Politika mezinárodního předávání PII

Politika mezinárodního předávání PII stanoví požadavky na identifikaci, schvalování, zaznamenávání, přezkoumávání, omezování a pozastavování mezinárodního předávání PII. Vztahuje se na činnosti správce, společného správce, zpracovatele a dílčího zpracovatele, při nichž jsou PII zpřístupněny, přístupné z jiného místa, uloženy, hostovány, sděleny nebo jinak předány mimo schválenou hranici zpracování zaznamenanou v REG02 nebo REG09. Rozsah zahrnuje interní přidružené společnosti, externí příjemce, zpracovatele, dílčí zpracovatele, poskytovatele služeb, podpůrný přístup, hostingová umístění, vzdálenou správu, další předání, žádosti orgánů veřejné moci o zpřístupnění osobních údajů a změny služeb související s předáváním. Ústředním prvkem politiky je přístup založený na důkazech. Politika stanoví, že mezinárodní předávání musí být identifikováno před zahájením nebo změnou zpracování a že schválené záznamy o předávání musí být udržovány v REG09. REG09 je primární důkazní objekt pro předávání, zatímco REG02, REG08 a REG12 poskytují podpůrné důkazy pro činnosti zpracování, vztahy s dodavateli a zpracovateli, výjimky, neshody, nápravná opatření a přezkoumání vedením. Požadovaná pole REG09 zahrnují cílovou zemi nebo umístění předávání, příjemce, roli PIMS, mechanismus předávání, podpůrné důkazy, datum přezkumu a vlastníka. Tato struktura má organizaci pomoci prokázat odpovědnou správu předávání bez vytváření duplicitních registrů posouzení dopadu předávání nebo standardních smluvních doložek (SCC). Politika definuje opatření pro výběr mechanismu předávání, schválení a přezkum rizik. U předávání správcem zaznamenává vedoucí ochrany soukromí / manažer PIMS schválený mechanismus předávání a podpůrné důkazy v REG09 před zahájením předávání. Pověřenec pro ochranu osobních údajů / poradce pro ochranu osobních údajů přezkoumává důkazy o mechanismu předávání před schválením nového, významně změněného nebo rizikovějšího mezinárodního předávání PII a provádí přezkum rizik předávání, pokud je spuštěn. Pokud se organizace opírá o technické záruky, vedoucí informační bezpečnosti zaznamenává stav závislosti na technických zárukách v REG09 nebo REG12. Pokud je zbytkové riziko předávání vysoké, musí vrcholové vedení schválit pokračování provozu předávání v REG12 před přijetím tohoto rizika. Řešena je také správa zpracovatelů, dílčích zpracovatelů a dalšího předání. Vlastník dodavatelů / pořizování musí před zahájením mezinárodního předávání PII zpracovatelem získat dokumentované schválení nebo pokyn zákazníka v REG08 a REG09, zaznamenat schválení dílčího zpracovatele a podmínky přenesených povinností pro předávání a zabránit dalšímu předání zpracovatelem nebo dílčím zpracovatelem, dokud není zaznamenáno schválení zákazníkem. Politika dále vyžaduje, aby byly trasy dalšího předání, kategorie příjemců, omezení a povinnosti zaznamenány před schválením. Žádosti zahraničních orgánů veřejné moci o zpřístupnění osobních údajů musí být zaznamenány v REG09 nebo REG12 před zpřístupněním, je-li to proveditelné, nebo do jednoho pracovního dne, pokud předchozí zaznamenání není proveditelné; žádosti významné z hlediska ochrany osobních údajů musí být, je-li to proveditelné, přezkoumány poradcem pro ochranu osobních údajů. Průběžná správa je zajištěna definovanými požadavky na přezkum, měření, výjimky a uplatňování politiky. Aktivní záznamy o předávání se přezkoumávají alespoň jednou ročně a do 30 dnů od významné změny předávání, zatímco vedoucí ochrany soukromí / manažer PIMS alespoň čtvrtletně přezkoumává opožděné přezkumy předávání, neúplné záznamy, pozastavená předávání a otevřené výjimky z předávání. Metriky zahrnují procento aktivních záznamů REG09 s úplnými důkazy o mechanismu předávání, opožděné přezkumy předávání, pozastavená nebo odložená předávání, opožděné důkazy zpracovatele nebo třetí strany a nespárované činnosti zpracování REG02 s potenciálními indikátory mezinárodního předávání. Výjimky musí být zaznamenány v REG12 před tím, než se stanou aktivními, musí jim být přiřazen vlastník, datum skončení platnosti, kompenzační opatření a četnost přezkumu a musí být přezkoumávány alespoň měsíčně do uzavření. Neshody musí být zaznamenány, pokud jsou zjištěna nezaznamenaná předávání, nepodložené mechanismy, chybějící schválení, opožděné přezkumy, chybějící důkazy o dalším předání nebo neoprávněné pokračování.