Policy för integritetsmeddelande och transparens

Policyn för integritetsmeddelande och transparens definierar organisationens krav för att skapa, godkänna, publicera, underhålla, granska och belägga integritetsmeddelanden och transparensinformation för behandling av personuppgifter inom PIMS-omfattningen. Det angivna syftet är att säkerställa att registrerade får ”tydliga, aktuella, tillgängliga och granskningsbara integritetsmeddelanden före eller vid den erforderliga tidpunkten i livscykeln för behandling av personuppgifter”. Policyn gäller för behandling hos personuppgiftsansvarig, transparensinformation vid gemensamt personuppgiftsansvar och stöd från personuppgiftsbiträde eller underbiträde för personuppgiftsansvarigs skyldigheter avseende integritetsmeddelanden när organisationen agerar enligt dokumenterade kundinstruktioner eller instruktioner från personuppgiftsbiträde. Den ägs av integritetsansvarig / PIMS-ansvarig, godkänns av högsta ledningen och använder REG02, REG06, REG07, REG11 och REG12 som underlagsobjekt. En central del av policyn är styrningen av innehåll i integritetsmeddelanden genom REG07. Policyn fastställer REG07 som det auktoritativa underlagsobjektet för förteckning över integritetsmeddelanden, godkännande, publicering, granskning, språk och poster för versionshantering. För behandling hos personuppgiftsansvarig ska processägare / verksamhetsägare skapa en REG07-post för integritetsmeddelande kopplad till den relevanta REG02-behandlingsaktiviteten innan en ny kanal, tjänst, blankett, kampanj, produkt eller funktion för insamling av personuppgifter lanseras. Om personuppgifter erhålls från en annan källa än den registrerade ska posten skapas före den första kommunikationen, före det första utlämnandet till tredje part eller inom 20 arbetsdagar från att personuppgifterna erhölls, beroende på vilket som inträffar först. Policyn kräver också att integritetsmeddelanden kopplas till aktuella REG02-behandlingsändamål, referenser till rättslig grund, kategorier av personuppgifter, kategorier av registrerade, källkategorier, mottagarkategorier, referenser till bevarande och referenser till överföringar. Policyn definierar en strukturerad livscykel för godkännande och publicering. Processägare / verksamhetsägare intygar att innehållet i integritetsmeddelandet är korrekt och fullständigt och lämnar in REG07-posten för godkännande av integritetsansvarig / PIMS-ansvarig före publicering eller aktivering av insamlingskanal. Integritetsansvarig / PIMS-ansvarig verifierar överensstämmelse med REG02 och godkänner eller avslår integritetsmeddelandet. Systemägare / applikationsägare får endast publicera den godkända REG07-versionen av integritetsmeddelandet innan digitala insamlingskanaler aktiveras, medan processägare / verksamhetsägare ska göra godkända integritetsmeddelanden tillgängliga via icke-digitala kanaler innan personuppgifter samlas in. Publiceringsunderlag, inklusive plats och tidsstämpel eller likvärdigt bevismaterial, ska registreras i REG07 inom två arbetsdagar efter publicering. Om erforderligt godkänt underlag för integritetsmeddelande saknas får den nya insamlingskanalen hos personuppgiftsansvarig inte tas i produktion. Transparenskvalitet hanteras genom språk-, tillgänglighets-, versions- och ändringskontroller. Policyn kräver att målgrupper av registrerade och erforderliga språkversioner identifieras före godkännande. Den kräver underlag i REG07 för tydligt språk och lämplighet för målgruppen, översatta eller lokaliserade versioner före publicering och versionsöverensstämmelse mellan huvudversion och lokaliserade integritetsmeddelanden inom 10 arbetsdagar efter en väsentlig uppdatering. Föråldrade versioner av integritetsmeddelanden ska tas bort, omdirigeras eller märkas inom fem arbetsdagar efter att ersättande version har publicerats, medan ersatta versioner, ikraftträdandedatum, godkännandeunderlag och publiceringsunderlag ska bevaras i REG07. Väsentliga ändringar av personuppgiftsansvarigs identitet, kontaktpunkt, behandlingsändamål, rättslig grund, kategorier av personuppgifter, mottagarkategorier, referenser till bevarande, referenser till överföringar, kanaler för rättighetsbegäran, klagomåls- eller integritetskontaktkanaler, språktäckning, publiceringskanaler eller behandlingskontext utlöser kontroller för uppdatering av integritetsmeddelanden. Policyn omfattar även krav på styrning, mätning, undantag, efterlevnad och underhåll. Aktiva REG07-integritetsmeddelanden granskas minst årligen och inom 30 dagar efter väsentliga rättsliga, regulatoriska, avtalsmässiga eller behandlingsrelaterade ändringar. REG07-poster för integritetsmeddelanden stäms av mot REG02-behandlingsändamål kvartalsvis, och olösta avvikelser registreras i REG12. Mätetal omfattar andelen aktiva integritetsmeddelanden som är kopplade till aktuella REG02-ändamål, integritetsmeddelanden som granskats senast på förfallodagen, försenade uppdateringar, olösta avvikelser, blockerade eller försenade insamlingskanaler, kunders stödbegäranden avseende integritetsmeddelanden som slutförts i tid samt integritetsmeddelanden med aktuellt språk-, versions-, godkännande- och publiceringsunderlag. Undantag ska registreras i REG12 innan avsteg sker, med erforderlig integritetsrådgivning och godkännande från högsta ledningen för angivna undantag som rör integritetsmeddelanden. Saknat, felaktigt, opublicerat, icke godkänt eller föråldrat underlag för integritetsmeddelanden registreras som en avvikelse, och väsentligt felaktiga eller vilseledande integritetsmeddelanden eskaleras till dataskyddsombudet / integritetsrådgivaren och högsta ledningen inom två arbetsdagar efter bekräftelse.