Politika medzinárodného prenosu osobných údajov

Politika medzinárodného prenosu osobných údajov stanovuje požiadavky na identifikáciu, schvaľovanie, zaznamenávanie, preskúmavanie, obmedzovanie a pozastavenie medzinárodných prenosov osobných údajov. Uplatňuje sa na činnosti prevádzkovateľa, spoločného prevádzkovateľa, sprostredkovateľa a ďalšieho sprostredkovateľa, pri ktorých sa osobné údaje sprístupňujú, používajú prostredníctvom prístupu, uchovávajú, hostujú, poskytujú alebo inak prenášajú mimo schválenej hranice spracúvania zaznamenanej v REG02 alebo REG09. Rozsah zahŕňa interné pridružené spoločnosti, externých príjemcov, sprostredkovateľov, ďalších sprostredkovateľov, poskytovateľov služieb, podporný prístup, miesta hostovania, vzdialenú administráciu, ďalšie prenosy, žiadosti orgánu verejnej moci o poskytnutie údajov a zmeny služieb súvisiace s prenosom. Ústredným prvkom politiky je prístup založený na dôkazoch. Politika stanovuje, že medzinárodné prenosy musia byť identifikované pred začatím alebo zmenou spracúvania a že schválené záznamy o prenose sa musia udržiavať v REG09. REG09 je primárny dôkazový objekt prenosu, zatiaľ čo REG02, REG08 a REG12 poskytujú podporné dôkazy pre činnosti spracúvania, vzťahy s dodávateľmi a sprostredkovateľmi, výnimky, nezhody, nápravné opatrenia a preskúmanie manažmentom. Povinné polia REG09 zahŕňajú cieľové miesto prenosu, príjemcu, rolu PIMS, mechanizmus prenosu, podporné dôkazy, dátum preskúmania a vlastníka. Táto štruktúra má organizácii pomôcť preukázať zodpovednú správu a riadenie prenosov bez vytvárania duplicitných registrov posúdení vplyvu prenosu alebo štandardných zmluvných doložiek (SCC). Politika vymedzuje kontroly výberu mechanizmu prenosu, schvaľovania a preskúmania rizík. Pri prenosoch prevádzkovateľa vedúci ochrany súkromia / manažér PIMS zaznamená schválený mechanizmus prenosu a podporné dôkazy v REG09 pred začatím prenosu. Zodpovedná osoba pre ochranu osobných údajov / poradca pre ochranu súkromia preskúma dôkazy o mechanizme prenosu pred schválením nových, podstatne zmenených alebo rizikovejších medzinárodných prenosov osobných údajov a pri spustení vykoná preskúmanie rizík prenosu. Ak sa organizácia spolieha na technické záruky, vedúci informačnej bezpečnosti zaznamená stav závislosti od technických záruk v REG09 alebo REG12. Ak je zvyškové riziko prenosu vysoké, vrcholový manažment musí pred akceptáciou tohto rizika schváliť pokračovanie prevádzky prenosu v REG12. Politika rieši aj správu a riadenie sprostredkovateľov, ďalších sprostredkovateľov a ďalších prenosov. Vlastník dodávateľa / obstarávania musí pred začatím medzinárodných prenosov osobných údajov sprostredkovateľom získať zdokumentované schválenie alebo pokyn zákazníka v REG08 a REG09, zaznamenať schválenie ďalšieho sprostredkovateľa a prenesené podmienky prenosu a zabrániť ďalšiemu prenosu sprostredkovateľom alebo ďalším sprostredkovateľom, kým nebude zaznamenané schválenie zákazníka. Politika tiež vyžaduje, aby boli pred schválením zaznamenané trasy ďalšieho prenosu, kategórie príjemcov, obmedzenia a povinnosti. Žiadosti zahraničných orgánov verejnej moci o poskytnutie údajov musia byť, ak je to prakticky možné, zaznamenané v REG09 alebo REG12 pred poskytnutím údajov, alebo do jedného pracovného dňa, ak predchádzajúce zaznamenanie nie je prakticky možné; žiadosti významné z hľadiska ochrany súkromia musia byť, ak je to prakticky možné, preskúmané poradcom pre ochranu súkromia. Priebežná správa a riadenie sa zabezpečuje prostredníctvom definovaných požiadaviek na preskúmanie, meranie, výnimky a uplatňovanie politiky. Aktívne záznamy o prenose sa preskúmavajú aspoň raz ročne a do 30 dní od podstatnej zmeny prenosu, zatiaľ čo vedúci ochrany súkromia / manažér PIMS preskúmava oneskorené preskúmania prenosov, neúplné záznamy, pozastavené prenosy a otvorené výnimky z prenosov aspoň štvrťročne. Metriky zahŕňajú percento aktívnych záznamov REG09 s úplnými dôkazmi o mechanizme prenosu, oneskorené preskúmania prenosov, pozastavené alebo odložené prenosy, oneskorené dôkazy sprostredkovateľa alebo tretej strany a nespárované činnosti spracúvania REG02 s potenciálnymi ukazovateľmi medzinárodného prenosu. Výnimky musia byť zaznamenané v REG12 pred tým, ako nadobudnú účinnosť, musí im byť pridelený vlastník, dátum skončenia platnosti, kompenzačná kontrola a frekvencia preskúmania a musia sa preskúmavať aspoň mesačne až do uzavretia. Nezhody sa musia zaznamenať, ak sa zistia nezaznamenané prenosy, nepodporené mechanizmy, chýbajúce schválenie, oneskorené preskúmania, chýbajúce dôkazy o ďalšom prenose alebo neoprávnené pokračovanie.