Politik for international overførsel af personhenførbare oplysninger (PII)

Politik for international overførsel af personhenførbare oplysninger (PII) fastsætter krav til identifikation, godkendelse, registrering, gennemgang, begrænsning og suspension af internationale overførsler af personhenførbare oplysninger (PII). Den gælder på tværs af aktiviteter som dataansvarlig, fælles dataansvarlig, databehandler og underdatabehandler, hvor personhenførbare oplysninger (PII) gøres tilgængelige for, tilgås fra, lagres i, hostes i, videregives til eller på anden måde overføres uden for den godkendte behandlingsafgrænsning, der er registreret i REG02 eller REG09. Omfanget omfatter interne tilknyttede selskaber, eksterne modtagere, databehandlere, underdatabehandlere, tjenesteudbydere, supportadgang, hostinglokationer, fjernadministration, videreoverførsler, anmodninger fra offentlige myndigheder om videregivelse og overførselsrelaterede serviceændringer. Et centralt element i politikken er den dokumentationsdrevne tilgang. Politikken fastslår, at internationale overførsler skal identificeres, før behandling påbegyndes eller ændres, og at godkendte overførselsregistreringer skal vedligeholdes i REG09. REG09 er det primære bevisobjekt for overførsler, mens REG02, REG08 og REG12 giver understøttende dokumentation for behandlingsaktiviteter, leverandør- og databehandlerforhold, undtagelser, afvigelser, korrigerende handlinger og ledelsens gennemgang. Påkrævede REG09-felter omfatter overførselsdestination, modtager, PIMS-rolle, overførselsgrundlag, understøttende dokumentation, gennemgangsdato og ejer. Denne struktur skal hjælpe organisationen med at dokumentere ansvarlig overførselsstyring uden at oprette duplikerede registre for konsekvensanalyse vedrørende overførsel eller SCC'er. Politikken definerer kontroller for valg af overførselsgrundlag, godkendelse og risikogennemgang. For overførsler som dataansvarlig registrerer den ansvarlige for databeskyttelse / PIMS-ansvarlig det godkendte overførselsgrundlag og den understøttende dokumentation i REG09, før overførslen påbegyndes. Databeskyttelsesrådgiver (DPO) / rådgiver inden for databeskyttelse gennemgår dokumentation for overførselsgrundlag før godkendelse af nye, væsentligt ændrede internationale overførsler af personhenførbare oplysninger (PII) eller internationale overførsler af personhenførbare oplysninger (PII) med højere risiko og gennemfører gennemgang af overførselsrisiko, når den udløses. Hvor tekniske sikkerhedsforanstaltninger anvendes som grundlag, registrerer den informationssikkerhedsansvarlige afhængighedsstatus for tekniske sikkerhedsforanstaltninger i REG09 eller REG12. Hvis restrisikoen ved overførsel er høj, skal øverste ledelse godkende fortsat overførselsdrift i REG12, før risikoen accepteres. Styring af databehandlere, underdatabehandlere og videreoverførsler behandles også. Den ansvarlige for leverandør/indkøb skal indhente dokumenteret kundegodkendelse eller instruks i REG08 og REG09, før internationale overførsler af personhenførbare oplysninger (PII) som databehandler initieres, registrere underdatabehandlergodkendelse og krav om videreførelse af overførselsbetingelser samt forhindre videreoverførsel fra databehandler eller underdatabehandler, indtil kundegodkendelse er registreret. Politikken kræver også, at ruter for videreoverførsel, modtagerkategorier, begrænsninger og forpligtelser registreres før godkendelse. Udenlandske offentlige myndigheders anmodninger om videregivelse skal registreres i REG09 eller REG12 før videregivelse, hvor det er praktisk muligt, eller inden for én arbejdsdag, hvor forudgående registrering ikke er praktisk mulig, og anmodninger med væsentlig databeskyttelsesbetydning skal gennemgås af rådgiver inden for databeskyttelse, hvor det er praktisk muligt. Løbende styring håndteres gennem definerede krav til gennemgang, måling, undtagelser og håndhævelse. Aktive overførselsregistreringer gennemgås mindst årligt og inden for 30 dage efter en væsentlig ændring af en overførsel, mens den ansvarlige for databeskyttelse / PIMS-ansvarlig mindst kvartalsvist gennemgår forfaldne overførselsgennemgange, ufuldstændige registreringer, suspenderede overførsler og åbne overførselsundtagelser. Målinger omfatter procentdelen af aktive REG09-registreringer med fuldstændig dokumentation for overførselsgrundlag, forfaldne overførselsgennemgange, suspenderede eller udskudte overførsler, forfalden databehandler- eller tredjepartsdokumentation og uoverensstemmende REG02-behandlingsaktiviteter med mulige indikatorer på international overførsel. Undtagelser skal registreres i REG12, før de bliver aktive, tildeles en ejer, en udløbsdato, en kompenserende kontrol og en gennemgangsfrekvens og gennemgås mindst månedligt indtil lukning. Afvigelser skal registreres, når uregistrerede overførsler, ikke-understøttede overførselsgrundlag, manglende godkendelse, forfaldne gennemgange, manglende dokumentation for videreoverførsel eller uautoriseret fortsættelse identificeres.