Politika řízení zpracovatelů, dílčích zpracovatelů a třetích stran v oblasti ochrany soukromí

Politika řízení zpracovatelů, dílčích zpracovatelů a třetích stran v oblasti ochrany soukromí definuje, jak organizace řídí externí strany, které v rámci rozsahu systému řízení informací o soukromí zpracovávají PII, přistupují k nim, přijímají je, ukládají, přenášejí, podporují nebo s nimi jinak nakládají. Uplatní se, když organizace vystupuje jako správce PII využívající zpracovatele, jako společný správce vyžadující klasifikaci rolí, jako zpracovatel využívající dílčí zpracovatele nebo subdodavatele a jako dílčí zpracovatel přijímající pokyny zákazníka. Politika se vztahuje také na vztahy se třetími stranami vyžadující náležitou péči v oblasti ochrany soukromí, smluvní opatření, dokumentované pokyny, schválení dílčího zpracovatele, monitorování, zajištění, rozhraní pro incidenty, vazbu na předávání, vrácení, výmaz nebo důkazy o ukončení. Základním prvkem politiky je její opora o REG08 — Registr zpracovatelů, dílčích zpracovatelů a sdílení údajů — jako primární důkazní objekt pro řízení zpracovatelů, dílčích zpracovatelů a třetích stran v oblasti ochrany soukromí. Politika vyžaduje, aby vedoucí ochrany soukromí / manažer PIMS definoval minimální pole REG08 a klasifikoval vztahy se třetími stranami v oblasti ochrany soukromí jako správce, společný správce, zpracovatel, dílčí zpracovatel nebo jiný vztah se třetí stranou před schválením smlouvy nebo před zahájením zpracování PII. Vyžaduje také, aby vlastník dodavatelů / pořizování zablokoval onboarding, obnovení nebo rozšíření, dokud nebude REG08 dokončen a propojen se záznamy, jako jsou REG02, REG04, REG09 nebo REG10, pokud jsou tyto důkazní objekty spuštěny. Tím vzniká dokumentovaná vazba mezi správou vztahů, evidencí činností zpracování, záznamy o rizicích a DPIA, důkazy o mezinárodním předávání, záznamy o incidentech a nápravnými opatřeními. Politika stanoví podrobné požadavky na náležitou péči, posouzení rizik a smluvní řízení. Náležitá péče v oblasti ochrany soukromí musí být dokončena před výběrem, obnovením nebo významnou změnou vztahu se zpracovatelem, dílčím zpracovatelem nebo třetí stranou, která zpracovává PII nebo k nim přistupuje. Důkazy o zajištění bezpečnosti musí před schválením přezkoumat vedoucí bezpečnosti informací a vysoce rizikové vztahy se zpracovateli nebo významné změny vztahu se třetí stranou z hlediska ochrany soukromí spouštějí předběžné posouzení rizik pro soukromí a předběžné posouzení nutnosti DPIA v REG04. Smluvní opatření a opatření dokumentovaných pokynů jsou oddělena pro kontext správce a zpracovatele. Pokud organizace vystupuje jako správce, musí předtím, než zpracovatel začne nakládat s PII, zaznamenat písemnou smlouvu se zpracovatelem nebo rovnocenné závazné ujednání. Pokud organizace vystupuje jako zpracovatel, musí zákaznické smlouvy nebo dokumentované pokyny zákazníka vymezit povolený rozsah zpracování před zpracováním PII zákazníka. Politika také vyžaduje smluvní pokrytí pro součinnost, zajištění bezpečnosti, rozhraní pro incidenty prostřednictvím PII15, vrácení nebo výmaz prostřednictvím PII10, vazbu na předávání prostřednictvím PII13 a spolupráci při auditu nebo zajištění. Správa dílčích zpracovatelů a subdodavatelů je řešena prostřednictvím konkrétních požadavků na schvalování, oznámení, přenesené povinnosti a monitorování. Vlastník dodavatelů / pořizování musí v REG08 udržovat seznam dílčích zpracovatelů a subdodavatelů, ověřit schválení zákazníkem před zapojením, oznámit zákazníkům zamýšlené nové nebo nahrazující dílčí zpracovatele podle příslušné smlouvy a zajistit přenesené povinnosti v oblasti ochrany soukromí, bezpečnosti, součinnosti, vrácení, výmazu, rozhraní pro incidenty a vazby na předávání předtím, než jakýkoli dílčí zpracovatel začne zpracovávat PII. Oznámení o změně dílčího zpracovatele na straně správce musí být rovněž sledována, přičemž rozhodnutí o schválení, námitce nebo eskalaci musí být zaznamenána v REG08 ve smluvní lhůtě pro námitky nebo do 10 pracovních dnů od přijetí oznámení, podle toho, která lhůta je kratší. Politika uzavírá životní cyklus průběžným monitorováním, vyřizováním součinnosti, zaznamenáváním zpřístupnění, vazbou na incidenty, vazbou na předávání, důkazy o ukončení, výjimkami, uplatňováním požadavků a přezkumem. Vysoce rizikové vztahy se zpracovateli a dílčími zpracovateli jsou monitorovány čtvrtletně, zatímco ostatní aktivní vztahy se zpracovateli a dílčími zpracovateli PII jsou monitorovány ročně. Žádosti o součinnost týkající se práv subjektů PII, DPIA, bezpečnostních důkazů, auditů nebo ujištění zákazníků musí být koordinovány prostřednictvím REG08 a případně propojeny s REG06, REG04 nebo REG12. Oznámení o incidentech v oblasti ochrany soukromí souvisejících s dodavateli jsou směrována do REG10 podle PII15 do jednoho pracovního dne a důkazy o vrácení, výmazu, likvidaci nebo přechodu musí být získány do 30 dnů po ukončení, uplynutí platnosti, pokynu zákazníka nebo schválené události ukončení, pokud se neuplatní kratší smluvní lhůta. Výjimky jsou časově omezené, vyžadují posouzení dopadu na soukromí a mohou vyžadovat schválení vrcholovým vedením, pokud je dotčeno vysoce rizikové zpracování, chybějící smluvní důkazy, mezery ve vazbě na předávání nebo rozsah certifikace.