Politica privind transferurile internaționale de PII

Politica privind transferurile internaționale de PII stabilește cerințe pentru identificarea, aprobarea, înregistrarea, revizuirea, restricționarea și suspendarea transferurilor internaționale de PII. Se aplică activităților de operator, operator asociat, persoană împuternicită și persoană subîmputernicită în care PII sunt puse la dispoziție, accesate din, stocate în, găzduite în, divulgate către sau transferate în alt mod în afara limitei de prelucrare aprobate consemnate în REG02 sau REG09. Domeniul de aplicare include afiliați interni, destinatari externi, persoane împuternicite, persoane subîmputernicite, furnizori de servicii, acces pentru suport, locații de găzduire, administrare la distanță, transferuri ulterioare, solicitări de divulgare din partea autorităților publice și schimbări ale serviciilor legate de transferuri. O caracteristică centrală a politicii este abordarea bazată pe dovezi. Politica prevede că transferurile internaționale trebuie identificate înainte ca prelucrarea să înceapă sau să se modifice și că înregistrările de transfer aprobate trebuie menținute în REG09. REG09 este obiectul principal de dovezi privind transferurile, iar REG02, REG08 și REG12 furnizează dovezi-suport pentru activitățile de prelucrare, relațiile cu furnizorii și persoanele împuternicite, excepții, neconformități, acțiuni corective și revizuire de management. Câmpurile obligatorii REG09 includ destinația transferului, destinatarul, rolul PIMS, mecanismul de transfer, dovezile-suport, data revizuirii și proprietarul. Această structură este destinată să ajute organizația să demonstreze guvernanță responsabilă a transferurilor fără a crea registre duplicate pentru evaluări de impact privind transferurile sau SCC. Politica definește controale pentru selectarea mecanismului de transfer, aprobare și revizuirea riscurilor. Pentru transferurile efectuate de operator, Responsabilul pentru confidențialitate / Managerul PIMS înregistrează mecanismul de transfer aprobat și dovezile-suport în REG09 înainte de începerea transferului. Responsabilul cu protecția datelor / Consilierul pentru confidențialitate revizuiește dovezile privind mecanismul de transfer înainte de aprobarea transferurilor internaționale noi de PII, modificate semnificativ sau cu risc mai ridicat și finalizează revizuirea riscului de transfer atunci când aceasta este declanșată. Atunci când se utilizează măsuri tehnice de protecție, Responsabilul cu securitatea informației înregistrează starea dependenței de măsurile tehnice de protecție în REG09 sau REG12. Dacă riscul rezidual al transferului este ridicat, Conducerea de vârf trebuie să aprobe continuarea operării transferului în REG12 înainte ca riscul să fie acceptat. Guvernanța persoanelor împuternicite, a persoanelor subîmputernicite și a transferurilor ulterioare este, de asemenea, abordată. Proprietarul pentru furnizori / achiziții trebuie să obțină autorizarea sau instrucțiunea documentată a clientului în REG08 și REG09 înainte de inițierea transferurilor internaționale de PII de către persoana împuternicită, să înregistreze autorizarea persoanei subîmputernicite și condițiile de transfer transmise în lanț și să prevină transferul ulterior de către persoana împuternicită sau persoana subîmputernicită până când autorizarea clientului este înregistrată. Politica impune, de asemenea, ca rutele de transfer ulterior, categoriile de destinatari, restricțiile și obligațiile să fie înregistrate înainte de aprobare. Solicitările de divulgare din partea autorităților publice străine trebuie înregistrate în REG09 sau REG12 înainte de divulgare, acolo unde este practicabil, sau în termen de o zi lucrătoare atunci când înregistrarea prealabilă nu este practicabilă, iar solicitările semnificative din perspectiva confidențialității trebuie să fie supuse revizuirii de către consilierul pentru confidențialitate, acolo unde este practicabil. Guvernanța continuă este tratată prin cerințe definite de revizuire, măsurare, excepție și aplicare. Înregistrările active de transfer sunt revizuite cel puțin anual și în termen de 30 de zile de la o modificare semnificativă a transferului, iar Responsabilul pentru confidențialitate / Managerul PIMS revizuiește cel puțin trimestrial revizuirile de transfer restante, înregistrările incomplete, transferurile suspendate și excepțiile deschise privind transferurile. Metricile includ procentul de înregistrări REG09 active cu dovezi complete privind mecanismul de transfer, revizuirile de transfer restante, transferurile suspendate sau amânate, dovezile restante privind persoanele împuternicite sau terții și activitățile de prelucrare REG02 necorelate care au indicatori potențiali de transfer internațional. Excepțiile trebuie înregistrate în REG12 înainte de a deveni active, trebuie să aibă un proprietar, o dată de expirare, un control compensatoriu și o frecvență de revizuire și trebuie revizuite cel puțin lunar până la închidere. Neconformitățile trebuie înregistrate atunci când sunt identificate transferuri neînregistrate, mecanisme nesusținute, autorizare lipsă, revizuiri restante, dovezi lipsă privind transferurile ulterioare sau continuarea neautorizată.