Policy för register över behandling av personuppgifter och rättslig grund

Policyn för register över behandling av personuppgifter och rättslig grund definierar hur en organisation upprätthåller sitt register över behandling av personuppgifter/RoPA och dokumenterar de centrala fakta som behövs för att visa ansvarsskyldig behandling inom PIMS-omfattningen. Den gäller alla behandlingsaktiviteter avseende personuppgifter inom omfattningen, inklusive behandling som utförs som personuppgiftsansvarig, gemensamt personuppgiftsansvarig, personuppgiftsbiträde eller underbiträde. Policyn omfattar behandling genom verksamhetsprocesser, system, applikationer, leverantörer, personuppgiftsbiträden, underbiträden och mottagare inom datadelning, och den gäller ny, väsentligt ändrad och avvecklad behandling. En behandlingsregisterpost definieras som en REG02-post som beskriver en separat behandlingsaktivitet avseende personuppgifter, inklusive dess ändamål, roll, ägare, kategorier av personuppgifter, kategorier av registrerade, hänvisning till rättslig grund eller kundinstruktion, system, mottagare, bevarandereferens, överföringsreferens, status för integritetsrisk och granskningsstatus. Ett centralt mål med policyn är att göra REG02 till det auktoritativa underlagsobjektet för registret över behandling av personuppgifter och register över behandlingsaktiviteter. Policyn kräver att en processägare eller verksamhetsägare skapar en REG02-post innan ny behandling av personuppgifter påbörjas och registrerar obligatoriska fält innan aktiviteten startar. Den kräver också att organisationens PIMS-roll klassificeras för varje aktivitet, och den kopplar system, applikationer, leverantörer, personuppgiftsbiträden, underbiträden, tredjepartsdelning och relationer med gemensamt personuppgiftsansvariga till relevant REG02-post. Detta skapar en strukturerad behandlingspost som kan kopplas till integritetsmeddelanden, samtycke, DPIA, risk, leverantörer, överföringar, kontroller och revisionsunderlag där det är tillämpligt. För aktiviteter där organisationen är personuppgiftsansvarig kräver policyn att det specifika behandlingsändamålet dokumenteras innan personuppgifter samlas in, används, lämnas ut eller på annat sätt behandlas. Den integritetsansvariga/PIMS-ansvariga ska validera den rättsliga grund som registrerats i REG02 innan behandling som personuppgiftsansvarig påbörjas och innan någon ändamålsändring börjar gälla. Policyn hanterar även särskilda situationer: samtycke ska kopplas till REG05, berättigade intressen ska hänvisa till REG04, särskilda kategorier av personuppgifter kräver ett registrerat villkor och uppgifter om fällande domar eller brott kräver en grund för tillstånd. För sammanhang där organisationen agerar personuppgiftsbiträde eller underbiträde kräver policyn att hänvisningar till kundinstruktioner, kundens ändamål, föremål, varaktighet, kategorier av personuppgifter och kategorier av registrerade registreras innan behandlingen påbörjas, med avtals- och instruktionsunderlag bevarat i REG08. Policyn definierar också hur registret hålls aktuellt. Väsentliga behandlingsändringar omfattar ändringar av ändamål, rättslig grund, PIMS-roll, kategori av personuppgifter, kategori av registrerade, mottagare, system, leverantör, underbiträde, behandlingsplats, överföring, bevaranderegel, säkerhetsklassificering, integritetsmeddelande, samtyckesberoende, DPIA-status, kundinstruktion eller certifieringsomfattning. REG02 ska uppdateras inom 10 arbetsdagar efter att en sådan ändring har identifierats, och screening av integritetsrisker och DPIA-screening ska initieras i REG04 innan ny eller väsentligt ändrad behandling fortsätter. Den integritetsansvariga/PIMS-ansvariga stämmer av REG02 mot REG01, REG03, REG04, REG08 och REG09 kvartalsvis, medan internrevision/granskare inom regelefterlevnad gör stickprov av fullständighet, korrekthet och aktualitet vid schemalagda granskningar. Styrning, mätning, undantag och tillämpning är inbyggda i policyn. Den integritetsansvariga/PIMS-ansvariga lämnar kvartalsvisa sammanfattningar av registrets hälsostatus i REG12, registrerar registermätetal, validerar nya REG02-poster och upprätthåller regler för minsta fältuppsättning och granskningsintervall. Högsta ledningen granskar fullständighet, försenade granskningar, större frågor om rättslig grund och olösta avvikelser under ledningens genomgång. Undantag ska begäras och bedömas i REG12, med utgångsdatum som inte överstiger 90 dagar, och vissa undantag kräver råd från dataskyddsombud/integritetsrådgivare och godkännande av högsta ledningen. Tillämpningen omfattar registrering av avvikelser, pausning av ny behandling när underlag saknas, blockering av produktionssättning av system eller leverantörsintroduktion när obligatorisk koppling saknas samt verifiering av effektiviteten i korrigerande åtgärder.