Policy för inbyggt dataskydd och dataskydd som standard

Policyn för inbyggt dataskydd och dataskydd som standard definierar hur integritetskrav ska byggas in i nya och ändrade behandlingsaktiviteter för personuppgifter inom PIMS-omfattningen. Den gäller för projekt, produkter, tjänster, system, applikationer, integrationer, upphandlingsaktiviteter och ändringar av verksamhetsprocesser. Policyn är utformad för sammanhang med personuppgiftsansvarig, gemensamt personuppgiftsansvar, personuppgiftsbiträde och underbiträde, inklusive situationer där organisationen utformar, konfigurerar, ändrar eller driver behandling för en kunds, personuppgiftsansvarigs eller uppströms personuppgiftsbiträdes räkning enligt dokumenterade instruktioner. Dess huvudsakliga syfte är att säkerställa att integritetskrav identifieras, genomförs och beläggs innan behandling av personuppgifter påbörjas eller ändras väsentligt. Policyn betonar särskilt ändamål, nödvändighet, minimering och dataskyddsvänliga standardinställningar. Processägare och verksamhetsägare ska dokumentera minsta kategorier av personuppgifter, kategorier av registrerade, källor och ändamål i REG02 och REG04 innan designgodkännande för insamling eller import. Systemägare och applikationsägare ska konfigurera standardinställningar för behandling till den minsta insamling och behandling av personuppgifter som behövs för det dokumenterade ändamålet och ska registrera underlag i REG04 innan produktionssättning. Frivilliga personuppgiftsfält, frivilliga behandlingsval, inställningar som är avstängda som standard, exponeringsinställningar för vyer och rapporter samt hantering av tillfälliga filer, cacheminnen, loggar eller stagingposter behandlas alla som integritetsförpliktelser i designfasen snarare än operativa korrigeringar i efterhand. Koppling till integritetsrisker och DPIA är inbyggd i designprocessen utan att ersätta den separata metodik som definieras i PII07. Integritetsansvarig / PIMS-ansvarig ska bekräfta att integritetsrisker och DPIA-screening registreras i REG04 före designgodkännande för ny eller väsentligt ändrad behandling av personuppgifter. Åtgärder, ägare och förfallodagar för hantering av integritetsdesign ska registreras innan granskningen stängs, och genomförandeunderlag ska fångas innan produktionssättning. För behandling med hög risk eller väsentligt ändrad behandling där organisationen är personuppgiftsansvarig kräver policyn även en efterkontroll av inbyggt dataskydd i REG04 inom 30 kalenderdagar efter produktionssättning. När designfrågor saknas, är ineffektiva, försenade eller förbigås öppnas en korrigerande åtgärd i REG12. Policyn utvidgar även inbyggt dataskydd till upphandling och tredjepartsrelationer. Leverantörsansvariga och upphandlingsansvariga ska registrera krav på inbyggt dataskydd för leverantörer, personuppgiftsbiträden, underbiträden, SaaS-tjänster, plattformar eller externt driftade system i REG08 före upphandlingsgodkännande. Tredjepartsbehov av personuppgifter, ändamål och minsta kategorier av personuppgifter ska dokumenteras före extern behandling, datadelning eller upphandlingsgodkännande. Leverantörsstöd för dataskyddsvänliga standardinställningar, minimering och kundens konfigurationsbehov ska registreras före introduktion, medan olösta leverantörsluckor avseende inbyggt dataskydd eskaleras till REG12 inom fem arbetsdagar och före avtalstecknande. Styrning, övervakning, efterlevnad och underhåll definieras genom återkommande underlag och granskningscykler. Integritetsansvarig / PIMS-ansvarig lämnar kvartalsvisa statussammanställningar om inbyggt dataskydd i REG12, beräknar mätetal för slutförande och försenade åtgärder samt verifierar att designunderlag förblir konsoliderade i REG02, REG04, REG08 och REG12 före internrevision. Högsta ledningen granskar undantag med hög påverkan, blockerade beslut om produktionssättning och återkommande iakttagelser vid ledningens genomgång. Bestämmelser om efterlevnad kräver att produktionssättning förhindras när REG04-granskningen är ofullständig, att introduktion förhindras när REG08-underlag saknas och att ny eller ändrad behandling av personuppgifter stoppas tills REG04-granskning, REG02-uppdateringar och nödvändiga REG12-undantag är slutförda.