ISO/IEC29151标准承包商和PII处理者的隐私保护要求
发布时间:2020-07-09 作者:广汇联合 来源:广汇联合
ISO/IEC29151标准承包商和PII处理者的隐私保护要求
目标
通过合同或其他方式(如内部的强制性策略)确保第三方接受者至少提供同等水平的 PII保护。
控制
各组织应采取适当措施,确保承包商和PII处理商实施适当水平的PII保护。
保护PII的实施指南
组织应该:
a) 服务级别协议中规定了 PII处理者必须满足PII保护要求;
b) 监督和审核承包商对这些要求的执行情况;
c) 为承包商和PII处理者建立PII保护的角色和责任;
d) 通过合同确定提供服务的时间框架,PII处理程序,处理PII的程度,方式和目的, 以及处理的PII的类型;
e) 在服务结束后,终止任何管理协议,或根据PII控制人的请求,PII处理者应返还或 安全处置PII的条件;
f) 包含一个保密条款,对承包商及其任何可能能够访问PII的员工均具有约束力;
g) 除非合同中明确允许,确保服务承包商不会将PII传达给第三方(即使仅仅是为了 保存);
h) 阐明服务承包商在发生影响PII的数据泄露事件时,具有通知PII控制人的义务;
i) 通过合同确定,服务承包商应通知PII控制者有关服务的相关变更,例如执行了其他 功能;
j) 文件化并酌情沟通所有与PII保护相关的策略,程序和做法。
组织应向法律顾问,CPO和合同人员咨询可能影响本控制措施实施的适用法律,指令, 策略或法规。
注:还应实施15.1.2的其他指南。
其他信息用于保护PII
承包商和PII处理者可能包括但不限于服务部门,信息提供者,信息处理者、提供信息 系统开发,信息技术服务和其他外包应用的组织。