Politika riadenia ochrany súkromia pre sprostredkovateľov, ďalších sprostredkovateľov a tretie strany

Politika riadenia ochrany súkromia pre sprostredkovateľov, ďalších sprostredkovateľov a tretie strany definuje, ako organizácia riadi externé strany, ktoré PII spracúvajú, pristupujú k nim, prijímajú ich, ukladajú, prenášajú, podporujú alebo s nimi inak nakladajú v rozsahu systému manažérstva informácií o súkromí. Uplatňuje sa, keď organizácia vystupuje ako prevádzkovateľ PII využívajúci sprostredkovateľov, ako spoločný prevádzkovateľ vyžadujúci klasifikáciu rolí, ako sprostredkovateľ využívajúci ďalších sprostredkovateľov alebo subdodávateľov a ako ďalší sprostredkovateľ prijímajúci pokyny zákazníka. Politika sa vzťahuje aj na vzťahy s tretími stranami, ktoré vyžadujú náležitú starostlivosť v oblasti ochrany súkromia, zmluvné kontroly, zdokumentované pokyny, schválenie ďalších sprostredkovateľov, monitorovanie, uistenie, rozhranie pre incidenty, väzbu na prenosy, vrátenie, výmaz alebo dôkazy o ukončení. Kľúčovou súčasťou politiky je jej opora o REG08 — Register sprostredkovateľov, ďalších sprostredkovateľov a zdieľania údajov — ako primárny dôkazový objekt pre riadenie ochrany súkromia vo vzťahu k sprostredkovateľom, ďalším sprostredkovateľom a tretím stranám. Politika vyžaduje, aby vedúci ochrany súkromia / manažér PIMS definoval minimálne polia REG08 a klasifikoval vzťahy s tretími stranami v oblasti ochrany súkromia ako prevádzkovateľ, spoločný prevádzkovateľ, sprostredkovateľ, ďalší sprostredkovateľ alebo iný vzťah s treťou stranou pred schválením zmluvy alebo pred začiatkom spracúvania PII. Zároveň vyžaduje, aby vlastník dodávateľa / obstarávania zablokoval nástup, obnovenie alebo rozšírenie, kým REG08 nie je vyplnený a prepojený so záznamami, ako sú REG02, REG04, REG09 alebo REG10, ak sa tieto dôkazové objekty aktivujú. Tým sa vytvára zdokumentovaná väzba medzi riadením vzťahov, evidenciou spracúvania, záznamami o rizikách a DPIA, dôkazmi o medzinárodných prenosoch, záznamami o incidentoch a nápravnými opatreniami. Politika stanovuje podrobné požiadavky na náležitú starostlivosť, posúdenie rizík a zmluvnú kontrolu. Náležitá starostlivosť v oblasti ochrany súkromia musí byť dokončená pred výberom, obnovením alebo podstatnou zmenou vzťahu so sprostredkovateľom, ďalším sprostredkovateľom alebo treťou stranou, ktorá spracúva PII alebo k nim pristupuje. Dôkazy o bezpečnostnom uistení musí pred schválením preskúmať vedúci informačnej bezpečnosti a vysoko rizikové vzťahy so sprostredkovateľmi alebo podstatné zmeny vzťahov s tretími stranami v oblasti ochrany súkromia spúšťajú posúdenie rizík ochrany súkromia a preverenie potreby DPIA v REG04. Kontroly zmlúv a zdokumentovaných pokynov sú oddelené pre kontext prevádzkovateľa a sprostredkovateľa. Ak organizácia koná ako prevádzkovateľ, musí zaznamenať písomnú zmluvu so sprostredkovateľom alebo rovnocennú záväznú dohodu predtým, ako sprostredkovateľ začne nakladať s PII. Ak organizácia koná ako sprostredkovateľ, zmluvy so zákazníkmi alebo zdokumentované pokyny zákazníka musia definovať oprávnený rozsah spracúvania pred spracúvaním PII zákazníka. Politika tiež vyžaduje, aby zmluvy pokrývali súčinnosť, bezpečnostné uistenie, rozhranie pre incidenty prostredníctvom PII15, vrátenie alebo výmaz prostredníctvom PII10, väzbu na prenosy prostredníctvom PII13 a spoluprácu pri audite alebo uistení. Správa a riadenie ďalších sprostredkovateľov a subdodávateľov je riešená prostredníctvom osobitných požiadaviek na schválenie, oznámenie, prenesené povinnosti a monitorovanie. Vlastník dodávateľa / obstarávania musí v REG08 udržiavať zoznam ďalších sprostredkovateľov a subdodávateľov, overiť schválenie zákazníkom pred začatím spolupráce, informovať zákazníkov o zamýšľaných nových alebo náhradných ďalších sprostredkovateľoch podľa príslušnej dohody a zabezpečiť prenesené povinnosti v oblasti ochrany súkromia, bezpečnosti, súčinnosti, vrátenia, výmazu, rozhrania pre incidenty a väzby na prenosy predtým, ako akýkoľvek ďalší sprostredkovateľ začne spracúvať PII. Oznámenia na strane prevádzkovateľa týkajúce sa zmien ďalších sprostredkovateľov sa musia tiež sledovať, pričom rozhodnutia o schválení, vznesení námietky alebo eskalácii sa zaznamenávajú v REG08 v rámci zmluvnej lehoty na vznesenie námietky alebo do 10 pracovných dní od prijatia oznámenia, podľa toho, ktorá lehota je kratšia. Politika uzatvára životný cyklus priebežným monitorovaním, vybavovaním žiadostí o súčinnosť, zaznamenávaním poskytnutí údajov, väzbami na incidenty, väzbami na prenosy, dôkazmi o ukončení, výnimkami, uplatňovaním a preskúmaním. Vysoko rizikové vzťahy so sprostredkovateľmi a ďalšími sprostredkovateľmi sa monitorujú štvrťročne, zatiaľ čo ostatné aktívne vzťahy so sprostredkovateľmi a ďalšími sprostredkovateľmi PII sa monitorujú ročne. Žiadosti o súčinnosť pri právach dotknutých osôb, DPIA, bezpečnostných dôkazoch, auditoch alebo požiadavkách zákazníkov na preukázanie súladu sa musia koordinovať prostredníctvom REG08 a podľa potreby prepájať s REG06, REG04 alebo REG12. Oznámenia o incidentoch ochrany súkromia súvisiacich s dodávateľmi smerujú do REG10 podľa PII15 do jedného pracovného dňa a dôkazy o vrátení, výmaze, likvidácii alebo prechode sa musia získať do 30 dní po ukončení, uplynutí platnosti, pokyne zákazníka alebo schválenej udalosti ukončenia, ak sa neuplatňuje kratšia zmluvná lehota. Výnimky sú časovo obmedzené, vyžadujú posúdenie dopadu na ochranu súkromia a môžu vyžadovať schválenie vrcholovým manažmentom, ak sa dotýkajú vysoko rizikového spracúvania, chýbajúcich zmluvných dôkazov, medzier vo väzbe na prenosy alebo rozsahu certifikácie.