Политика за управление на поверителността при обработващи лични данни, подизпълнители по обработване и трети страни

Политиката за управление на поверителността при обработващи лични данни, подизпълнители по обработване и трети страни определя как организацията управлява външни страни, които обработват, достъпват, получават, съхраняват, предават, поддържат или по друг начин боравят с лични данни в рамките на обхвата на СУНЛИ. Тя се прилага, когато организацията действа като администратор на лични данни, използващ обработващи лични данни, като съвместен администратор, изискващ класификация на ролите, като обработващ лични данни, използващ подизпълнители по обработване или подизпълнители, и като подизпълнител по обработване, получаващ нареждания на клиента. Политиката обхваща и взаимоотношения с трети страни, изискващи надлежна проверка във връзка с поверителността, договорни контроли, документирани инструкции, одобрение на подизпълнител по обработване, мониторинг, уверение, интерфейс за инциденти, връзка с предавания, връщане, изтриване и доказателства при изход. Основна характеристика на политиката е използването на REG08 — Регистър на обработващите лични данни, подизпълнителите по обработване и споделянето на данни — като основен доказателствен обект за управление на поверителността при обработващи лични данни, подизпълнители по обработване и трети страни. Политиката изисква Ръководителят по поверителност / Мениджърът на СУНЛИ да определя минималните полета в REG08 и да класифицира взаимоотношенията с трети страни във връзка с поверителността като администратор, съвместен администратор, обработващ лични данни, подизпълнител по обработване или друго взаимоотношение с трета страна преди одобрение на договор или преди да започне обработването на лични данни. Тя също така изисква Собственикът на доставчиците / набавянето да блокира въвеждането, подновяването или разширяването, докато REG08 не бъде попълнен и свързан със записи като REG02, REG04, REG09 или REG10, когато тези доказателствени обекти са задействани. Това създава документирана връзка между управлението на взаимоотношенията, инвентара на обработването, записите за риск и DPIA, доказателствата за международни предавания, записите за инциденти и коригиращи действия. Политиката определя подробни изисквания за надлежна проверка, оценка на риска и договорен контрол. Надлежната проверка във връзка с поверителността трябва да бъде завършена преди избор, подновяване или съществена промяна на взаимоотношение с обработващ лични данни, подизпълнител по обработване или трета страна, което обработва или достъпва лични данни. Доказателствата за уверение за сигурността трябва да бъдат прегледани от Ръководителя по информационна сигурност преди одобрение, а високорисковите взаимоотношения с обработващи лични данни или съществените промени във взаимоотношение с трета страна във връзка с поверителността задействат третиране на риска за поверителността и проверка за необходимост от DPIA в REG04. Контролите за договори и документирани инструкции са разграничени за контексти на администратор и обработващ лични данни. Когато действа като администратор, организацията трябва да запише писмен договор с обработващ лични данни или еквивалентно обвързващо споразумение, преди обработващият лични данни да борави с лични данни. Когато действа като обработващ лични данни, споразуменията с клиента или документираните нареждания на клиента трябва да определят разрешения обхват на обработване, преди личните данни на клиента да бъдат обработвани. Политиката също така изисква договорно покритие за съдействие, уверение за сигурността, интерфейс за инциденти чрез PII15, връщане или изтриване чрез PII10, връзка с предавания чрез PII13 и сътрудничество при одит или уверение. Управлението на подизпълнители по обработване и подизпълнители е разгледано чрез конкретни изисквания за одобрение, уведомление, прехвърляне на задължения надолу по веригата и мониторинг. Собственикът на доставчиците / набавянето трябва да поддържа списък на подизпълнителите по обработване и подизпълнителите в REG08, да проверява разрешението от клиента преди ангажиране, да уведомява клиентите за планирани нови или заместващи подизпълнители по обработване съгласно приложимото споразумение и да осигурява прехвърляне на задължения надолу по веригата относно поверителност, сигурност, съдействие, връщане, изтриване, интерфейс за инциденти и връзка с предавания, преди който и да е подизпълнител по обработване да обработва лични данни. Уведомленията от страна на администратора за промяна на подизпълнител по обработване също трябва да се проследяват, като решенията за одобрение, възражение или ескалация се записват в REG08 в рамките на договорния срок за възражение или в рамките на 10 работни дни след получаване на уведомлението, който от двата срока е по-кратък. Политиката завършва жизнения цикъл чрез текущ мониторинг, обработване на искания за съдействие, записване на разкривания, връзка с инциденти, връзка с предавания, доказателства при изход, изключения, прилагане и преглед. Високорисковите взаимоотношения с обработващи лични данни и подизпълнители по обработване се наблюдават на тримесечна база, докато другите активни взаимоотношения с обработващи лични данни и подизпълнители по обработване се наблюдават ежегодно. Исканията за съдействие във връзка с права на субекта на данни, DPIA, доказателства за сигурност, одити или искания от клиенти за потвърждение на контролите трябва да бъдат координирани чрез REG08 и свързани с REG06, REG04 или REG12, когато е приложимо. Уведомленията за инциденти, свързани с доставчици и поверителност, се насочват към REG10 съгласно PII15 в рамките на един работен ден, а доказателствата за връщане, изтриване, унищожаване или преход трябва да бъдат получени в рамките на 30 дни след прекратяване, изтичане, нареждане на клиента или одобрено събитие при изход, освен ако се прилага по-кратък договорен срок. Изключенията са времево ограничени, изискват оценка на въздействието върху поверителността и може да изискват одобрение от висше ръководство, когато са засегнати високорисково обработване, липсващи договорни доказателства, пропуски във връзката с предаванията или сертификационен обхват.