Πολιτική Διεθνών Διαβιβάσεων Δεδομένων Προσωπικού Χαρακτήρα

Η Πολιτική Διεθνών Διαβιβάσεων Δεδομένων Προσωπικού Χαρακτήρα καθορίζει απαιτήσεις για την αναγνώριση, έγκριση, καταγραφή, ανασκόπηση, περιορισμό και αναστολή διεθνών διαβιβάσεων δεδομένων προσωπικού χαρακτήρα. Εφαρμόζεται σε δραστηριότητες υπευθύνου επεξεργασίας, από κοινού υπευθύνου επεξεργασίας, εκτελούντος την επεξεργασία και υπεργολάβου επεξεργασίας, όταν δεδομένα προσωπικού χαρακτήρα καθίστανται διαθέσιμα, προσπελάζονται από, αποθηκεύονται σε, φιλοξενούνται σε, κοινολογούνται σε ή άλλως διαβιβάζονται εκτός του εγκεκριμένου ορίου επεξεργασίας που καταγράφεται στο REG02 ή στο REG09. Το πεδίο εφαρμογής περιλαμβάνει εσωτερικές συνδεδεμένες εταιρείες, εξωτερικούς αποδέκτες, εκτελούντες την επεξεργασία, υπεργολάβους επεξεργασίας, παρόχους υπηρεσιών, πρόσβαση υποστήριξης, τοποθεσίες φιλοξενίας, απομακρυσμένη διαχείριση, περαιτέρω διαβιβάσεις, αιτήματα κοινολόγησης από δημόσια αρχή και αλλαγές υπηρεσιών σχετιζόμενες με διαβιβάσεις. Κεντρικό χαρακτηριστικό της πολιτικής είναι η προσέγγιση βάσει τεκμηρίων. Η πολιτική ορίζει ότι οι διεθνείς διαβιβάσεις πρέπει να αναγνωρίζονται πριν από την έναρξη ή την αλλαγή της επεξεργασίας και ότι τα εγκεκριμένα αρχεία διαβίβασης πρέπει να τηρούνται στο REG09. Το REG09 είναι το κύριο αντικείμενο τεκμηρίων διαβίβασης, ενώ τα REG02, REG08 και REG12 παρέχουν υποστηρικτικά τεκμήρια για δραστηριότητες επεξεργασίας, σχέσεις με προμηθευτές και εκτελούντες την επεξεργασία, εξαιρέσεις, μη συμμορφώσεις, διορθωτικές ενέργειες και ανασκόπηση της Διοίκησης. Τα απαιτούμενα πεδία REG09 περιλαμβάνουν προορισμό διαβίβασης, αποδέκτη, ρόλο PIMS, μηχανισμό διαβίβασης, υποστηρικτικά τεκμήρια, ημερομηνία ανασκόπησης και ιδιοκτήτη. Η δομή αυτή αποσκοπεί στο να βοηθήσει τον οργανισμό να αποδείξει υπεύθυνη διακυβέρνηση διαβιβάσεων χωρίς να δημιουργεί διπλά μητρώα εκτίμησης αντικτύπου διαβίβασης ή Τυποποιημένων Συμβατικών Ρητρών. Η πολιτική ορίζει ελέγχους για την επιλογή μηχανισμού διαβίβασης, την έγκριση και την ανασκόπηση κινδύνου. Για διαβιβάσεις υπευθύνου επεξεργασίας, ο Επικεφαλής Ιδιωτικότητας / Υπεύθυνος PIMS καταγράφει τον εγκεκριμένο μηχανισμό διαβίβασης και τα υποστηρικτικά τεκμήρια στο REG09 πριν από την έναρξη της διαβίβασης. Ο Υπεύθυνος Προστασίας Δεδομένων / Σύμβουλος Ιδιωτικότητας ανασκοπεί τα τεκμήρια του μηχανισμού διαβίβασης πριν από την έγκριση νέων, ουσιωδώς μεταβλημένων ή υψηλότερου κινδύνου διεθνών διαβιβάσεων δεδομένων προσωπικού χαρακτήρα και ολοκληρώνει την ανασκόπηση κινδύνου διαβίβασης όταν ενεργοποιείται. Όταν η διαβίβαση βασίζεται σε τεχνικές δικλίδες ασφαλείας, ο Επικεφαλής Ασφάλειας Πληροφοριών