Policy för integritetshantering av personuppgiftsbiträden, underbiträden och tredje parter

Policy för integritetshantering av personuppgiftsbiträden, underbiträden och tredje parter definierar hur en organisation styr externa parter som behandlar, får åtkomst till, tar emot, lagrar, överför, stödjer eller på annat sätt hanterar personuppgifter inom omfattningen för ledningssystemet för hantering av integritetsinformation (PIMS). Den gäller när organisationen agerar som personuppgiftsansvarig och använder personuppgiftsbiträden, som gemensamt personuppgiftsansvarig och behöver rollklassificering, som personuppgiftsbiträde och använder underbiträden eller underleverantörer, samt som underbiträde som tar emot kundinstruktioner. Policyn omfattar även tredjepartsrelationer som kräver integritetsrelaterad leverantörsgranskning, avtalskontroller, dokumenterade instruktioner, godkännande av underbiträde, övervakning, försäkran, incidentgränssnitt, överföringskoppling samt underlag för återlämning, radering eller avslut. En central funktion i policyn är att den bygger på REG08 – register över personuppgiftsbiträden, underbiträden och datadelning – som primärt underlagsobjekt för integritetshantering av personuppgiftsbiträden, underbiträden och tredje parter. Policyn kräver att den integritetsansvariga / PIMS-ansvariga definierar minsta REG08-fält och klassificerar integritetsrelaterade tredjepartsrelationer som personuppgiftsansvarig, gemensamt personuppgiftsansvarig, personuppgiftsbiträde, underbiträde eller annan tredjepartsrelation före avtalsgodkännande eller innan behandling av personuppgifter inleds. Den kräver också att leverantörs-/upphandlingsansvarig blockerar introduktion, förnyelse eller utökning tills REG08 är färdigställt och kopplat till poster såsom REG02, REG04, REG09 eller REG10 när dessa underlagsobjekt utlöses. Detta skapar en dokumenterad koppling mellan relationsstyrning, behandlingsinventering, risk- och DPIA-poster, underlag för internationella överföringar, incidentregister och korrigerande åtgärder. Policyn fastställer detaljerade krav för leverantörsgranskning, riskbedömning och avtalsstyrning. Integritetsrelaterad leverantörsgranskning ska slutföras innan ett personuppgiftsbiträde, underbiträde eller en tredjepartsrelation som behandlar eller får åtkomst till personuppgifter väljs, förnyas eller ändras väsentligt. Underlag för säkerhetsförsäkran ska granskas av ansvarig för informationssäkerhet före godkännande, och högriskrelationer med personuppgiftsbiträden eller väsentliga integritetsrelaterade tredjepartsändringar utlöser bedömning av integritetsrisker och DPIA-screening i REG04. Kontroller för avtal och dokumenterade instruktioner separeras för situationer där organisationen är personuppgiftsansvarig respektive personuppgiftsbiträde. När organisationen agerar som personuppgiftsansvarig ska den registrera ett skriftligt personuppgiftsbiträdesavtal eller ett likvärdigt bindande avtal innan ett personuppgiftsbiträde hanterar personuppgifter. När organisationen agerar som personuppgiftsbiträde ska kundavtal eller dokumenterade kundinstruktioner definiera den godkända omfattningen av behandlingen innan kunders personuppgifter behandlas. Policyn kräver även avtalstäckning för assistans, säkerhetsförsäkran, incidentgränssnitt genom PII15, återlämning eller radering genom PII10, överföringskoppling genom PII13 samt samarbete vid revision eller säkerhetsförsäkran. Styrning av underbiträden och underleverantörer hanteras genom särskilda krav på godkännande, meddelande, vidareförda skyldigheter och övervakning. Leverantörs-/upphandlingsansvarig ska upprätthålla en lista över underbiträden och underleverantörer i REG08, verifiera kundens godkännande före uppdrag, underrätta kunder om avsedda nya eller ersättande underbiträden enligt tillämpligt avtal samt säkerställa vidareförda skyldigheter avseende integritet, säkerhet, assistans, återlämning, radering, incidentgränssnitt och överföringskoppling innan något underbiträde behandlar personuppgifter. Meddelanden om ändring av underbiträde på den personuppgiftsansvariges sida ska också följas upp, med beslut om godkännande, invändning eller eskalering registrerade i REG08 inom den avtalsenliga invändningsperioden eller inom 10 arbetsdagar efter mottaget meddelande, beroende på vilket som är kortast. Policyn slutför livscykeln med löpande övervakning, hantering av assistans, registrering av utlämnanden, incidentkoppling, överföringskoppling, underlag vid avslut, undantag, tillämpning och granskning. Högriskrelationer med personuppgiftsbiträden och underbiträden övervakas kvartalsvis, medan andra aktiva relationer med personuppgiftsbiträden och underbiträden som omfattar personuppgifter övervakas årligen. Begäranden om assistans avseende rättigheter för registrerade, DPIA:er, säkerhetsunderlag, revisioner eller kunders förfrågningar om säkerhetsförsäkran ska samordnas genom REG08 och kopplas till REG06, REG04 eller REG12 där det är tillämpligt. Leverantörsrelaterade meddelanden om integritetsincidenter dirigeras till REG10 enligt PII15 inom en arbetsdag, och underlag för återlämning, radering, bortskaffning eller övergång ska erhållas inom 30 dagar efter uppsägning, utgång, kundinstruktion eller godkänd avslutshändelse, om inte en kortare avtalsperiod gäller. Undantag är tidsbegränsade, kräver konsekvensbedömning avseende integritet och kan kräva godkännande av högsta ledningen när högriskbehandling, saknat avtalsunderlag, luckor i överföringskoppling eller certifieringsomfattning påverkas.