Polityka zarządzania prywatnością w relacjach z podmiotami przetwarzającymi, podwykonawcami przetwarzania i stronami trzecimi

Polityka zarządzania prywatnością w relacjach z podmiotami przetwarzającymi, podwykonawcami przetwarzania i stronami trzecimi określa, w jaki sposób organizacja nadzoruje podmioty zewnętrzne, które przetwarzają, uzyskują dostęp, otrzymują, przechowują, przesyłają, wspierają lub w inny sposób obsługują PII w zakresie systemu zarządzania informacjami o prywatności. Ma zastosowanie, gdy organizacja działa jako administrator PII korzystający z podmiotów przetwarzających, jako współadministrator wymagający klasyfikacji ról, jako podmiot przetwarzający korzystający z podwykonawców przetwarzania lub podwykonawców oraz jako podwykonawca przetwarzania otrzymujący polecenia klienta. Polityka obejmuje również relacje ze stronami trzecimi wymagające due diligence w zakresie prywatności, kontroli umownych, udokumentowanych poleceń, zatwierdzania podwykonawców przetwarzania, monitorowania, zapewnienia, interfejsu incydentowego, powiązania transferów, dowodów zwrotu, usunięcia lub wyjścia. Kluczową cechą polityki jest oparcie się na REG08 — Rejestrze podmiotów przetwarzających, podwykonawców przetwarzania i udostępniania danych — jako podstawowym obiekcie dowodowym dla zarządzania prywatnością w relacjach z podmiotami przetwarzającymi, podwykonawcami przetwarzania i stronami trzecimi. Polityka wymaga, aby osoba odpowiedzialna za prywatność / menedżer PIMS określał minimalne pola REG08 oraz klasyfikował relacje prywatności ze stronami trzecimi jako administrator, współadministrator, podmiot przetwarzający, podwykonawca przetwarzania albo inna relacja ze stroną trzecią przed zatwierdzeniem umowy lub przed rozpoczęciem przetwarzania PII. Wymaga również, aby właściciel ds. dostawców / zakupów blokował onboarding, odnowienie lub rozszerzenie do czasu uzupełnienia REG08 i powiązania go z zapisami takimi jak REG02, REG04, REG09 lub REG10, gdy te obiekty dowodowe zostaną uruchomione. Tworzy to udokumentowane powiązanie między nadzorem nad relacjami, inwentarzem przetwarzania, zapisami ryzyka i DPIA, dowodami transferów międzynarodowych, zapisami incydentów oraz działaniami korygującymi. Polityka ustanawia szczegółowe wymagania dotyczące due diligence, oceny ryzyka i kontroli umownej. Due diligence w zakresie prywatności musi zostać zakończone przed wyborem, odnowieniem lub istotną zmianą relacji z podmiotem przetwarzającym, podwykonawcą przetwarzania lub stroną trzecią, która przetwarza PII lub ma do nich dostęp. Dowody zapewnienia bezpieczeństwa muszą zostać przejrzane przez osobę odpowiedzialną za bezpieczeństwo informacji przed zatwierdzeniem, a relacje wysokiego ryzyka z podmiotami przetwarzającymi lub istotne zmiany w zakresie prywatności dotyczące stron trzecich uruchamiają ocenę ryzyka dla prywatności i ocenę potrzeby przeprowadzenia DPIA w REG04. Kontrole umowne i kontrole udokumentowanych poleceń są rozdzielone dla kontekstu administratora i podmiotu przetwarzającego. Gdy organizacja działa jako administrator, musi zarejestrować pisemną umowę z podmiotem przetwarzającym lub równoważne wiążące porozumienie, zanim podmiot przetwarzający zacznie przetwarzać PII. Gdy organizacja działa jako podmiot przetwarzający, umowy z klientami lub udokumentowane polecenia klienta muszą określać zatwierdzony zakres przetwarzania przed przetwarzaniem PII klienta. Polityka wymaga również objęcia umową wsparcia, zapewnienia bezpieczeństwa, interfejsu incydentowego w ramach PII15, zwrotu lub usunięcia w ramach PII10, powiązania transferów w ramach PII13 oraz współpracy w zakresie audytu lub zapewnienia. Nadzór nad podwykonawcami przetwarzania i podwykonawcami jest uregulowany przez szczególne wymagania dotyczące zatwierdzania, powiadamiania, obowiązków przenoszonych na dalsze podmioty i monitorowania. Właściciel ds. dostawców / zakupów musi utrzymywać w REG08 wykaz podwykonawców przetwarzania i podwykonawców, weryfikować upoważnienie klienta przed nawiązaniem współpracy, powiadamiać klientów o planowanych nowych lub zastępczych podwykonawcach przetwarzania zgodnie z właściwą umową oraz zapewnić przeniesienie obowiązków dotyczących prywatności, bezpieczeństwa, wsparcia, zwrotu, usunięcia, interfejsu incydentowego i powiązania transferów, zanim jakikolwiek podwykonawca przetwarzania zacznie przetwarzać PII. Powiadomienia o zmianie podwykonawcy przetwarzania po stronie administratora również muszą być śledzone, a decyzje dotyczące zatwierdzenia, sprzeciwu lub eskalacji rejestrowane w REG08 w umownym okresie na wniesienie sprzeciwu albo w terminie 10 dni roboczych od otrzymania powiadomienia, w zależności od tego, który termin jest krótszy. Polityka zamyka cykl życia poprzez bieżące monitorowanie, obsługę wsparcia, rejestrowanie ujawnień, powiązanie z incydentami, powiązanie transferów, dowody wyjścia, wyjątki, egzekwowanie i przegląd. Relacje wysokiego ryzyka z podmiotami przetwarzającymi i podwykonawcami przetwarzania są monitorowane kwartalnie, natomiast pozostałe aktywne relacje z podmiotami przetwarzającymi PII i podwykonawcami przetwarzania PII są monitorowane corocznie. Wnioski o wsparcie dotyczące praw osób, których dane dotyczą, DPIA, dowodów bezpieczeństwa, audytów lub zapewnienia dla klientów muszą być koordynowane przez REG08 i, gdy ma to zastosowanie, powiązane z REG06, REG04 lub REG12. Powiadomienia o incydentach prywatności związanych z dostawcami są kierowane do REG10 w ramach PII15 w ciągu jednego dnia roboczego, a dowody zwrotu, usunięcia, utylizacji lub przejścia muszą zostać uzyskane w ciągu 30 dni od zakończenia, wygaśnięcia, polecenia klienta lub zatwierdzonego zdarzenia wyjścia, chyba że obowiązuje krótszy termin umowny. Wyjątki są ograniczone czasowo, wymagają oceny wpływu na prywatność i mogą wymagać zatwierdzenia przez najwyższe kierownictwo, gdy dotyczą przetwarzania wysokiego ryzyka, brakujących dowodów umownych, luk w powiązaniu transferów lub zakresu certyfikacji.