ISO/IEC29151標(biāo)準(zhǔn)承包商和PII處理者的隱私保護(hù)要求

目標(biāo)

通過(guò)合同或其他方式（如內(nèi)部的強(qiáng)制性策略）確保第三方接受者至少提供同等水平的 PII保護(hù)。

各組織應(yīng)采取適當(dāng)措施，確保承包商和PII處理商實(shí)施適當(dāng)水平的PII保護(hù)。

組織應(yīng)該:

a）服務(wù)級(jí)別協(xié)議中規(guī)定了 PII處理者必須滿足PII保護(hù)要求；

b）監(jiān)督和審核承包商對(duì)這些要求的執(zhí)行情況；

c）為承包商和PII處理者建立PII保護(hù)的角色和責(zé)任；

d）通過(guò)合同確定提供服務(wù)的時(shí)間框架，PII處理程序，處理PII的程度，方式和目的，以及處理的PII的類(lèi)型；

e）在服務(wù)結(jié)束后，終止任何管理協(xié)議，或根據(jù)PII控制人的請(qǐng)求，PII處理者應(yīng)返還或安全處置PII的條件；

f）包含一個(gè)保密條款，對(duì)承包商及其任何可能能夠訪問(wèn)PII的員工均具有約束力；

g）除非合同中明確允許，確保服務(wù)承包商不會(huì)將PII傳達(dá)給第三方（即使僅僅是為了保存）；

h）闡明服務(wù)承包商在發(fā)生影響PII的數(shù)據(jù)泄露事件時(shí)，具有通知PII控制人的義務(wù)；

i）通過(guò)合同確定，服務(wù)承包商應(yīng)通知PII控制者有關(guān)服務(wù)的相關(guān)變更，例如執(zhí)行了其他功能；

j）文件化并酌情溝通所有與PII保護(hù)相關(guān)的策略，程序和做法。

組織應(yīng)向法律顧問(wèn)，CPO和合同人員咨詢(xún)可能影響本控制措施實(shí)施的適用法律，指令, 策略或法規(guī)。

注：還應(yīng)實(shí)施15.1.2的其他指南。

其他信息用于保護(hù)PII

承包商和PII處理者可能包括但不限于服務(wù)部門(mén)，信息提供者，信息處理者、提供信息系統(tǒng)開(kāi)發(fā)，信息技術(shù)服務(wù)和其他外包應(yīng)用的組織。