מה דורשת בקרה A.2.5.7?
לפני השימוש, על הארגון לחשוף האם נעשה שימוש בקבלני משנה לעיבוד מידע אישי מזהה ללקוח.
בקרה זו נמצאת בתוך בקרות מעבד PII נספח (A.2) ועוסק בשקיפות מצד קבלני משנה. כאשר מעבד משתמש בקבלני משנה (מעבדי משנה) לעיבוד מידע אישי מטעם הבקר, יש ליידע את הבקר לפני שקבלן המשנה מתחיל בעיבוד. זוהי חובה פרואקטיבית: הגילוי חייב להתרחש לפני השימוש, לא לאחר מכן.
מה אומרות הנחיות היישום בנספח ב'?
נספח ב' (סעיף ב'.2.5.7) מספק את ההנחיות הבאות:
- הוראות חוזיות — יש לכלול בחוזה הלקוח הוראות לגילוי נאות של קבלני משנה
- היקף הגילוי — לחשוף את עובדת קבלנות המשנה ואת שמות קבלני המשנה
- מידע על מדינה והעברה — יש לחשוף גם את המדינות והארגונים שאליהם קבלני משנה יכולים להעביר נתונים ואת האמצעים שבהם קבלני המשנה עומדים בהתחייבויות המעבד או עולים עליהן.
- שיקולי סיכוני אבטחה — אם גילוי פומבי של פרטי קבלן משנה מגביר את הסיכון הביטחוני, ניתן לגלות זאת במסגרת הסכם סודיות (NDA) או לפי בקשה. עם זאת, יש תמיד לחשוף את רשימת המדינות ללא קשר
- ראה גם A.2.5.4: רישומי גילוי מידע אישי (PII) לצדדים שלישיים עבור דרישות קשורות
- ראה גם A.2.5.5: הודעה על בקשות גילוי מידע אישי עבור דרישות קשורות
ההנחיות מאזנות בין שקיפות לאבטחה. בעוד שלעיתים ייתכן שיהיה צורך לחשוף פרטים מלאים של קבלני משנה (כולל שמות ומצב תאימות) במסגרת סודיות כדי למנוע סיכוני אבטחה, יש לחשוף תמיד ללא הגבלה את המדינות אליהן ניתן להעביר מידע מזהה אישי. זה מבטיח שבקרים יוכלו תמיד להעריך את תאימות ההעברה מעבר לגבולות.
איך זה מתיישב עם תקנות ה-GDPR?
מפות בקרה A.2.5.7 לבא GDPR מאמרים:
- סעיף 28 (2) — המעבד לא יעסיק מעבד אחר ללא אישור מראש ובכתב, ספציפי או כללי, מהבקר. במקרה של אישור כללי בכתב, המעבד יודיע לבעלי השליטה על כל שינוי מתוכנן הנוגע להוספה או להחלפה של מעבדים אחרים, ובכך ייתן לבעלי השליטה את האפשרות להתנגד.
- סעיף 28 (4) — כאשר מעבד שוכר מעבד אחר לביצוע פעילויות עיבוד ספציפיות מטעם הבקר, אותן חובות הגנת מידע כפי שנקבעו בחוזה בין הבקר למעבד יחולו על מעבד אחר זה.
GDPR סעיף 28(2) דורש אישור ספציפי (ציון שם כל מעבד משנה) או אישור כללי עם מנגנון הודעה והתנגדות. כך או כך, על הבקר לדעת על מעבדי משנה לפני שהם מתחילים בעיבוד.
מה השתנה מ-ISO 27701:2019?
לגישה שלב אחר שלב, עיינו ב המעבר מ-2019 ל-2025.
במהדורת 2019, דרישה זו טופלה במסגרת מבנה הסעיפים הרחב יותר. מהדורת 2025 מספקת את A.2.5.7 כבקרה עצמאית עם הנחיות יישום ב-B.2.5.7 המוסיפות כיסוי מפורש של דרישות גילוי של מדינה, הוראות סודיות לגילויים רגישים לאבטחה והדרישה לגלות כיצד קבלני משנה עומדים או עולים על התחייבויות המעבד. ראה את טבלת התאמה בנספח ו' עבור המיפוי המלא.
ניהול כל דרישות התאימות, הכל במקום אחד
ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.
אילו ראיות מצפים רואי החשבון?
בעת הערכת עמידה בדרישות A.2.5.7, מבקרים בדרך כלל יחפשו:
- רישום קבלני משנה — רישום מתוחזק של כל קבלני המשנה המשמשים לעיבוד מידע אישי, כולל שמותיהם, פעילויות העיבוד, מיקומם ותאריך גילוי המידע לכל לקוח.
- רישומי גילוי טרום-התקשרות — ראיות לכך שקבלני משנה נחשפו ללקוחות לפני שהחלו לעבד מידע אישי, ולא לאחר מכן
- מידע על המדינה — תיעוד של המדינות והארגונים שבהם כל קבלן משנה מעבד או מעביר מידע אישי
- ראיות תאימות — רישומים המראים כיצד קבלני משנה עומדים או עולים על התחייבויות המעבד עצמו, כגון אישורים, דוחות ביקורת או התחייבויות חוזיות.
