Richtlinie zur internationalen Übermittlung personenbezogener Daten

Die Richtlinie zur internationalen Übermittlung personenbezogener Daten legt Anforderungen für die Identifizierung, Genehmigung, Aufzeichnung, Prüfung, Beschränkung und Aussetzung internationaler Übermittlungen personenbezogener Daten fest. Sie gilt für Tätigkeiten als Verantwortlicher, als gemeinsam Verantwortlicher, als Auftragsverarbeiter und als Unterauftragsverarbeiter, bei denen personenbezogene Daten außerhalb der in REG02 oder REG09 erfassten genehmigten Verarbeitungsgrenze verfügbar gemacht, von dort abgerufen, dort gespeichert, gehostet, offengelegt oder anderweitig übermittelt werden. Der Geltungsbereich umfasst interne verbundene Unternehmen, externe Empfänger, Auftragsverarbeiter, Unterauftragsverarbeiter, Dienstleister, Supportzugriff, Hosting-Standorte, Remote-Administration, Weiterübermittlungen, Offenlegungsersuchen einer Behörde und übermittlungsbezogene Serviceänderungen. Ein zentrales Merkmal der Richtlinie ist ihr nachweisbasierter Ansatz. Die Richtlinie legt fest, dass internationale Übermittlungen vor Beginn oder Änderung der Verarbeitung identifiziert werden müssen und dass genehmigte Übermittlungsaufzeichnungen in REG09 zu pflegen sind. REG09 ist das primäre Nachweisobjekt für Übermittlungen, während REG02, REG08 und REG12 unterstützende Nachweise für Verarbeitungstätigkeiten, Lieferanten- und Auftragsverarbeiterbeziehungen, Ausnahmen, Nichtkonformitäten, Korrekturmaßnahmen und Managementbewertung bereitstellen. Erforderliche REG09-Felder umfassen Übermittlungsziel, Empfänger, PIMS-Rolle, Übermittlungsinstrument, unterstützende Nachweise, Prüfdatum und Verantwortlichen. Diese Struktur soll der Organisation helfen, eine rechenschaftspflichtige Übermittlungs-Governance nachzuweisen, ohne doppelte Folgenabschätzungen für Übermittlungen oder SCC-Register zu erstellen. Die Richtlinie definiert Kontrollen für Auswahl, Genehmigung und Risikoprüfung von Übermittlungsinstrumenten. Bei Übermittlungen durch Verantwortliche erfasst der Privacy Lead / PIMS Manager das genehmigte Übermittlungsinstrument und die unterstützenden Nachweise in REG09, bevor die Übermittlung beginnt. Der Datenschutzbeauftragte / Datenschutzberater prüft Nachweise zum Übermittlungsinstrument vor der Genehmigung neuer, wesentlich geänderter oder risikoreicherer internationaler Übermittlungen personenbezogener Daten und schließt die Prüfung des Übermittlungsrisikos ab, wenn sie ausgelöst wird. Wenn geeignete technische Garantien herangezogen werden, erfasst der Leiter Informationssicherheit den Status der Abhängigkeit von geeigneten technischen Garantien in REG09 oder REG12. Wenn das Restrisiko der Übermittlung hoch ist, muss die oberste Leitung den fortgesetzten Übermittlungsbetrieb in REG12 genehmigen, bevor dieses Risiko akzeptiert wird. Auch die Governance für Auftragsverarbeiter, Unterauftragsverarbeiter und Weiterübermittlungen wird behandelt. Der Verantwortliche für Lieferanten / Beschaffung muss vor der Einleitung internationaler Übermittlungen personenbezogener Daten durch Auftragsverarbeiter eine dokumentierte Kundenautorisierung oder Kundenweisung in REG08 und REG09 einholen, die Autorisierung von Unterauftragsverarbeitern und weiterzugebende Übermittlungsbedingungen erfassen und Weiterübermittlungen durch Auftragsverarbeiter oder Unterauftragsverarbeiter verhindern, bis die Kundenautorisierung erfasst ist. Die Richtlinie verlangt außerdem, dass Routen für Weiterübermittlungen, Empfängerkategorien, Beschränkungen und Verpflichtungen vor der Genehmigung erfasst werden. Offenlegungsersuchen ausländischer Behörden müssen, soweit praktikabel, vor der Offenlegung in REG09 oder REG12 erfasst werden oder innerhalb eines Geschäftstages, wenn eine vorherige Erfassung nicht praktikabel ist; datenschutzrelevante Ersuchen müssen, soweit praktikabel, durch einen Datenschutzberater geprüft werden. Die laufende Governance erfolgt über definierte Anforderungen an Prüfung, Messung, Ausnahmen und Durchsetzung. Aktive Übermittlungsaufzeichnungen werden mindestens jährlich und innerhalb von 30 Tagen nach einer wesentlichen Änderung der Übermittlung geprüft, während der Privacy Lead / PIMS Manager überfällige Übermittlungsprüfungen, unvollständige Aufzeichnungen, ausgesetzte Übermittlungen und offene Übermittlungsausnahmen mindestens vierteljährlich prüft. Zu den Kennzahlen gehören der Prozentsatz aktiver REG09-Aufzeichnungen mit vollständigen Nachweisen zum Übermittlungsinstrument, überfällige Übermittlungsprüfungen, ausgesetzte oder zurückgestellte Übermittlungen, überfällige Nachweise von Auftragsverarbeitern oder Drittparteien sowie nicht zugeordnete REG02-Verarbeitungstätigkeiten mit potenziellen Indikatoren für internationale Übermittlungen. Ausnahmen müssen vor ihrer Aktivierung in REG12 erfasst, einem Verantwortlichen, einem Ablaufdatum, einer kompensierenden Kontrolle und einer Prüfungsfrequenz zugewiesen und mindestens monatlich bis zum Abschluss geprüft werden. Nichtkonformitäten müssen erfasst werden, wenn nicht aufgezeichnete Übermittlungen, nicht unterstützte Instrumente, fehlende Autorisierung, überfällige Prüfungen, fehlende Nachweise zu Weiterübermittlungen oder unautorisierte Fortführung festgestellt werden.