Datenschutz-Management Lösungsübersicht

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 4 Minuten Lesedauer

    • Die Datenschutz-ManagementDie Lösung bietet Ihnen ein Framework zur Verwaltung Ihrer datenschutzspezifischen Bibliotheken, z. B. Zitate, Richtlinien, Kontrollziele, Risikobeschreibungen, Datenschutzauswirkungsbewertungen und Datenschutzrisikobewertungen. Außerdem werden Verarbeitungsaktivitätsdatensätze bereitgestellt, um das Datenschutzrisiko und die Compliance-Situation für eine Geschäftsanwendung oder einen Geschäftsprozess nachzuverfolgen, indem die relevanten Risiken und Steuerungen angewendet und überwacht werden.

    Stellen Sie vor der Planung Ihres Datenschutzprogramms sicher, dass Sie die Datenschutzbibliotheken gemäß den Datenschutzbestimmungen einrichten, die Sie implementieren möchten. Weitere Informationen zum Bibliotheks-Setup finden Sie unter Verwalten Sie Datenschutz-ManagementBibliothek.

    Die folgende Abbildung zeigt Datenschutz-ManagementLösung.
    Abbildung : 1. Übersicht über die Datenschutzverwaltungslösung
    Übersicht über die Datenschutzverwaltungslösung.

    Die Datenschutz-ManagementDie Lösung wird wie folgt beschrieben.

    Bibliothek erstellen

    Als Datenschutzmanager mit der Rolle „sn_privacy.Manager“ oder „Datenschutzadministrator“ mit der Rolle „sn_privacy.admin“ müssen Sie Ihre Bibliotheken wie folgt einrichten.
    • Datenschutzauswirkungsbewertungen
    • Persönliche Informationsobjekte
    • Datenschutzbestimmungen, regulatorische Dokumente, Bezugsvermerke und Kontrollziele.
    • Datenschutzrichtlinien und -Verfahren
    • Datenschutzrisikoerklärungen

    Datenschutzauswirkungsbewertungen

    1. Bestand erkennen: Identifizieren oder erkennen Sie als Datenschutzmanager mit der Rolle „sn_privacy.Manager“ den Bestand, z. B. Geschäftsprozesse, Geschäftsanwendungen, Lieferanten und Business-Services, die personenbezogene Daten verarbeiten. Dieser gesamte Bestand wird in der jeweiligen gespeichert Configuration Management Database (CMDB)Tabellen. Die jeweiligen Geschäftsinhaber verwalten den Bestand. Verwenden Sie als Datenschutzmanager die Funktion „Entitätstypen“, und erstellen Sie eine Entität für jeden Bestandsdatensatz. Weitere Informationen zu Entitätstypen finden Sie unter Entitäten werden untersucht. In dieser Phase können Sie basierend auf der Discovery-Methode einen der folgenden Ansätze verwenden, um Verarbeitungsaktivitäten zu erstellen.
      1. Suchen Sie Geschäftsprozesse oder Anwendungen, die personenbezogene Daten verarbeiten: Verwenden Sie diesen Ansatz, wenn Geschäftsprozesse, Anwendungen, Services oder Lieferanten Informationsobjekten zugeordnet sind. Suchen Sie mithilfe der Entitätstypfunktionalität nach Entitäten, die [PI] Informationsobjekte verarbeiten. Erstellen Sie basierend auf den Suchergebnissen direkt die Verarbeitungsaktivitätsdatensätze. Dieser Ansatz wird nur verwendet, wenn die Geschäftsinhaber den Bestand Informationsobjekten zuordnen. Weitere Informationen finden Sie unter Entitätsbereichsdefinition zum Planen eines Datenschutzprogramms.
      2. Datenschutzüberprüfungsbewertungen senden: Verwenden Sie diesen Ansatz, wenn Informationsobjekte dem Bestand nicht zugeordnet sind, z. B. Geschäftsanwendungen und -Prozesse. Senden Sie bei diesem Ansatz Bewertungen der Datenschutzüberprüfung an die jeweiligen Geschäftsinhaber. Diese Screening-Bewertungen enthalten grundlegende Fragen. Einige Beispiele für die Fragen:
        • Verarbeiten Sie personenbezogene Daten als Teil des Geschäftsprozesses oder der Anwendung, die Sie besitzen?
        • Welche Art von personenbezogenen Daten verarbeiten Sie? Beispiel: E-Mail, Telefon und Adresse.
        Wenn die Bewertungsantworten bestimmen, dass personenbezogene Daten vorhanden sind, werden automatisch Verarbeitungsaktivitäten erstellt.
    2. Geschäftsanwender können proaktiv Datenschutzauswirkungsbewertungen für neue Anwendungen und Prozesse über übermitteln Mitarbeiter-Center.

