49. Article

Veicot riska novērtējumu pirms ārpakalpojumu izmantošanas un īstenojot ārpakalpojumu sniedzēja darbības pastāvīgu uzraudzību, iestāde vismaz: 49.1. identificē un klasificē attiecīgās funkcijas, nosaka, vai ar tām saistītās sistēmas un dati ir sensitīvi un kādi aizsardzības pasākumi ir nepieciešami; 49.2. veic rūpīgu uz risku izvērtējumu balstītu analīzi par funkcijām un ar tām saistītajiem datiem un sistēmām, kuras paredzēts deleģēt ārpakalpojumu sniedzējiem vai kuras jau nodrošina ārpakalpojumu sniedzēji, un novērš iespējamos riskus, jo īpaši operacionālo risku, tostarp juridisko, informācijas un komunikācijas tehnoloģiju un atbilstības risku, kā arī reputācijas risku, un vērtē arī uzraudzības ierobežojumus attiecībā uz valstīm, kurās tiek nodrošināti vai var tikt nodrošināti ārpakalpojumi un tiek glabāti vai var tikt glabāti dati; 49.3. apsver sekas, ko rada pakalpojumu sniedzēja atrašanās vieta (dalībvalstī vai ārvalstī); 49.4. apsver attiecīgo jurisdikciju politisko stabilitāti un drošību, tostarp: 49.4.1. spēkā esošos tiesību aktus, tai skaitā tiesību aktus par fizisku personu datu aizsardzību; 49.4.2. spēkā esošos tiesībaizsardzības noteikumus; 49.4.3. maksātnespējas normatīvo aktu prasības, kas attiecas uz ārpakalpojumu sniedzēju, un jebkādus ierobežojumus (piemēram, darbības ierobežojumu noteikšanu, tiesvedības procesu), kas varētu rasties, īpaši saistībā ar nepieciešamību steidzami atgūt iestādes datus; 49.5. definē un pieņem lēmumus par piemērotu datu konfidencialitātes aizsardzības līmeni, deleģēto darbību nepārtrauktību un datu un sistēmu integritāti un izsekojamību plānotās ārpakalpojumu izmantošanas kontekstā. Iestādēm un maksājumu iestādēm ir arī jāapsver iespēja vajadzības gadījumā ieviest īpašus pasākumus attiecībā uz datiem, kuri tiek pārsūtīti, tiek glabāti elektroniskajā atmiņā un pašlaik netiek izmantoti, piemēram, šifrēšanas tehnoloģiju izmantošanu apvienojumā ar piemērotas datu pārvaldības infrastruktūras nodrošināšanu; 49.6. novērtē, vai ārpakalpojumu sniedzējs ir iestādes meitas sabiedrība vai mātes sabiedrība, vai tas ir iekļauts konsolidācijas grupā vai subkonsolidācijas grupā un kādā apmērā iestāde to kontrolē vai spēj ietekmēt tā darbību. 50