καταγράφει την κατάσταση εξάρτησης από τεχνικές δικλίδες ασφαλείας στο REG09 ή στο REG12. Εάν ο υπολειπόμενος κίνδυνος διαβίβασης είναι υψηλός, η Ανώτατη Διοίκηση πρέπει να εγκρίνει τη συνέχιση της λειτουργίας της διαβίβασης στο REG12 πριν από την αποδοχή αυτού του κινδύνου. Η πολιτική καλύπτει επίσης τη διακυβέρνηση εκτελούντων την επεξεργασία, υπεργολάβων επεξεργασίας και περαιτέρω διαβιβάσεων. Ο Υπεύθυνος Προμηθευτών / Προμηθειών πρέπει να λαμβάνει τεκμηριωμένη έγκριση ή εντολή του πελάτη στο REG08 και στο REG09 πριν από την έναρξη διεθνών διαβιβάσεων δεδομένων προσωπικού χαρακτήρα από εκτελούντα την επεξεργασία, να καταγράφει την έγκριση υπεργολάβου επεξεργασίας και τις μετακυλιόμενες προϋποθέσεις διαβίβασης και να αποτρέπει την περαιτέρω διαβίβαση από εκτελούντα την επεξεργασία ή υπεργολάβο επεξεργασίας μέχρι να καταγραφεί η έγκριση του πελάτη. Η πολιτική απαιτεί επίσης την καταγραφή διαδρομών περαιτέρω διαβίβασης, κατηγοριών αποδεκτών, περιορισμών και υποχρεώσεων πριν από την έγκριση. Τα αιτήματα κοινολόγησης από αλλοδαπές δημόσιες αρχές πρέπει να καταγράφονται στο REG09 ή στο REG12 πριν από την κοινολόγηση, όπου αυτό είναι πρακτικά εφικτό, ή εντός μίας εργάσιμης ημέρας όταν η προηγούμενη καταγραφή δεν είναι πρακτικά εφικτή, ενώ τα αιτήματα που είναι σημαντικά για την ιδιωτικότητα πρέπει να λαμβάνουν ανασκόπηση από σύμβουλο ιδιωτικότητας όπου αυτό είναι πρακτικά εφικτό. Η συνεχής διακυβέρνηση αντιμετωπίζεται μέσω καθορισμένων απαιτήσεων ανασκόπησης, μέτρησης, εξαιρέσεων και εφαρμογής. Τα ενεργά αρχεία διαβίβασης ανασκοπούνται τουλάχιστον ετησίως και εντός 30 ημερών από ουσιώδη αλλαγή διαβίβασης, ενώ ο Επικεφαλής Ιδιωτικότητας / Υπεύθυνος PIMS ανασκοπεί τουλάχιστον ανά τρίμηνο τις εκπρόθεσμες ανασκοπήσεις διαβίβασης, τα ελλιπή αρχεία, τις ανασταλείσες διαβιβάσεις και τις ανοικτές εξαιρέσεις διαβίβασης. Οι μετρήσεις περιλαμβάνουν το ποσοστό ενεργών αρχείων REG09 με πλήρη τεκμήρια μηχανισμού διαβίβασης, εκπρόθεσμες ανασκοπήσεις διαβίβασης, ανασταλείσες ή αναβληθείσες διαβιβάσεις, εκπρόθεσμα τεκμήρια εκτελούντων την επεξεργασία ή τρίτων μερών και μη αντιστοιχισμένες δραστηριότητες επεξεργασίας REG02 με πιθανούς δείκτες διεθνούς διαβίβασης. Οι εξαιρέσεις πρέπει να καταγράφονται στο REG12 πριν καταστούν ενεργές, να τους ανατίθενται ιδιοκτήτης, ημερομηνία λήξης, αντισταθμιστικός έλεγχος και συχνότητα ανασκόπησης και να ανασκοπούνται τουλάχιστον μηνιαίως μέχρι το κλείσιμο. Οι μη συμμορφώσεις πρέπει να καταγράφονται όταν εντοπίζονται μη καταγεγραμμένες διαβιβάσεις, μη υποστηριζόμενοι μηχανισμοί, ελλιπής έγκριση, εκπρόθεσμες ανασκοπήσεις, ελλιπή τεκμήρια περαιτέρω διαβίβασης ή μη εξουσιοδοτημένη συνέχιση.