Politika upravljanja privatnošću za izvršitelje obrade, podizvršitelje obrade i treće strane

Politika upravljanja privatnošću za izvršitelje obrade, podizvršitelje obrade i treće strane definira kako organizacija upravlja vanjskim stranama koje obrađuju, pristupaju, primaju, pohranjuju, prenose, podržavaju ili na drugi način postupaju s osobnim podacima (PII) unutar opsega sustava upravljanja informacijama o privatnosti (PIMS). Primjenjuje se kada organizacija djeluje kao voditelj obrade koji koristi izvršitelje obrade, kao zajednički voditelj obrade kojem je potrebna klasifikacija uloga, kao izvršitelj obrade koji koristi podizvršitelje obrade ili podugovaratelje te kao podizvršitelj obrade koji prima upute klijenta. Politika također obuhvaća odnose s trećim stranama koji zahtijevaju dubinsku analizu privatnosti, ugovorne kontrole, dokumentirane upute, odobrenje podizvršitelja obrade, praćenje, osiguranje, sučelje za incidente, povezanost s prijenosima, povrat, brisanje ili dokaze o izlaznom postupku. Ključna značajka politike jest oslanjanje na REG08 — Registar izvršitelja obrade, podizvršitelja obrade i dijeljenja podataka — kao primarni objekt dokaza za upravljanje privatnošću izvršitelja obrade, podizvršitelja obrade i trećih strana. Politika zahtijeva da voditelj privatnosti / voditelj PIMS-a definira minimalna polja REG08 i klasificira odnose s trećim stranama u vezi s privatnošću kao voditelj obrade, zajednički voditelj obrade, izvršitelj obrade, podizvršitelj obrade ili drugi odnos s trećom stranom prije odobrenja ugovora ili prije početka obrade osobnih podataka (PII). Također zahtijeva da vlasnik dobavljačkog odnosa / nabave blokira uvođenje, obnovu ili proširenje dok REG08 nije dovršen i povezan sa zapisima kao što su REG02, REG04, REG09 ili REG10 kada se ti objekti dokaza aktiviraju. Time se uspostavlja dokumentirana povezanost između upravljanja odnosima, popisa aktivnosti obrade, zapisa o riziku i DPIA-i, dokaza o međunarodnom prijenosu, zapisa o incidentima i korektivnih radnji. Politika utvrđuje detaljne zahtjeve za dubinsku analizu dobavljača, procjenu rizika i ugovorne kontrole. Dubinska analiza privatnosti mora se dovršiti prije odabira, obnove ili značajne promjene odnosa s izvršiteljem obrade, podizvršiteljem obrade ili trećom stranom koji obrađuju osobne podatke (PII) ili im pristupaju. Voditelj informacijske sigurnosti mora pregledati dokaze o osiguranju sigurnosti prije odobrenja, a visokorizični odnosi s izvršiteljima obrade ili značajne promjene privatnosti treće strane pokreću procjenu rizika za privatnost i provjeru potrebe za DPIA-om u REG04. Kontrole ugovora i dokumentiranih uputa odvojene su za kontekst voditelja obrade i izvršitelja obrade. Kada djeluje kao voditelj obrade, organizacija mora evidentirati pisani ugovor s izvršiteljem obrade ili ekvivalentan obvezujući sporazum prije nego što izvršitelj obrade postupa s osobnim podacima (PII). Kada djeluje kao izvršitelj obrade, ugovori s klijentom ili dokumentirane upute klijenta moraju definirati odobreni opseg obrade prije obrade osobnih podataka (PII) klijenta. Politika također zahtijeva ugovornu pokrivenost za pomoć, osiguranje sigurnosti, sučelje za incidente putem PII15, povrat ili brisanje putem PII10, povezanost s prijenosom putem PII13 te suradnju u reviziji ili osiguranju. Upravljanje podizvršiteljima obrade i podugovarateljima obrađuje se posebnim zahtjevima za odobrenje, obavijest, prenesene obveze i praćenje. Vlasnik dobavljačkog odnosa / nabave mora održavati popis podizvršitelja obrade i podugovaratelja u REG08, provjeriti odobrenje klijenta prije angažmana, obavijestiti klijente o namjeravanom novom ili zamjenskom podizvršitelju obrade u skladu s primjenjivim sporazumom te osigurati prenesene obveze u području privatnosti, sigurnosti, pomoći, povrata, brisanja, sučelja za incidente i povezanosti s prijenosima prije nego što bilo koji podizvršitelj obrade obrađuje osobne podatke (PII). Obavijesti o promjeni podizvršitelja obrade na strani voditelja obrade također se moraju pratiti, uz odluke o odobrenju, prigovoru ili eskalaciji evidentirane u REG08 unutar ugovornog razdoblja za prigovor ili u roku od 10 radnih dana od primitka obavijesti, ovisno o tome što je kraće. Politika zaokružuje životni ciklus stalnim praćenjem, postupanjem sa zahtjevima za pomoć, evidentiranjem otkrivanja podataka, povezanošću s incidentima, povezanošću s prijenosima, dokazima o izlaznom postupku, iznimkama, provedbom i pregledom. Visokorizični odnosi s izvršiteljima obrade i podizvršiteljima obrade prate se tromjesečno, dok se ostali aktivni odnosi s izvršiteljima obrade i podizvršiteljima obrade koji uključuju osobne podatke (PII) prate jednom godišnje. Zahtjevi za pomoć u vezi sa zahtjevima ispitanika, DPIA-ama, sigurnosnim dokazima, revizijama ili zahtjevima klijenata za pružanje potvrda moraju se koordinirati putem REG08 i povezati s REG06, REG04 ili REG12 gdje je primjenjivo. Obavijesti o incidentima privatnosti povezanim s dobavljačima usmjeravaju se u REG10 prema PII15 u roku od jednog radnog dana, a dokazi o povratu, brisanju, zbrinjavanju ili prijelazu moraju se pribaviti u roku od 30 dana nakon prestanka, isteka, upute klijenta ili odobrenog izlaznog događaja, osim ako se primjenjuje kraći ugovorni rok. Iznimke su vremenski ograničene, zahtijevaju procjenu učinka na privatnost i mogu zahtijevati odobrenje najvišeg rukovodstva kada utječu na visokorizičnu obradu, nedostatak ugovornih dokaza, praznine u povezanosti s prijenosima ili opseg certifikacije.