    Verwalten und aktualisieren Sie die Verarbeitungsaktivitäten

    1. Verarbeitungsaktivität erstellen oder aktualisieren: Senden Sie als Datenschutzanalyst mit der Rolle „sn_privacy.Analyst“ eine Datenschutzauswirkungsbewertung (Privacy Impact Assessment, PIA) an die Verarbeitungsaktivität oder Geschäftsinhaber, nachdem eine Verarbeitungsaktivität erstellt wurde. Die Datenschutzauswirkungsbewertung hilft zu verstehen, warum und wie die Verarbeitungsaktivität personenbezogene Daten verarbeitet. Die Bewertung erfasst Informationen wie die Begründung für die Speicherung von PI-Daten, den Austausch von PI-Daten mit anderen Systemen und die Sicherheit von PI-Daten.
    2. PIA senden oder automatisch initiieren: Senden Sie als Datenschutzanalyst eine Datenschutzauswirkungsbewertung (PIA) von einer Verarbeitungsaktivität, wenn Sie weitere Informationen erfassen müssen. Alternativ können Sie die Bewertungen auch automatisch basierend auf der vom Datenschutzmanager und dem Datenschutzadministrator definierten Häufigkeit des Datenschutzprogramms initiieren. Ein Zeitplan für die automatische Initiierung kann mit erstellt werden Now PlatformFähigkeiten.
    3. Wenden Sie Risiken und Steuerungen im Zusammenhang mit der Verarbeitungsaktivität an: Nachdem Sie als Datenschutzanalyst verstanden haben, wie personenbezogene Daten in der Verarbeitungsaktivität verwendet werden, werden die erforderlichen Risikobeschreibungen, Steuerungen, Richtlinien und regulatorischen Dokumente basierend auf den Bewertungsantworten automatisch auf die Verarbeitungsaktivitäten angewendet. Weitere Informationen zum Konfigurieren von Bewertungen finden Sie unter Erstellen Sie eine Bewertungsvorlage . Nachdem die Steuerungen hinzugefügt wurden, kann der Datenschutzanalyst die Steuerungen überprüfen und die Steuerungen nach Bedarf hinzufügen oder entfernen.
    4. Kontrollnachweise senden: Nachdem der endgültige Satz von Steuerungen der Verarbeitungsaktivität zugeordnet wurde, werden die Kontrollnachweise an die Besitzer des Geschäftsprozesses oder die Anwendungsbesitzer gesendet, um die Nachweise für jede angewendete Kontrolle zu sammeln. Wenn die Geschäftsinhaber auf Kontrollnachweise mit Nachweisen für jede Kontrolle reagieren, werden konforme und nicht konforme Kontrollen identifiziert. Diese Identifizierung bestimmt die Compliance-Situation der Verarbeitungsaktivität.
    5. Probleme melden und überwachen: Probleme werden automatisch für nicht konforme Steuerungen erstellt und ihren jeweiligen Geschäftsinhabern zugewiesen. Der Datenschutzanalyst überwacht die Probleme.
    6. Probleme verwalten: Um Probleme zu verwalten, können Geschäftsinhaber eine der folgenden Aktionen ausführen:
      • Problem beheben: Durch das Beheben des Problems wird die Steuerung konform.
      • Richtlinienausnahme auslösen: Für ein Problem wird eine Ausnahme ausgelöst, das nicht sofort gelöst werden kann. Datenschutzanalysten können die Richtlinienausnahmen überprüfen und können die Ausnahmen basierend auf der Relevanz des Problems entweder akzeptieren oder ablehnen.
    7. Kontinuierliche Steuerungsüberwachung: Datenschutzanalysten überwachen kontinuierlich die Kontrollen einer Verarbeitungsaktivität mithilfe der Indikatorfunktion. Weitere Informationen zu Indikatoren finden Sie unter Risikoindikatoren, Kontrollindikatoren und Indikatorvorlagen .

    Bewerten Sie die Relevanz von Verarbeitungsaktivitäten

    Die Relevanzpunktzahl gibt die Risikolage auf Ebene der Verarbeitungsaktivität an, indem die Faktoren auf Ebene der Verarbeitungsaktivität bewertet werden. Wenn eine Verarbeitungsaktivität erstellt oder aktualisiert wird, wird eine Relevanzbewertung für die Verarbeitungsaktivität durchgeführt, um die allgemeine Risikopunktzahl oder die Relevanzpunktzahl zu verstehen.

    Führen Sie Datenschutzrisikobewertungen durch

    Datenschutzrisikobewertungen sind detaillierte Bewertungen, die durchgeführt werden, wenn die Kritikalitätspunktzahl hoch ist. Bewerten Sie jedes Risiko, das der Verarbeitungsaktivität zugeordnet ist, und kennen Sie die aggregierte Risikopunktzahl für die Verarbeitungsaktivität. Nachdem Sie die Datenschutzrisiken bewertet haben, können Sie die Datenschutzrisikosituation auf der Risiko-Heatmap im Abschnitt „Übersicht“ anzeigen. Die Heatmaps bieten detaillierte Informationen zu Ihren inhärenten und Restrisiken.