Polityka międzynarodowych transferów PII

Polityka międzynarodowych transferów PII ustanawia wymagania dotyczące identyfikowania, zatwierdzania, rejestrowania, przeglądu, ograniczania i zawieszania międzynarodowych transferów PII. Ma zastosowanie do działań administratora, współadministratora, podmiotu przetwarzającego i podwykonawcy przetwarzania, w których PII są udostępniane, dostępne z określonej lokalizacji, przechowywane, hostowane, ujawniane lub w inny sposób transferowane poza zatwierdzoną granicę przetwarzania zarejestrowaną w REG02 lub REG09. Zakres obejmuje wewnętrzne podmioty powiązane, zewnętrznych odbiorców, podmioty przetwarzające, podwykonawców przetwarzania, dostawców usług, dostęp personelu wsparcia, lokalizacje hostingu, zdalną administrację, dalsze transfery, wnioski organów publicznych o ujawnienie oraz zmiany usług związane z transferem. Kluczową cechą polityki jest podejście oparte na dowodach. Polityka stanowi, że międzynarodowe transfery muszą zostać zidentyfikowane przed rozpoczęciem lub zmianą przetwarzania, a zatwierdzone zapisy transferu muszą być utrzymywane w REG09. REG09 jest podstawowym obiektem dowodowym transferu, natomiast REG02, REG08 i REG12 dostarczają dowody uzupełniające dla czynności przetwarzania, relacji z dostawcami i podmiotami przetwarzającymi, wyjątków, niezgodności, działań korygujących oraz przeglądu zarządzania. Wymagane pola REG09 obejmują miejsce docelowe transferu, odbiorcę, rolę PIMS, mechanizm transferu, dowody uzupełniające, datę przeglądu i właściciela. Taka struktura ma pomóc organizacji wykazać rozliczalny nadzór nad transferami bez tworzenia zdublowanych rejestrów oceny skutków transferu lub standardowych klauzul umownych (SCC). Polityka definiuje kontrole wyboru mechanizmu transferu, zatwierdzania i przeglądu ryzyka. W przypadku transferów administratora osoba odpowiedzialna za prywatność / menedżer PIMS rejestruje zatwierdzony mechanizm transferu i dowody uzupełniające w REG09 przed rozpoczęciem transferu. Inspektor ochrony danych (IOD) / doradca ds. prywatności przegląda dowody mechanizmu transferu przed zatwierdzeniem nowych, istotnie zmienionych lub obarczonych wyższym ryzykiem międzynarodowych transferów PII oraz przeprowadza przegląd ryzyka transferu, gdy zostanie on uruchomiony. Jeżeli stosowane są zabezpieczenia techniczne, osoba odpowiedzialna za bezpieczeństwo informacji rejestruje status zależności od zabezpieczeń technicznych w REG09 lub REG12. Jeżeli ryzyko rezydualne transferu jest wysokie, najwyższe kierownictwo musi zatwierdzić dalszą realizację transferu w REG12 przed akceptacją tego ryzyka. Polityka obejmuje również nadzór nad podmiotem przetwarzającym, podwykonawcą przetwarzania oraz dalszymi transferami. Właściciel ds. dostawców / zakupów musi uzyskać udokumentowaną autoryzację lub polecenie klienta w REG08 i REG09 przed rozpoczęciem międzynarodowych transferów PII przez podmiot przetwarzający, zarejestrować autoryzację podwykonawcy przetwarzania oraz warunki transferu przenoszone na dalsze podmioty, a także zapobiec dalszemu transferowi przez podmiot przetwarzający lub podwykonawcę przetwarzania do czasu zarejestrowania autoryzacji klienta. Polityka wymaga także zarejestrowania tras dalszego transferu, kategorii odbiorców, ograniczeń i obowiązków przed zatwierdzeniem. Wnioski zagranicznych organów publicznych o ujawnienie muszą zostać zarejestrowane w REG09 lub REG12 przed ujawnieniem, gdy jest to wykonalne, albo w ciągu jednego dnia roboczego, gdy wcześniejsza rejestracja nie jest wykonalna, a wnioski istotne z perspektywy prywatności powinny zostać poddane przeglądowi przez doradcę ds. prywatności, gdy jest to wykonalne. Bieżący nadzór jest realizowany przez określone wymagania dotyczące przeglądu, pomiaru, wyjątków i egzekwowania. Aktywne zapisy transferów są przeglądane co najmniej raz w roku oraz w ciągu 30 dni od istotnej zmiany transferu, natomiast osoba odpowiedzialna za prywatność / menedżer PIMS przegląda zaległe przeglądy transferów, niekompletne zapisy, zawieszone transfery i otwarte wyjątki dotyczące transferów co najmniej kwartalnie. Metryki obejmują odsetek aktywnych zapisów REG09 z kompletnymi dowodami mechanizmu transferu, zaległe przeglądy transferów, zawieszone lub odroczone transfery, zaległe dowody dotyczące podmiotów przetwarzających lub stron trzecich oraz niedopasowane czynności przetwarzania REG02 z potencjalnymi wskaźnikami międzynarodowego transferu. Wyjątki muszą zostać zarejestrowane w REG12 przed wejściem w życie, mieć przypisanego właściciela, datę wygaśnięcia, środek kompensujący i częstotliwość przeglądu oraz być przeglądane co najmniej co miesiąc do czasu zamknięcia. Niezgodności muszą być rejestrowane w przypadku zidentyfikowania niezarejestrowanych transferów, niepopartych mechanizmów, brakującej autoryzacji, zaległych przeglądów, brakujących dowodów dalszego transferu lub nieautoryzowanej kontynuacji.