Politika dwar il-Ġestjoni tal-Privatezza tal-Proċessuri, tas-Subproċessuri u tal-Partijiet Terzi

Il-Politika dwar il-Ġestjoni tal-Privatezza tal-Proċessuri, tas-Subproċessuri u tal-Partijiet Terzi tiddefinixxi kif organizzazzjoni tirregola partijiet esterni li jipproċessaw, jaċċessaw, jirċievu, jaħżnu, jittrażmettu, jappoġġaw jew b’xi mod ieħor jimmaniġġjaw il-PII fi ħdan il-kamp ta’ applikazzjoni tal-PIMS. Tapplika meta l-organizzazzjoni taġixxi bħala kontrollur tal-PII li juża proċessuri, bħala kontrollur konġunt li jeħtieġ klassifikazzjoni tar-rwoli, bħala proċessur li juża subproċessuri jew sottokuntratturi, u bħala subproċessur li jirċievi istruzzjonijiet tal-klijent. Il-politika tkopri wkoll relazzjonijiet ma’ partijiet terzi li jeħtieġu diliġenza dovuta tal-privatezza, kontrolli kuntrattwali, struzzjonijiet dokumentati, approvazzjoni tas-subproċessuri, monitoraġġ, assigurazzjoni, interfaċċa tal-inċidenti, rabta mat-trasferimenti, ritorn, tħassir jew evidenza tal-ħruġ. Karatteristika ewlenija tal-politika hija d-dipendenza tagħha fuq REG08 — Reġistru tal-Proċessuri, tas-Subproċessuri u tal-Qsim tad-Data — bħala l-oġġett primarju tal-evidenza għall-ġestjoni tal-privatezza tal-proċessuri, tas-subproċessuri u tal-partijiet terzi. Il-politika teħtieġ li r-Responsabbli tal-Privatezza / Maniġer tal-PIMS jiddefinixxi l-kampi minimi ta’ REG08 u jikklassifika r-relazzjonijiet ta’ privatezza ma’ partijiet terzi bħala kontrollur, kontrollur konġunt, proċessur, subproċessur jew relazzjoni oħra ma’ parti terza qabel l-approvazzjoni tal-kuntratt jew qabel ma jibda l-ipproċessar tal-PII. Teħtieġ ukoll li s-Sid tal-Fornituri / Akkwist jimblokka l-onboarding, it-tiġdid jew l-espansjoni sakemm REG08 jitlesta u jintrabat ma’ reġistri bħal REG02, REG04, REG09 jew REG10 fejn dawk l-oġġetti tal-evidenza jiġu skattati. Dan joħloq rabta dokumentata bejn il-governanza tar-relazzjonijiet, l-inventarju tal-ipproċessar, ir-reġistri tar-riskju u tad-DPIA, l-evidenza tat-trasferiment internazzjonali, ir-reġistri tal-inċidenti u l-azzjonijiet korrettivi. Il-politika tistabbilixxi rekwiżiti dettaljati għad-diliġenza dovuta, il-valutazzjoni tar-riskju u l-kontroll kuntrattwali. Id-diliġenza dovuta tal-privatezza għandha titlesta qabel ma jintgħażel, jiġġedded jew jinbidel b’mod materjali proċessur, subproċessur jew relazzjoni ma’ parti terza li tipproċessa jew taċċessa PII. L-evidenza tal-assigurazzjoni tas-sigurtà għandha tiġi rieżaminata mir-Responsabbli tas-Sigurtà tal-Informazzjoni qabel l-approvazzjoni, u relazzjonijiet ta’ riskju għoli mal-proċessuri jew bidliet materjali fil-privatezza relatati ma’ partijiet terzi jiskattaw riskju għall-privatezza u skrining tad-DPIA f’REG04. Il-kontrolli tal-kuntratti u tal-istruzzjonijiet dokumentati huma separati għall-kuntesti ta’ kontrollur u ta’ proċessur. Meta taġixxi bħala kontrollur, l-organizzazzjoni għandha tirreġistra kuntratt bil-miktub