50. Article

Veicot riska novērtējumu pirms ārpakalpojumu izmantošanas un īstenojot ārpakalpojumu sniedzēja darbības pastāvīgu uzraudzību, iestāde vismaz: 50.1. identificē un klasificē attiecīgās funkcijas, kā arī nosaka, vai ar tām saistītās sistēmas un dati ir sensitīvi un kādi aizsardzības pasākumi ir nepieciešami; 50.2. veic rūpīgu uz risku izvērtējumu balstītu analīzi par funkcijām, kuras paredzēts deleģēt ārpakalpojumu sniedzējiem vai kuras jau nodrošina ārpakalpojumu sniedzēji, un ar tām saistītajiem datiem un sistēmām, kā arī novērš iespējamos riskus, īpaši operacionālo risku, tai skaitā juridisko un atbilstības risku, kā arī reputācijas risku, un vērtē arī uzraudzības ierobežojumus attiecībā uz valstīm, kurās tiek nodrošināti vai var tikt nodrošināti ārpakalpojumi un tiek glabāti vai var tikt glabāti dati; 50.3. apsver sekas, ko rada ārpakalpojumu sniedzēja atrašanās vieta (dalībvalstī vai ārvalstī); 50.4. apsver attiecīgo jurisdikciju politisko stabilitāti un drošību, tai skaitā: 50.4.1. spēkā esošos tiesību aktus, tostarp tiesību aktus par fizisku personu datu aizsardzību; 50.4.2. spēkā esošos tiesībaizsardzības noteikumus; 50.4.3. maksātnespējas normatīvo aktu prasības, kas attiecas uz ārpakalpojumu sniedzēju, un jebkādus ierobežojumus (piemēram, darbības ierobežojumu noteikšanu, tiesvedības procesu), kas varētu rasties, īpaši saistībā ar nepieciešamību steidzami atgūt iestādes datus; 50.5. definē un pieņem lēmumus par piemērotu līmeni datu konfidencialitātes aizsardzībai, deleģēto darbību nepārtrauktību, datu un sistēmu integritāti un izsekojamību plānotās ārpakalpojumu izmantošanas kontekstā. Elektroniskās naudas iestādes un maksājumu iestādes arī apsver iespēju vajadzības gadījumā ieviest īpašus pasākumus attiecībā uz datiem, kuri tiek pārsūtīti vai tiek glabāti elektroniskajā atmiņā un pašlaik netiek izmantoti (piemēram, šifrēšanas tehnoloģiju izmantošanu apvienojumā ar piemērotas datu pārvaldības infrastruktūras nodrošināšanu); 50.6. novērtē, vai ārpakalpojumu sniedzējs ir iestādes meitas sabiedrība vai mātes sabiedrība, vai tas ir iekļauts konsolidācijas grupā vai subkonsolidācijas grupā un kādā apmērā iestāde to kontrolē vai spēj ietekmēt tā darbību. 51