Politika upravljanja obdelovalcev, podobdelovalcev in zasebnosti pri tretjih osebah

Politika upravljanja obdelovalcev, podobdelovalcev in zasebnosti pri tretjih osebah določa, kako organizacija upravlja zunanje strani, ki obdelujejo osebno določljive podatke, dostopajo do njih, jih prejemajo, hranijo, prenašajo, podpirajo ali drugače ravnajo z njimi v okviru področja uporabe sistema upravljanja informacij o zasebnosti. Uporablja se, kadar organizacija deluje kot upravljavec osebno določljivih podatkov, ki uporablja obdelovalce, kot skupni upravljavec, pri katerem je potrebna razvrstitev vlog, kot obdelovalec, ki uporablja podobdelovalce ali podizvajalce, in kot podobdelovalec, ki prejema navodila naročnika. Politika zajema tudi razmerja s tretjimi osebami, ki zahtevajo skrbni pregled zasebnosti, pogodbene kontrole, dokumentirana navodila, odobritev podobdelovalcev, spremljanje, zagotovila, stično točko za obravnavo incidentov, povezavo s prenosi ter dokazila o vračilu, izbrisu ali izstopu. Ključna značilnost politike je uporaba REG08 — Registra obdelovalcev, podobdelovalcev in deljenja podatkov — kot primarnega dokaznega objekta za upravljanje zasebnosti pri obdelovalcih, podobdelovalcih in tretjih osebah. Politika zahteva, da vodja zasebnosti / vodja PIMS določi minimalna polja REG08 in razvrsti razmerja s tretjimi osebami na področju zasebnosti kot upravljavec, skupni upravljavec, obdelovalec, podobdelovalec ali drugo razmerje s tretjo osebo pred odobritvijo pogodbe ali pred začetkom obdelave osebno določljivih podatkov. Zahteva tudi, da lastnik dobaviteljev / nabave blokira uvajanje, podaljšanje ali širitev, dokler REG08 ni izpolnjen in povezan z zapisi, kot so REG02, REG04, REG09 ali REG10, kadar se ti dokazni objekti sprožijo. To vzpostavlja dokumentirano povezavo med upravljanjem razmerij, popisom dejavnosti obdelave, evidencami tveganj in DPIA, dokazili o mednarodnih prenosih, zapisi o incidentih in korektivnimi ukrepi. Politika določa podrobne zahteve za skrbni pregled, oceno tveganja in pogodbene kontrole. Skrbni pregled zasebnosti mora biti opravljen pred izbiro, podaljšanjem ali bistveno spremembo razmerja z obdelovalcem, podobdelovalcem ali tretjo osebo, ki obdeluje osebno določljive podatke ali dostopa do njih. Vodja informacijske varnosti mora pred odobritvijo pregledati dokazila o varnostnih zagotovilih, razmerja z obdelovalci z visokim tveganjem ali bistvene spremembe obdelave pri tretji osebi pa sprožijo preverjanje tveganj za zasebnost in potrebe po DPIA v REG04. Pogodbeni nadzor in kontrole dokumentiranih navodil so ločeni za kontekste upravljavca in obdelovalca. Kadar organizacija deluje kot upravljavec, mora pred tem, ko obdelovalec ravna z osebno določljivimi podatki, evidentirati pisno pogodbo z obdelovalcem ali enakovreden zavezujoč dogovor. Kadar deluje kot obdelovalec, morajo pogodbe z naročnikom ali dokumentirana navodila naročnika opredeliti odobreno področje obdelave, preden se obdelujejo osebno določljivi podatki naročnika. Politika zahteva tudi pogodbeno pokritost za pomoč, varnostna zagotovila, stično točko za obravnavo incidentov prek PII15, vračilo ali izbris prek PII10, povezavo s prenosom prek PII13 ter sodelovanje pri reviziji ali zagotovilih. Upravljanje podobdelovalcev in podizvajalcev je obravnavano s posebnimi zahtevami glede odobritve, obveščanja, prenesenih obveznosti in spremljanja. Lastnik dobaviteljev / nabave mora v REG08 vzdrževati seznam podobdelovalcev in podizvajalcev, preveriti odobritev naročnika pred vključitvijo, naročnike obvestiti o predvidenih novih ali nadomestnih podobdelovalcih v skladu z veljavnim dogovorom ter zagotoviti prenesene obveznosti glede zasebnosti, varnosti, pomoči, vračila, izbrisa, stične točke za obravnavo incidentov in povezave s prenosom, preden kateri koli podobdelovalec obdeluje osebno določljive podatke. Obvestila o spremembi podobdelovalca na strani upravljavca je treba prav tako spremljati, odločitve o odobritvi, ugovoru ali eskalaciji pa evidentirati v REG08 v pogodbenem roku za ugovor ali v 10 delovnih dneh po prejemu obvestila, kar koli je krajše. Politika življenjski cikel dopolnjuje s stalnim spremljanjem, obravnavo pomoči, evidentiranjem razkritij, povezavo z incidenti, povezavo s prenosi, dokazili o izstopu, izjemami, uveljavljanjem in pregledom. Razmerja z obdelovalci in podobdelovalci z visokim tveganjem se spremljajo četrtletno, druga aktivna razmerja z obdelovalci in podobdelovalci osebno določljivih podatkov pa letno. Zahteve za pomoč v zvezi s pravicami posameznikov, na katere se nanašajo osebno določljivi podatki, DPIA, varnostnimi dokazili, revizijami ali zagotovili naročnikom je treba usklajevati prek REG08 in jih, kjer je ustrezno, povezati z REG06, REG04 ali REG12. Obvestila o incidentih zasebnosti, povezanih z dobavitelji, se v skladu s PII15 v enem delovnem dnevu usmerijo v REG10, dokazila o vračilu, izbrisu, odstranjevanju ali prehodu pa je treba pridobiti v 30 dneh po prenehanju, izteku, navodilu naročnika ali odobrenem dogodku izstopa, razen če velja krajši pogodbeni rok. Izjeme so časovno omejene, zahtevajo presojo vpliva na zasebnost in lahko zahtevajo odobritev najvišjega vodstva, kadar vplivajo na obdelavo z visokim tveganjem, manjkajoča pogodbena dokazila, vrzeli v povezavah s prenosi ali področje uporabe certifikacije.