Politika mednarodnih prenosov osebno določljivih podatkov

Politika mednarodnih prenosov osebno določljivih podatkov določa zahteve za identifikacijo, odobritev, evidentiranje, pregledovanje, omejevanje in začasno ustavitev mednarodnih prenosov osebno določljivih podatkov. Uporablja se za dejavnosti upravljavca, skupnega upravljavca, obdelovalca in podobdelovalca, kadar so osebno določljivi podatki dani na voljo, dostopni iz, shranjeni v, gostovani v, razkriti ali drugače preneseni zunaj odobrene meje obdelave, evidentirane v REG02 ali REG09. Področje uporabe vključuje notranje povezane družbe, zunanje prejemnike, obdelovalce, podobdelovalce, izvajalce storitev, podporni dostop, lokacije gostovanja, oddaljeno upravljanje, nadaljnje prenose, zahteve javnih organov za razkritje in spremembe storitev, povezane s prenosom. Osrednja značilnost politike je pristop, ki temelji na dokazilih. Politika določa, da morajo biti mednarodni prenosi identificirani pred začetkom ali spremembo obdelave ter da se morajo odobrene evidence prenosov vzdrževati v REG09. REG09 je primarni dokazni objekt za prenos, REG02, REG08 in REG12 pa zagotavljajo podporna dokazila za dejavnosti obdelave, razmerja z dobavitelji in obdelovalci, izjeme, neskladnosti, korektivne ukrepe in vodstveni pregled. Zahtevana polja REG09 vključujejo destinacijo prenosa, prejemnika, vlogo PIMS, mehanizem prenosa, podporna dokazila, datum pregleda in lastnika. Ta struktura je namenjena podpori dokazljivega odgovornega upravljanja prenosov brez ustvarjanja podvojenih registrov ocen vpliva prenosa ali standardnih pogodbenih klavzul. Politika določa kontrole za izbiro mehanizma prenosa, odobritev in pregled tveganja. Pri prenosih upravljavca vodja zasebnosti / vodja PIMS evidentira odobreni mehanizem prenosa in podporna dokazila v REG09 pred začetkom prenosa. Pooblaščena oseba za varstvo podatkov / svetovalec za zasebnost pregleda dokazila o mehanizmu prenosa pred odobritvijo novih, bistveno spremenjenih ali bolj tveganih mednarodnih prenosov osebno določljivih podatkov ter izvede pregled tveganja prenosa, kadar je sprožen. Kadar se organizacija zanaša na tehnične zaščitne ukrepe, vodja informacijske varnosti evidentira status odvisnosti od tehničnih zaščitnih ukrepov v REG09 ali REG12. Če je preostalo tveganje prenosa visoko, mora najvišje vodstvo odobriti nadaljnje izvajanje prenosa v REG12, preden se to tveganje sprejme. Obravnavano je tudi upravljanje obdelovalcev, podobdelovalcev in nadaljnjih prenosov. Lastnik dobavitelja / nabave mora pred začetkom mednarodnih prenosov osebno določljivih podatkov s strani obdelovalca pridobiti dokumentirano odobritev ali navodilo naročnika v REG08 in REG09, evidentirati odobritev podobdelovalca in prenesene obveznosti za prenos ter preprečiti nadaljnji prenos obdelovalca ali podobdelovalca, dokler odobritev naročnika ni evidentirana. Politika zahteva tudi, da so poti nadaljnjega prenosa, kategorije prejemnikov, omejitve in obveznosti evidentirane pred odobritvijo. Zahteve tujih javnih organov za razkritje morajo biti evidentirane v REG09 ali REG12 pred razkritjem, kadar je to izvedljivo, oziroma v enem delovnem dnevu, kadar predhodno evidentiranje ni izvedljivo; zahteve, pomembne z vidika zasebnosti, pa morajo, kadar je izvedljivo, prejeti pregled svetovalca za zasebnost. Stalno upravljanje se izvaja z določenimi zahtevami za pregled, merjenje, izjeme in izvajanje. Aktivne evidence prenosov se pregledajo najmanj letno in v 30 dneh po bistveni spremembi prenosa, medtem ko vodja zasebnosti / vodja PIMS najmanj četrtletno pregleda zapadle preglede prenosov, nepopolne evidence, začasno ustavljene prenose in odprte izjeme glede prenosov. Kazalniki vključujejo odstotek aktivnih evidenc REG09 s popolnimi dokazili o mehanizmu prenosa, zapadle preglede prenosov, začasno ustavljene ali odložene prenose, zapadla dokazila obdelovalca ali tretje osebe ter neusklajene dejavnosti obdelave REG02 z morebitnimi kazalniki mednarodnega prenosa. Izjeme morajo biti evidentirane v REG12, preden postanejo aktivne, ter imeti dodeljenega lastnika, datum poteka, kompenzacijsko kontrolo in pogostost pregleda; do zaprtja se pregledajo najmanj mesečno. Neskladnosti je treba evidentirati, kadar so ugotovljeni neevidentirani prenosi, nepodprti mehanizmi, manjkajoča odobritev, zapadli pregledi, manjkajoča dokazila o nadaljnjem prenosu ali nepooblaščeno nadaljevanje.