Nemzetközi PII-továbbítási szabályzat

A Nemzetközi PII-továbbítási szabályzat követelményeket állapít meg a PII nemzetközi adattovábbításainak azonosítására, jóváhagyására, rögzítésére, felülvizsgálatára, korlátozására és felfüggesztésére. Alkalmazandó az adatkezelői, közös adatkezelői, adatfeldolgozói és al-adatfeldolgozói tevékenységekre, ahol a PII-t hozzáférhetővé teszik, ahhoz onnan hozzáférnek, ott tárolják, ott hosztolják, oda közlik vagy más módon továbbítják a REG02-ben vagy REG09-ben rögzített jóváhagyott adatkezelési hatókörön kívülre. Az alkalmazási terület kiterjed a belső kapcsolt vállalkozásokra, külső címzettekre, adatfeldolgozókra, al-adatfeldolgozókra, szolgáltatókra, támogatási hozzáférésre, hosztolási helyszínekre, távoli adminisztrációra, további adattovábbításokra, közhatalmi szervek adatközlési kérelmeire és adattovábbítással kapcsolatos szolgáltatásváltozásokra. A szabályzat központi eleme a bizonyítékalapú megközelítés. A szabályzat kimondja, hogy a nemzetközi adattovábbításokat az adatkezelés megkezdése vagy módosítása előtt azonosítani kell, és a jóváhagyott adattovábbítási nyilvántartásokat a REG09-ben kell fenntartani. A REG09 az elsődleges adattovábbítási bizonyítékobjektum, míg a REG02, REG08 és REG12 az adatkezelési tevékenységek, beszállítói és adatfeldolgozói kapcsolatok, kivételek, meg nem felelések, helyesbítő intézkedések és vezetőségi felülvizsgálat alátámasztó bizonyítékait biztosítja. A kötelező REG09-es mezők közé tartozik az adattovábbítás célhelye, a címzett, a PIMS-szerepkör, az adattovábbítási mechanizmus, az alátámasztó bizonyíték, a felülvizsgálat dátuma és a felelős. Ez a struktúra azt szolgálja, hogy a szervezet igazolni tudja az elszámoltatható adattovábbítási irányítást anélkül, hogy párhuzamos adattovábbítási hatásvizsgálati vagy SCC-nyilvántartásokat hozna létre. A szabályzat kontrollokat határoz meg az adattovábbítási mechanizmus kiválasztására, jóváhagyására és kockázati felülvizsgálatára. Adatkezelői adattovábbítások esetén az adatvédelmi vezető / PIMS-vezető a továbbítás megkezdése előtt rögzíti a jóváhagyott adattovábbítási mechanizmust és az alátámasztó bizonyítékot a REG09-ben. Az adatvédelmi tisztviselő / adatvédelmi tanácsadó az új, lényegesen módosított vagy magasabb kockázatú nemzetközi PII-továbbítások jóváhagyása előtt felülvizsgálja az adattovábbítási mechanizmus bizonyítékait, és szükség esetén elvégzi az adattovábbítási kockázat felülvizsgálatát. Ha technikai garanciákra támaszkodnak, az információbiztonsági vezető a REG09-ben vagy REG12-ben rögzíti a technikai garanciáktól való függőség státuszát. Ha a maradványkockázat magas, a felső vezetésnek a REG12-ben jóvá kell hagynia az adattovábbítás folytatását, mielőtt a kockázat elfogadásra kerül. A szabályzat az adatfeldolgozói, al-adatfeldolgozói és további adattovábbítási irányítást is kezeli. A beszállítói / beszerzési felelősnek az adatfeldolgozói nemzetközi PII-továbbítások megkezdése előtt dokumentált ügyfélengedélyt vagy ügyfélutasítást kell beszereznie a REG08-ban és REG09-ben, rögzítenie kell az al-adatfeldolgozói engedélyezést és a továbbadott adattovábbítási feltételeket, és meg kell akadályoznia az adatfeldolgozói vagy al-adatfeldolgozói további adattovábbítást mindaddig, amíg az ügyfélengedély rögzítésre nem kerül. A szabályzat azt is előírja, hogy a további adattovábbítási útvonalakat, címzetti kategóriákat, korlátozásokat és kötelezettségeket jóváhagyás előtt rögzíteni kell. A külföldi közhatalmi szervek adatközlési kérelmeit, ahol lehetséges, az adatközlés előtt kell rögzíteni a REG09-ben vagy REG12-ben, vagy ha az előzetes rögzítés nem kivitelezhető, egy munkanapon belül; az adatvédelmi szempontból jelentős kérelmeket lehetőség szerint adatvédelmi tanácsadói felülvizsgálatnak kell alávetni. A folyamatos irányítást meghatározott felülvizsgálati, mérési, kivételkezelési és végrehajtási követelmények biztosítják. Az aktív adattovábbítási nyilvántartásokat legalább évente és a lényeges adattovábbítási változást követő 30 napon belül felül kell vizsgálni, míg az adatvédelmi vezető / PIMS-vezető legalább negyedévente felülvizsgálja a lejárt adattovábbítási felülvizsgálatokat, hiányos nyilvántartásokat, felfüggesztett adattovábbításokat és nyitott adattovábbítási kivételeket. A mutatók közé tartozik azon aktív REG09-nyilvántartások aránya, amelyek teljes, az adattovábbítási mechanizmusra vonatkozó bizonyítékkal rendelkeznek, a lejárt adattovábbítási felülvizsgálatok, a felfüggesztett vagy elhalasztott adattovábbítások, a lejárt adatfeldolgozói vagy harmadik felekkel kapcsolatos bizonyítékok, valamint a potenciális nemzetközi adattovábbítási indikátorokkal rendelkező, párosítatlan REG02-es adatkezelési tevékenységek. A kivételeket aktívvá válásuk előtt rögzíteni kell a REG12-ben, felelőst, lejárati dátumot, kompenzáló kontrollt és felülvizsgálati gyakoriságot kell hozzájuk rendelni, és lezárásig legalább havonta felül kell vizsgálni őket. Meg nem felelést kell rögzíteni, ha nem rögzített adattovábbításokat, alá nem támasztott mechanizmusokat, hiányzó engedélyezést, lejárt felülvizsgálatokat, hiányzó további adattovábbítási bizonyítékot vagy jogosulatlan folytatást azonosítanak.