lsO/IEC29151标准披露分包的PII处置

lsO/IEC29151标准披露分包的PII处置

目标

确保PII处理者向PI控制者披露任何分包商的使用情况。

控制

PII处理者使用分包商处理PI，应事先向PII控制者披露。

保护PII的实施指南

应在PII处理者与PII控制者之间的合同中约定使用分包商处理PII的规则。

合同中应规定分包商只能在获得PII控制人的事先授权的情况下进行外包。

PIl处理者应及时通知PII控制者有关此方面的任何预期变更，以便PII控制者有能力反对此类变更或终止同意。

披露的信息应包括:使用分包的情况和相关分包商的名称，但不包括任何特定的业务细节。

披露的信息还应包括分包商可能处理数据的国家和分包商有义务达到或超过PII处理者义务的方式。

在评估分包商信息的公开披露所增加安全风险没有超出可接受的范围内,应根据保密协议或应PII控制者的要求进行披露。应使PII控制者知道分包商信息是可用的。