- הוראות חוזיות — סעיפי חוזה המגדירים את הליך גילוי הקבלן המשנה, לרבות האם חלה הרשאה ספציפית או כללית וזכות הלקוח להתנגד
מהן הבקרות הרלוונטיות?
| שליטה | קשר |
|---|---|
| A.2.5.8 התקשרות עם קבלני משנה | מסדיר את דרישות החוזיות והאישור להעסקת קבלן המשנה בפועל |
| A.2.5.3 מדינות להעברת מידע אישי | יש לכלול מדינות קבלני משנה ברשימת יעדי ההעברה |
| A.2.5.2 בסיס להעברת מידע אישי | העברות לקבלני משנה בתחומי שיפוט אחרים דורשות בסיס משפטי מתועד |
| A.2.2.2 הסכם לקוח | החוזה מגדיר את מודל ההסמכה של קבלני המשנה (ספציפי או כללי) |
| A.2.2.6 התחייבויות הלקוח | שקיפות של קבלני משנה עוזרת ללקוחות להדגים את עמידתם בדרישות |
על מי חלה שליטה זו?
סעיף A.2.5.7 חל אך ורק על מעבדי PIIבקרים אחראים בסופו של דבר לעיבוד מידע אישי מזהה, כולל עיבוד המבוצע על ידי מעבדי משנה מטעמם. ללא שקיפות לגבי מי מעבד את הנתונים שלהם והיכן, בקרים אינם יכולים למלא את חובות האחריות שלהם. בקרה זו מבטיחה שמעבדים לא יכניסו קבלני משנה לשרשרת העיבוד ללא ידיעת הבקר.
התחל בקלות עם הדגמת מוצר אישית
אחד ממומחי הקליטה שלנו ידריך אותך בפלטפורמה שלנו כדי לעזור לך להתחיל בביטחון.
למה לבחור ISMS.online לניהול גילוי נאות של קבלני משנה?
ISMS.online מספק כלים מעשיים לניהול שקיפות של קבלני משנה:
- רישום קבלני משנה — ניהול רישום מרכזי של כל מעבדי המשנה, כולל שמותיהם, פעילויות העיבוד, מיקומם, אישוריהם ומצב התאימות שלהם.
- זרימות עבודה של גילוי נאות — ניהול זרימות עבודה של גילוי נאות של לקוחות, בקשות אישור וטיפול בהתנגדויות, כולל מעקב אחר התראות לקוחות
- מיפוי מדינות — קישור קבלני משנה למדינות העיבוד שלהם, עדכון אוטומטי של מרשם יעדי ההעברה כאשר קבלני המשנה משתנים
- ניטור תאימות — מעקב אחר ראיות תאימות של קבלני משנה (אישורים, דוחות ביקורת, תנאי חוזה) וסמן כאשר הראיות פגות תוקפן או דורשות חידוש.
- פורטל לקוחות — לספק ללקוחות נראות על רישום קבלני המשנה שלכם, להפחית בקשות מידע אד-הוק ולהדגים שקיפות מתמשכת
שאלות נפוצות
איזה מידע יש לחשוף לגבי קבלני משנה?
לכל הפחות, על המעבד לחשוף: את העובדה שנעשה שימוש בקבלני משנה; את שמות קבלני המשנה; את המדינות והארגונים שאליהם קבלני משנה יכולים להעביר מידע אישי מזהה; ואת האמצעים שבהם קבלני המשנה עומדים או חורגים מהתחייבויות המעבד עצמו (כגון אישורים, תנאי חוזים או תוצאות ביקורת). אם חשיפת שמות קבלני המשנה יוצרה סיכון ביטחוני, ניתן לחשוף את השמות במסגרת הסכם סודיות או לפי בקשה, אך יש תמיד לחשוף את רשימת המדינות בגלוי.
מה ההבדל בין אישור ספציפי לאישור כללי?
לפי סעיף 28(2) של GDPR, הבקר יכול להעניק הרשאה ספציפית (אישור כל מעבד משנה בנפרד לפני ההעסקה) או הרשאה כללית (מתן הרשאה גורפת למעבד להשתמש במעבדי משנה, בכפוף למנגנון הודעה והתנגדויות). בהרשאה כללית, על המעבד להודיע לבקר על כל שינוי מכוון במעבדי משנה ולתת לבקר את ההזדמנות להתנגד לפני כניסת השינוי לתוקף. החוזה צריך לציין בבירור איזה מודל חל.
האם מעבד יכול לסרב לחשוף שמות של קבלני משנה?
ההנחיות בנספח ב' מאפשרות למנוע גילוי שמות לציבור אם פעולה זו מגדילה את הסיכון הביטחוני, בתנאי שהם נחשפים במסגרת הסכם סודיות או על פי בקשה. עם זאת, המעבד אינו יכול לסרב לחשוף שמות ללקוח לחלוטין, מכיוון שהבקר זקוק למידע זה כדי למלא את התחייבויותיו. יש לחשוף תמיד את רשימת המדינות ללא הגבלה. בפועל, רוב הלקוחות מצפים לשמות מלאים של קבלני משנה כחלק מהסכם עיבוד הנתונים או לרשימת מעבדי משנה זמינה לציבור.
צוותי רכש משתמשים בבקרות אלו כדי להעריך מעבדים - ראו את מדריך דרישות רכש ו מדריך להערכת ספקים.
את העתיד מדריך לדרישות ראיות ביקורת מפרט למה מצפים מבקרי תיעוד של קבלני משנה.
