Política de Gestão de Privacidade de Subcontratantes, Subcontratantes Subsequentes e Terceiros

A Política de Gestão de Privacidade de Subcontratantes, Subcontratantes Subsequentes e Terceiros define como uma organização governa partes externas que tratam, acedem, recebem, armazenam, transmitem, prestam suporte ou de outro modo tratam informações pessoais identificáveis (PII) no âmbito do Sistema de Gestão de Informação de Privacidade. Aplica-se quando a organização atua como responsável pelo tratamento de informações pessoais identificáveis (PII) utilizando subcontratantes, como responsável conjunto pelo tratamento que exige classificação de funções, como subcontratante que utiliza subcontratantes subsequentes ou outros subcontratados, e como subcontratante subsequente que recebe instruções de clientes. A política também abrange relações com terceiros que exigem diligência prévia de privacidade, controlos contratuais, instruções documentadas, aprovação de subcontratante subsequente, monitorização, garantia, interface de incidentes, ligação a transferências, devolução, apagamento ou evidência de saída. Uma característica central da política é a sua dependência do REG08 — Registo de Subcontratantes, Subcontratantes Subsequentes e Partilha de Dados — como objeto de evidência principal para a gestão de privacidade de subcontratantes, subcontratantes subsequentes e terceiros. A política exige que o Responsável de Privacidade / Gestor do PIMS defina os campos mínimos do REG08 e classifique as relações de privacidade com terceiros como responsável pelo tratamento, responsável conjunto pelo tratamento, subcontratante, subcontratante subsequente ou outra relação com terceiros antes da aprovação contratual ou antes do início do tratamento de informações pessoais identificáveis (PII). Exige também que o Proprietário do Fornecedor / Aquisição bloqueie a integração, renovação ou expansão até que o REG08 esteja completo e ligado a registos como REG02, REG04, REG09 ou REG10 quando esses objetos de evidência forem desencadeados. Isto cria uma ligação documentada entre governação da relação, inventário de tratamento, registos de risco e AIPD, evidência de transferência internacional, registos de incidentes e ações corretivas. A política estabelece requisitos detalhados para diligência prévia, avaliação de riscos e controlo contratual. A diligência prévia de privacidade deve ser concluída antes de selecionar, renovar ou alterar materialmente uma relação com um subcontratante, subcontratante subsequente ou terceiro que trate ou aceda a informações pessoais identificáveis (PII). A evidência de garantia de segurança deve ser revista pelo Responsável de Segurança da Informação antes da aprovação, e relações com subcontratantes de alto risco ou alterações materiais de privacidade relativas a terceiros desencadeiam avaliação de riscos de privacidade e triagem para AIPD no REG04. Os controlos de contrato e de instruções documentadas são separados para os contextos de responsável pelo tratamento e de subcontratante. Quando atua como responsável pelo tratamento, a organização deve registar um contrato escrito com o subcontratante ou um acordo vinculativo equivalente antes de um subcontratante tratar informações pessoais identificáveis (PII). Quando atua como subcontratante, os acordos com clientes ou as instruções documentadas dos clientes devem definir o âmbito autorizado do tratamento antes de as informações pessoais identificáveis (PII) dos clientes serem tratadas. A política também exige cobertura contratual para assistência, garantia de segurança, interface de incidentes através do PII15, devolução ou apagamento através do PII10, ligação a transferências através do PII13 e cooperação em auditoria ou garantia. A governação de subcontratantes subsequentes e outros subcontratados é abordada através de requisitos específicos de aprovação, aviso, obrigações em cadeia e monitorização. O Proprietário do Fornecedor / Aquisição deve manter no REG08 uma lista de subcontratantes subsequentes e outros subcontratados, verificar a autorização do cliente antes da contratação, notificar os clientes sobre novos subcontratantes subsequentes ou substituições pretendidas de acordo com o acordo aplicável, e assegurar obrigações em cadeia de privacidade, segurança, assistência, devolução, apagamento, interface de incidentes e ligação a transferências antes de qualquer subcontratante subsequente tratar informações pessoais identificáveis (PII). Os avisos de alteração de subcontratante subsequente do lado do responsável pelo tratamento também devem ser acompanhados, com decisões de aprovação, oposição ou escalonamento registadas no REG08 dentro do prazo contratual de oposição ou no prazo de 10 dias úteis após a receção do aviso, consoante o que for mais curto. A política completa o ciclo de vida com monitorização contínua, tratamento de assistência, registo de divulgações, ligação a incidentes, ligação a transferências, evidência de saída, exceções, aplicação e revisão. As relações de alto risco com subcontratantes e subcontratantes subsequentes são monitorizadas trimestralmente, enquanto outras relações ativas com subcontratantes e subcontratantes subsequentes de informações pessoais identificáveis (PII) são monitorizadas anualmente. Os pedidos de assistência relativos a direitos dos titulares dos dados, AIPD, evidência de segurança, auditorias ou garantia para clientes devem ser coordenados através do REG08 e ligados ao REG06, REG04 ou REG12, quando aplicável. As notificações de incidentes de privacidade relacionados com fornecedores são encaminhadas para o REG10 ao abrigo do PII15 no prazo de um dia útil, e a evidência de devolução, apagamento, eliminação ou transição deve ser obtida no prazo de 30 dias após a cessação, caducidade, instrução do cliente ou evento de saída aprovado, salvo se for aplicável um prazo contratual mais curto. As exceções são limitadas no tempo, exigem avaliação de impacto na privacidade e podem exigir aprovação da alta direção quando sejam afetados o tratamento de alto risco, a evidência contratual em falta, as lacunas de ligação a transferências ou o âmbito de certificação.