ISO/IEC29151标准承包商和PII处理者的隐私保护要求

目标

通过合同或其他方式（如内部的强制性策略）确保第三方接受者至少提供同等水平的 PII保护。

各组织应采取适当措施，确保承包商和PII处理商实施适当水平的PII保护。

组织应该:

a）服务级别协议中规定了 PII处理者必须满足PII保护要求；

b）监督和审核承包商对这些要求的执行情况；

c）为承包商和PII处理者建立PII保护的角色和责任；

d）通过合同确定提供服务的时间框架，PII处理程序，处理PII的程度，方式和目的，以及处理的PII的类型；

e）在服务结束后，终止任何管理协议，或根据PII控制人的请求，PII处理者应返还或安全处置PII的条件；

f）包含一个保密条款，对承包商及其任何可能能够访问PII的员工均具有约束力；

g）除非合同中明确允许，确保服务承包商不会将PII传达给第三方（即使仅仅是为了保存）；

h）阐明服务承包商在发生影响PII的数据泄露事件时，具有通知PII控制人的义务；

i）通过合同确定，服务承包商应通知PII控制者有关服务的相关变更，例如执行了其他功能；

j）文件化并酌情沟通所有与PII保护相关的策略，程序和做法。

组织应向法律顾问，CPO和合同人员咨询可能影响本控制措施实施的适用法律，指令, 策略或法规。

注：还应实施15.1.2的其他指南。

其他信息用于保护PII

承包商和PII处理者可能包括但不限于服务部门，信息提供者，信息处理者、提供信息系统开发，信息技术服务和其他外包应用的组织。