Richtlinie zum Management von Rechten betroffener Personen

Die Richtlinie zum Management von Rechten betroffener Personen legt den verbindlichen Ansatz der Organisation für das Management von Anfragen betroffener Personen oder ihrer bevollmächtigten Vertreter fest. Ihr Geltungsbereich umfasst den vollständigen Lebenszyklus der Bearbeitung von Betroffenenanfragen: Entgegennahme, Validierung, Bewertung, Erfüllung, Ablehnung, Verlängerung, Abschluss, Überwachung und Nachweisführung. Sie gilt für Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch, automatisierte Entscheidungsfindung, Weiterleitung von Einwilligungswiderrufen, Beschwerden und zugehörige Anfragen. Die Richtlinie ist für Kontexte als Verantwortlicher, gemeinsam Verantwortlicher, Auftragsverarbeiter und Unterauftragsverarbeiter ausgelegt; Pflichten von Auftragsverarbeitern und Unterauftragsverarbeitern gelten, wenn Unterstützung für einen Verantwortlichen, Kunden oder vorgelagerten Auftragsverarbeiter unter dokumentierten Weisungen erbracht wird. Zweck der Richtlinie ist sicherzustellen, dass Betroffenenanfragen konsistent, rechtmäßig, sicher, innerhalb definierter Fristen und mit auditbereiten Nachweisen bearbeitet werden. Sie verlangt, dass jede Anfrage innerhalb von zwei Arbeitstagen nach Eingang in REG06 erfasst und vor Beginn der Bewertung klassifiziert wird. Erforderliche Klassifizierungsfelder umfassen Anfragetyp, Anfragekanal, Anfragedatum, Identitätsreferenz der anfragenden Person, zugewiesenen Verantwortlichen, interne Fälligkeit, gesetzliche oder vertragliche Fälligkeit und aktuellen Status. Für Verantwortliche muss der Datenschutzverantwortliche / PIMS-Manager den Eingang bestätigen oder die nächste erforderliche Kommunikation innerhalb von fünf Arbeitstagen nach Entgegennahme bereitstellen. Anfragen müssen außerdem mit relevanten REG02-Verarbeitungstätigkeiten verknüpft werden, bevor Erfüllungsmaßnahmen zugewiesen werden. Dadurch wird sichergestellt, dass Antwortentscheidungen auf Verarbeitungsaufzeichnungen, Zwecken, Kategorien personenbezogener Daten, Systemen, Empfängern und Einschränkungen der Aufbewahrung beruhen. Ein wesentlicher operativer Schwerpunkt liegt auf Identitätsprüfung und sicherer Bewertung. Vor Offenlegung personenbezogener Daten oder Durchführung angefragter Änderungen muss der Datenschutzverantwortliche / PIMS-Manager die Identität der anfragenden Person oder die Vertretungsbefugnis in REG06 verifizieren. Wenn die Identität oder Befugnis unzureichend ist, dürfen nur die für die Verifikation mindestens erforderlichen zusätzlichen Informationen angefordert werden. Die Richtlinie weist Anfragen mit hohem Risiko, strittige, unklare, übermäßige, wiederholte, abgelehnte oder teilweise erfüllte Anfragen dem Datenschutzbeauftragten (DPO) / Datenschutzberater zur Prüfung zu, bevor die Entscheidung kommuniziert wird. Sie verlangt außerdem eine Prüfung von Antwortauszügen durch den Systemverantwortlichen / Anwendungsverantwortlichen, um nicht zugehörige personenbezogene Daten und unbefugte Daten Dritter auszuschließen, sowie eine Prüfung der Bereitstellungsmethoden durch den Leiter der Informationssicherheit, bevor umfangreiche, sensitive, besondere Kategorien personenbezogener Daten oder personenbezogene Daten mit hohem Risiko offengelegt werden. Die Anforderungen an die Erfüllung richten sich nach der Art des Rechts. Geschäftsinhaber müssen Ergebnisse der Suche für Auskunftsersuchen spätestens zehn Arbeitstage vor der Antwortfrist bereitstellen. Systemverantwortliche müssen genehmigte Maßnahmen zur Berichtigung, Löschung, Einschränkung oder Sperrung abschließen und Abschlussnachweise in REG06 erfassen. Antwortpakete für Auskunft und Datenübertragbarkeit müssen über eine autorisierte Methode bereitgestellt werden; der Bereitstellungsnachweis ist vor Abschluss zu erfassen. Widerspruchsanfragen müssen bewertet und erfasst werden, bevor die angefochtene Verarbeitung fortgesetzt oder beendet wird. Anfragen zu ausschließlich automatisierten Entscheidungen erfordern eine Prüfung, bevor die Organisation ein Ergebnis, einen Weg zur menschlichen Überprüfung oder eine Ablehnungsbegründung bereitstellt. Wenn genehmigte Ergebnisse eine Benachrichtigung von Auftragsverarbeitern, Unterauftragsverarbeitern, gemeinsam Verantwortlichen, Empfängern oder an Datenweitergabe beteiligten Parteien erfordern, die in REG08 erfasst sind, muss der Lieferanten-/Beschaffungsverantwortliche diese Benachrichtigung koordinieren. Die Richtlinie definiert außerdem Anforderungen an Governance, Messung, Ausnahmen und Durchsetzung. Der Datenschutzverantwortliche / PIMS-Manager verantwortet den Workflow für Betroffenenanfragen, die REG06-Struktur, Fristen, Zuweisungsregeln und Abschlusskriterien, mit mindestens jährlicher Überprüfung und Aktualisierungen nach wesentlichen Änderungen. Zu den Kennzahlen gehören die monatliche Messung von Anfragen nach Typ, Status, Geschäftsinhaber und Verarbeitungstätigkeit, die monatliche Berichterstattung über überfällige Elemente, die vierteljährliche Messung von Ablehnungs-, Teilerfüllungs- und Verlängerungsquoten sowie die vierteljährliche Überprüfung wiederkehrender Themen, Beschwerden, Streitfälle und Korrekturmaßnahmen. Geplante Audits müssen eine Stichprobe abgeschlossener REG06-Aufzeichnungen prüfen und Feststellungen zur Nachweisqualität, Fristgerechtigkeit und zum Abschluss in REG12 erfassen. Ausnahmen müssen vor der Umsetzung in REG12 genehmigt werden; Ablaufdaten, Verantwortliche und kompensierende Kontrollen sind zuzuweisen. Durchsetzungsbestimmungen verlangen die Erfassung von Nichtkonformitäten, die Eskalation fehlender Mitwirkung Dritter, die Zuweisung der Verantwortlichkeit für Korrekturmaßnahmen bei systemischen Kontrollausfällen durch das Management sowie eine REG10-Prüfung, wenn eine Nichtkonformität auf unbefugte Offenlegung, Verlust, Änderung, Nichtverfügbarkeit oder einen anderen vermuteten Datenschutzvorfall hindeutet.