Adatfeldolgozók, al-adatfeldolgozók és harmadik felek adatvédelmi kezelésére vonatkozó szabályzat

Az Adatfeldolgozók, al-adatfeldolgozók és harmadik felek adatvédelmi kezelésére vonatkozó szabályzat meghatározza, hogyan irányítja a szervezet azokat a külső feleket, amelyek a Privacy Information Management System alkalmazási területén belül PII-t kezelnek, ahhoz hozzáférnek, azt átveszik, tárolják, továbbítják, támogatják vagy más módon kezelik. Akkor alkalmazandó, amikor a szervezet PII-adatkezelőként adatfeldolgozókat vesz igénybe, amikor közös adatkezelőként szerepkör-besorolásra van szüksége, amikor adatfeldolgozóként al-adatfeldolgozókat vagy alvállalkozókat vesz igénybe, valamint amikor al-adatfeldolgozóként ügyfélutasításokat kap. A szabályzat kiterjed továbbá azokra a harmadik féllel fennálló kapcsolatokra, amelyek adatvédelmi kellő gondosságot, szerződéses kontrollokat, dokumentált utasításokat, al-adatfeldolgozói jóváhagyást, nyomon követést, bizonyosságot, incidenskapcsolódást, adattovábbítási kapcsolódást, visszaszolgáltatási, törlési vagy kilépési bizonyítékot igényelnek. A szabályzat egyik alapvető eleme, hogy a REG08-ra — Adatfeldolgozói, al-adatfeldolgozói és adatmegosztási nyilvántartás — támaszkodik elsődleges bizonyítékobjektumként az adatfeldolgozói, al-adatfeldolgozói és harmadik féllel fennálló adatvédelmi kapcsolatok kezelésében. A szabályzat előírja, hogy az adatvédelmi vezető / PIMS-vezető határozza meg a minimális REG08-mezőket, és a szerződés jóváhagyása vagy a PII-kezelés megkezdése előtt sorolja be a harmadik féllel fennálló adatvédelmi kapcsolatokat adatkezelőként, közös adatkezelőként, adatfeldolgozóként, al-adatfeldolgozóként vagy egyéb harmadik féllel fennálló kapcsolatként. Előírja továbbá, hogy a beszállítói / beszerzési felelős akadályozza meg a beléptetést, megújítást vagy bővítést mindaddig, amíg a REG08 nincs kitöltve, és nincs összekapcsolva az olyan nyilvántartásokkal, mint a REG02, REG04, REG09 vagy REG10, amennyiben ezek a bizonyítékobjektumok aktiválódnak. Ez dokumentált kapcsolatot hoz létre a kapcsolati irányítás, az adatkezelési tevékenységek nyilvántartása, a kockázati és DPIA-nyilvántartások, a nemzetközi adattovábbítási bizonyítékok, az incidensnyilvántartások és a helyesbítő intézkedések között. A szabályzat részletes követelményeket állapít meg a kellő gondosságra, a kockázatértékelésre és a szerződéses kontrollokra. Az adatvédelmi kellő gondosságot el kell végezni minden olyan adatfeldolgozó, al-adatfeldolgozó vagy harmadik féllel fennálló kapcsolat kiválasztása, megújítása vagy lényeges módosítása előtt, amely PII-t kezel vagy ahhoz hozzáfér. A jóváhagyás előtt az információbiztonsági vezetőnek felül kell vizsgálnia a biztonsági bizonyossági bizonyítékokat, a magas kockázatú adatfeldolgozói kapcsolatok vagy a harmadik féllel fennálló adatvédelmi kapcsolat lényeges változásai pedig adatvédelmi kockázatot és DPIA-előszűrést indítanak a REG04-ben. A szerződéses és dokumentált utasítási kontrollok külön kezelik az adatkezelői és az adatfeldolgozói kontextust. Amikor a szervezet adatkezelőként jár el, írásbeli adatfeldolgozói szerződést vagy azzal egyenértékű kötelező erejű megállapodást kell rögzítenie, mielőtt az adatfeldolgozó PII-t kezel. Amikor a szervezet adatfeldolgozóként jár el, az ügyfélmegállapodásoknak vagy dokumentált ügyfélutasításoknak meg kell határozniuk az engedélyezett adatkezelési hatókört, mielőtt az ügyfél PII-jének kezelése megkezdődik. A szabályzat előírja továbbá a szerződéses lefedettséget a segítségnyújtásra, a biztonsági bizonyosságra, az incidenskapcsolatra a PII15 útján, a visszaszolgáltatásra vagy törlésre a PII10 útján, az adattovábbítási kapcsolódásra a PII13 útján, valamint az audit- vagy bizonyossági együttműködésre. Az al-adatfeldolgozói és alvállalkozói irányítást a szabályzat konkrét jóváhagyási, értesítési, továbbadott követelményekre vonatkozó és nyomonkövetési előírásokkal kezeli. A beszállítói / beszerzési felelős köteles fenntartani az al-adatfeldolgozók és alvállalkozók listáját a REG08-ban, ellenőrizni az ügyfél engedélyét a bevonás előtt, az alkalmazandó megállapodás szerint értesíteni az ügyfeleket a tervezett új vagy helyettesítő al-adatfeldolgozókról, és biztosítani, hogy az adatvédelmi, biztonsági, segítségnyújtási, visszaszolgáltatási, törlési, incidenskapcsolati és adattovábbítási kapcsolódási kötelezettségek továbbadásra kerüljenek, mielőtt bármely al-adatfeldolgozó PII-t kezel. Az adatkezelői oldalon az al-adatfeldolgozó-változásról szóló értesítéseket is nyomon kell követni, és a jóváhagyási, kifogási vagy eszkalációs döntéseket a szerződéses kifogási időszakon belül vagy az értesítés kézhezvételét követő 10 munkanapon belül, attól függően, hogy melyik a rövidebb, rögzíteni kell a REG08-ban. A szabályzat a teljes életciklust a folyamatos nyomon követéssel, a segítségnyújtási kérelmek kezelésével, az adatközlések rögzítésével, az incidenskapcsolódással, az adattovábbítási kapcsolódással, a kilépési bizonyítékokkal, a kivételekkel, a betartatással és a felülvizsgálattal zárja le. A magas kockázatú adatfeldolgozói és al-adatfeldolgozói kapcsolatokat negyedévente kell nyomon követni, míg az egyéb aktív PII-adatfeldolgozói és al-adatfeldolgozói kapcsolatokat évente. A PII-alanyi jogokra, DPIA-kra, biztonsági bizonyítékokra, auditokra vagy ügyfélbizonyosságra vonatkozó segítségnyújtási kérelmeket a REG08-on keresztül kell koordinálni, és adott esetben össze kell kapcsolni a REG06-tal, REG04-gyel vagy REG12-vel. A beszállítókkal kapcsolatos adatvédelmi incidensértesítéseket a PII15 alapján egy munkanapon belül a REG10-be kell irányítani, a visszaszolgáltatási, törlési, megsemmisítési vagy átmeneti bizonyítékokat pedig a megszüntetést, lejáratot, ügyfélutasítást vagy jóváhagyott kilépési eseményt követő 30 napon belül be kell szerezni, kivéve, ha rövidebb szerződéses határidő alkalmazandó. A kivételek időkorlátosak, adatvédelmi hatásvizsgálatot igényelnek, és felső vezetési jóváhagyást tehetnek szükségessé, ha magas kockázatú adatkezelés, hiányzó szerződéses bizonyíték, adattovábbítási kapcsolódási hiányosság vagy tanúsítási hatókör érintett.