Политика за международни прехвърляния на лични данни

Политиката за международни прехвърляния на лични данни установява изисквания за идентифициране, одобряване, записване, преглед, ограничаване и спиране на международни прехвърляния на лични данни. Тя се прилага за дейности на администратор, съвместен администратор, обработващ лични данни и подизпълнител по обработване, при които лични данни се предоставят, достъпват, съхраняват, хостват, разкриват или по друг начин се прехвърлят извън одобрената граница на обработването, записана в REG02 или REG09. Обхватът включва вътрешни свързани дружества, външни получатели, обработващи лични данни, подизпълнители по обработване, доставчици на услуги, достъп за поддръжка, хостинг локации, отдалечено администриране, последващи предавания, искания за разкриване от публични органи и промени в услуги, свързани с прехвърляния. Централна характеристика на политиката е нейният основан на доказателства подход. Политиката посочва, че международните прехвърляния трябва да бъдат идентифицирани преди започване или промяна на обработването и че одобрените записи за прехвърляне трябва да се поддържат в REG09. REG09 е основният доказателствен обект за прехвърляния, докато REG02, REG08 и REG12 предоставят поддържащи доказателства за дейностите по обработване, взаимоотношенията с доставчици и обработващи лични данни, изключенията, несъответствията, коригиращите действия и прегледа от ръководството. Задължителните полета в REG09 включват дестинация на прехвърлянето, получател, роля в СУНЛИ, механизъм за прехвърляне, поддържащи доказателства, дата на преглед и собственик. Тази структура има за цел да подпомогне организацията да демонстрира отчетно управление на прехвърлянията, без да създава дублиращи регистри за оценка на въздействието от прехвърлянето или стандартни договорни клаузи (SCC). Политиката определя контроли за избор и одобрение на механизма за прехвърляне и за преглед на риска. При прехвърляния от администратор ръководителят по защита на личните данни / мениджърът на СУНЛИ записва одобрения механизъм за прехвърляне и поддържащите доказателства в REG09 преди започване на прехвърлянето. Длъжностното лице по защита на данните / съветникът по поверителност преглежда доказателствата за механизма за прехвърляне преди одобрение на нови, съществено променени или по-високорискови международни прехвърляния на лични данни и извършва преглед на риска при прехвърляне, когато е задействан. Когато се разчита на технически предпазни мерки, ръководителят по информационна сигурност записва статуса на зависимостта от техническите предпазни мерки в REG09 или REG12. Ако остатъчният риск при прехвърляне е висок, висшето ръководство трябва да одобри продължаването на операцията по прехвърляне в REG12, преди този риск да бъде приет. Управлението на обработващи лични данни, подизпълнители по обработване и последващи предавания също е разгледано. Собственикът по доставчици / набавяне трябва да получи документирано разрешение или нареждане от клиента в REG08 и REG09 преди започване на международни прехвърляния на лични данни от обработващ лични данни, да запише разрешението за подизпълнител по обработване и условията за прехвърляне на задължения надолу по веригата и да предотврати последващо предаване от обработващ лични данни или подизпълнител по обработване, докато разрешението от клиента не бъде записано. Политиката също така изисква маршрутите за последващи предавания, категориите получатели, ограниченията и задълженията да бъдат записани преди одобрение. Исканията за разкриване от чуждестранни публични органи трябва да бъдат записани в REG09 или REG12 преди разкриването, когато това е практически възможно, или в срок до един работен ден, когато предварителното записване не е практически възможно, а исканията със съществено значение за поверителността трябва да получат преглед от съветник по поверителност, когато това е практически възможно. Текущото управление се осъществява чрез определени изисквания за преглед, измерване, изключения и прилагане на политиката. Активните записи за прехвърляне се преглеждат най-малко ежегодно и в срок до 30 дни след съществена промяна в прехвърлянето, докато ръководителят по защита на личните данни / мениджърът на СУНЛИ преглежда просрочените прегледи на прехвърляния, непълните записи, спрените прехвърляния и отворените изключения за прехвърляне най-малко на тримесечна база. Показателите включват процента на активните записи REG09 с пълни доказателства за механизъм за прехвърляне, просрочени прегледи на прехвърляния, спрени или отложени прехвърляния, просрочени доказателства за обработващи лични данни или трети страни и несъпоставени дейности по обработване в REG02 с потенциални индикатори за международно прехвърляне. Изключенията трябва да бъдат записани в REG12 преди активирането им, да имат определен собственик, дата на изтичане, компенсиращ контрол и честота на преглед и да се преглеждат най-малко ежемесечно до приключване. Несъответствия трябва да се записват, когато бъдат установени незаписани прехвърляния, неподкрепени механизми, липсващо разрешение, просрочени прегледи, липсващи доказателства за последващи предавания или неразрешено продължаване.