mal-proċessur jew ftehim vinkolanti ekwivalenti qabel ma proċessur jimmaniġġja PII. Meta taġixxi bħala proċessur, il-ftehimiet mal-klijenti jew l-istruzzjonijiet dokumentati tal-klijent għandhom jiddefinixxu l-kamp ta’ applikazzjoni tal-ipproċessar awtorizzat qabel ma tiġi pproċessata l-PII tal-klijent. Il-politika teħtieġ ukoll kopertura kuntrattwali għall-assistenza, l-assigurazzjoni tas-sigurtà, l-interfaċċa tal-inċidenti permezz ta’ PII15, ir-ritorn jew it-tħassir permezz ta’ PII10, ir-rabta mat-trasferimenti permezz ta’ PII13, u l-kooperazzjoni fl-awditjar jew fl-assigurazzjoni. Il-governanza tas-subproċessuri u tas-sottokuntratturi hija indirizzata permezz ta’ rekwiżiti speċifiċi ta’ approvazzjoni, avviż, obbligi mgħoddija lill-partijiet sussegwenti u monitoraġġ. Is-Sid tal-Fornituri / Akkwist għandu jżomm lista ta’ subproċessuri u sottokuntratturi f’REG08, jivverifika l-awtorizzazzjoni tal-klijent qabel l-ingaġġ, jinnotifika lill-klijenti dwar subproċessuri ġodda jew sostituttivi intenzjonati skont il-ftehim applikabbli, u jiżgura obbligi mgħoddija lill-partijiet sussegwenti dwar il-privatezza, is-sigurtà, l-assistenza, ir-ritorn, it-tħassir, l-interfaċċa tal-inċidenti u r-rabta mat-trasferimenti qabel ma kwalunkwe subproċessur jipproċessa PII. L-avviżi dwar bidliet fis-subproċessuri min-naħa tal-kontrollur għandhom ukoll jiġu traċċati, b’deċiżjonijiet ta’ approvazzjoni, oġġezzjoni jew eskalazzjoni rreġistrati f’REG08 fil-perjodu kuntrattwali għall-oġġezzjoni jew fi żmien 10 ijiem tax-xogħol minn meta jiġi riċevut l-avviż, skont liema jkun l-iqsar. Il-politika tikkompleta ċ-ċiklu tal-ħajja b’monitoraġġ kontinwu, immaniġġjar tal-assistenza, reġistrazzjoni tal-iżvelar, rabta mal-inċidenti, rabta mat-trasferimenti, evidenza tal-ħruġ, eċċezzjonijiet, applikazzjoni u rieżami. Relazzjonijiet ta’ riskju għoli mal-proċessuri u mas-subproċessuri jiġu mmonitorjati kull tliet xhur, filwaqt li relazzjonijiet attivi oħra mal-proċessuri u mas-subproċessuri tal-PII jiġu mmonitorjati kull sena. Talbiet għal assistenza dwar id-drittijiet tal-prinċipal tal-PII, DPIAs, evidenza tas-sigurtà, awditi jew assigurazzjoni għall-klijenti għandhom jiġu kkoordinati permezz ta’ REG08 u marbuta ma’ REG06, REG04 jew REG12 fejn applikabbli. Avviżi ta’ inċidenti tal-privatezza relatati mal-fornituri jiġu diretti lejn REG10 taħt PII15 fi żmien jum tax-xogħol wieħed, u evidenza ta’ ritorn, tħassir, rimi jew tranżizzjoni għandha tinkiseb fi żmien 30 jum wara t-terminazzjoni, l-iskadenza, l-istruzzjoni tal-klijent jew avveniment approvat ta’ ħruġ, sakemm ma japplikax perjodu kuntrattwali iqsar. L-eċċezzjonijiet huma limitati fiż-żmien, jeħtieġu valutazzjoni tal-impatt fuq il-privatezza, u jistgħu jeħtieġu approvazzjoni mit-Tmexxija Għolja fejn jiġi affettwat ipproċessar ta’ riskju għoli, evidenza kuntrattwali nieqsa, lakuni fir-rabta mat-trasferimenti jew il-kamp ta’ applikazzjoni taċ-ċertifikazzjoni.