Politik for styring af databehandlere, underdatabehandlere og tredjepartsforhold vedrørende databeskyttelse

Politik for styring af databehandlere, underdatabehandlere og tredjepartsforhold vedrørende databeskyttelse definerer, hvordan en organisation styrer eksterne parter, der behandler, tilgår, modtager, lagrer, transmitterer, understøtter eller på anden måde håndterer PII inden for PIMS-omfanget. Den finder anvendelse, når organisationen optræder som dataansvarlig og anvender databehandlere, som fælles dataansvarlig, hvor rolleklassificering kræves, som databehandler, der anvender underdatabehandlere eller underleverandører, og som underdatabehandler, der modtager kundens instruks. Politikken dækker også tredjepartsforhold, der kræver due diligence vedrørende databeskyttelse, kontraktkontroller, dokumenteret instruks, godkendelse af underdatabehandlere, overvågning, assurance, hændelsesgrænseflade, kobling til overførsel samt bevismateriale for tilbagelevering, sletning eller afvikling. Et centralt element i politikken er dens anvendelse af REG08 — registeret over databehandlere, underdatabehandlere og datadeling — som det primære bevisobjekt for styring af databehandlere, underdatabehandlere og tredjepartsforhold vedrørende databeskyttelse. Politikken kræver, at den ansvarlige for databeskyttelse/den PIMS-ansvarlige definerer minimumsfelter i REG08 og klassificerer tredjepartsforhold vedrørende databeskyttelse som dataansvarlig, fælles dataansvarlig, databehandler, underdatabehandler eller andet tredjepartsforhold før kontraktgodkendelse eller før behandling af PII påbegyndes. Den kræver også, at den leverandør-/indkøbsansvarlige blokerer onboarding, fornyelse eller udvidelse, indtil REG08 er udfyldt og koblet til registreringer som REG02, REG04, REG09 eller REG10, hvor disse bevisobjekter udløses. Dette skaber en dokumenteret kobling mellem styring af relationer, fortegnelser over behandlingsaktiviteter, risiko- og DPIA-registreringer, dokumentation for internationale overførsler, hændelsesregistreringer og korrigerende handlinger. Politikken fastsætter detaljerede krav til due diligence, risikovurdering og kontraktlig kontrol. Due diligence vedrørende databeskyttelse skal gennemføres før valg, fornyelse eller væsentlig ændring af et databehandler-, underdatabehandler- eller tredjepartsforhold, der behandler eller tilgår PII. Dokumentation for sikkerhedsassurance skal gennemgås af den informationssikkerhedsansvarlige før godkendelse, og højrisikoforhold med databehandlere eller væsentlige databeskyttelsesrelaterede ændringer hos en tredjepart udløser risikovurdering vedrørende databeskyttelse og DPIA-screening i REG04. Kontraktkontroller og kontroller for dokumenteret instruks adskilles for dataansvarlig- og databehandlerkontekster. Når organisationen optræder som dataansvarlig, skal den registrere en skriftlig databehandlerkontrakt eller tilsvarende bindende aftale, før en databehandler håndterer PII. Når organisationen optræder som databehandler, skal kundeaftaler eller kundens dokumenterede instruks definere det godkendte behandlingsomfang, før kundens PII behandles. Politikken kræver også kontraktdækning for bistand, sikkerhedsassurance, hændelsesgrænseflade via PII15, tilbagelevering eller sletning via PII10, kobling til overførsel via PII13 samt samarbejde om revision eller assurance. Styring af underdatabehandlere og underleverandører behandles gennem specifikke krav til godkendelse, underretning, videreførelse af krav og overvågning. Den leverandør-/indkøbsansvarlige skal vedligeholde en liste over underdatabehandlere og underleverandører i REG08, verificere kundens godkendelse før engagement, underrette kunder om tilsigtede nye eller erstattende underdatabehandlere i overensstemmelse med den relevante aftale og sikre videreførelse af forpligtelser vedrørende databeskyttelse, sikkerhed, bistand, tilbagelevering, sletning, hændelsesgrænseflade og kobling til overførsel, før en underdatabehandler behandler PII. Underretninger om ændringer af underdatabehandlere på den dataansvarliges side skal også spores, og beslutninger om godkendelse, indsigelse eller eskalering skal registreres i REG08 inden for den kontraktlige indsigelsesperiode eller inden for 10 arbejdsdage efter modtagelse af underretningen, alt efter hvad der er kortest. Politikken fuldender livscyklussen med løbende overvågning, håndtering af bistand, registrering af videregivelse, kobling til hændelser, kobling til overførsler, exitbevismateriale, undtagelser, håndhævelse og gennemgang. Højrisikoforhold med databehandlere og underdatabehandlere overvåges kvartalsvist, mens andre aktive PII-databehandler- og underdatabehandlerforhold overvåges årligt. Anmodninger om bistand vedrørende registreredes rettigheder, DPIA'er, sikkerhedsbevismateriale, revisioner eller kunders anmodninger om dokumentation skal koordineres via REG08 og kobles til REG06, REG04 eller REG12, hvor det er relevant. Underretninger om leverandørrelaterede databeskyttelseshændelser sendes til REG10 under PII15 inden for én arbejdsdag, og bevismateriale for tilbagelevering, sletning, bortskaffelse eller overgang skal indhentes inden for 30 dage efter ophør, udløb, kundens instruks eller en godkendt exit-hændelse, medmindre en kortere kontraktlig periode gælder. Undtagelser er tidsbegrænsede, kræver konsekvensvurdering vedrørende databeskyttelse og kan kræve godkendelse fra øverste ledelse, hvor højrisikobehandling, manglende kontraktbevismateriale, mangler i kobling til overførsel eller certificeringsomfanget påvirkes.