörighet är otillräcklig får endast den minsta mängd ytterligare information som behövs för verifiering begäras. Policyn tilldelar högriskbegäranden samt tvistiga, oklara, överdrivna, upprepade, avslagna eller delvis tillgodosedda begäranden till dataskyddsombud (DPO) / integritetsrådgivare för granskning innan beslutet kommuniceras. Den kräver även att systemägare / applikationsägare granskar svarsutdrag för att utesluta orelaterade personuppgifter och obehöriga tredjepartsdata, samt att informationssäkerhetsansvarig granskar leveransmetoder innan stora volymer, känsliga, särskilda kategorier eller högriskpersonuppgifter lämnas ut. Kraven på tillgodoseende är specifika för rättighetens art. Verksamhetsägare ska tillhandahålla sökresultat för åtkomst senast tio arbetsdagar före svarsfristen. Systemägare ska slutföra godkända åtgärder för rättelse, radering, begränsning eller undertryckning och registrera underlag för genomförande i REG06. Svarspaket för åtkomst och dataportabilitet ska levereras genom en godkänd metod, med leveransunderlag registrerat före stängning. Invändningar ska utvärderas och registreras innan den ifrågasatta behandlingen fortsätter eller stoppas. Begäranden som avser enbart automatiserade beslut kräver granskning innan organisationen lämnar ett resultat, en väg för mänsklig granskning eller en motivering till avslag. När godkända resultat kräver underrättelse till personuppgiftsbiträden, underbiträden, gemensamt personuppgiftsansvariga, mottagare eller parter i datadelning som registrerats i REG08 ska leverantörs-/upphandlingsägaren samordna denna underrättelse. Policyn definierar även krav på styrning, mätning, undantag och tillämpning. Dataskyddsansvarig / PIMS-ansvarig äger arbetsflödet för rättighetsbegäranden, REG06-strukturen, tidsfrister, tilldelningsregler och stängningskriterier, med minst årlig granskning och uppdateringar efter väsentlig ändring. Mätetal omfattar månatlig mätning av begäranden efter typ, status, verksamhetsägare och behandlingsaktivitet, månatlig rapportering av försenade ärenden, kvartalsvis mätning av avslag, delvis tillgodoseende och förlängningsgrader samt kvartalsvis granskning av återkommande teman, klagomål, tvister och korrigerande åtgärder. Planerade revisioner ska göra urval av stängda REG06-poster och registrera iakttagelser om underlagets kvalitet, tidsenlighet och stängning i REG12. Undantag ska godkännas i REG12 före genomförande, med utgångsdatum, ägare och kompenserande kontroller tilldelade. Bestämmelser om tillämpning kräver avvikelser, eskalering av bristande samarbete från tredje part, ledningens tilldelning av ägarskap för korrigerande åtgärder vid systematiska fel och REG10-granskning när en avvikelse tyder på obehörigt röjande, förlust, ändring, otillgänglighet eller annan misstänkt personuppgiftsincident.