Richtlinie zum Inventar der Verarbeitung personenbezogener Daten und zur Rechtsgrundlage

Die Richtlinie zum Inventar der Verarbeitung personenbezogener Daten und zur Rechtsgrundlage definiert, wie eine Organisation ihr Inventar der Verarbeitung personenbezogener Daten / RoPA führt und die zentralen Fakten dokumentiert, die erforderlich sind, um rechenschaftspflichtige Verarbeitung innerhalb des PIMS-Geltungsbereichs nachzuweisen. Sie gilt für alle in den Geltungsbereich fallenden Verarbeitungstätigkeiten personenbezogener Daten, einschließlich Verarbeitung als Verantwortlicher, gemeinsam Verantwortlicher, Auftragsverarbeiter oder Unterauftragsverarbeiter. Die Richtlinie deckt Verarbeitung durch Geschäftsprozesse, Systeme, Anwendungen, Lieferanten, Auftragsverarbeiter, Unterauftragsverarbeiter und Empfänger von Datenweitergaben ab und gilt für neue, wesentlich geänderte und eingestellte Verarbeitung. Ein Datensatz des Verarbeitungsinventars wird als REG02-Eintrag definiert, der eine eigenständige Verarbeitungstätigkeit personenbezogener Daten beschreibt, einschließlich Zweck, Rolle, Verantwortlichem, Kategorien personenbezogener Daten, Kategorien betroffener Personen, Referenz zur Rechtsgrundlage oder Kundenweisung, Systemen, Empfängern, Aufbewahrungsreferenz, Übermittlungsreferenz, Datenschutzrisikostatus und Überprüfungsstatus. Ein zentrales Ziel der Richtlinie besteht darin, REG02 zum maßgeblichen Nachweisobjekt für das Inventar der Verarbeitung personenbezogener Daten und das Verzeichnis von Verarbeitungstätigkeiten zu machen. Die Richtlinie verlangt, dass ein Prozessverantwortlicher oder Geschäftsinhaber einen REG02-Datensatz erstellt, bevor eine neue Verarbeitung personenbezogener Daten beginnt, und die erforderlichen Felder vor Beginn der Tätigkeit erfasst. Sie verlangt außerdem, dass die PIMS-Rolle der Organisation für jede Tätigkeit klassifiziert wird, und verknüpft Systeme, Anwendungen, Lieferanten, Auftragsverarbeiter, Unterauftragsverarbeiter, Datenweitergabe an Drittparteien und Beziehungen gemeinsam Verantwortlicher mit dem relevanten REG02-Datensatz. Dadurch entsteht eine strukturierte Aufzeichnung der Verarbeitung, die bei Bedarf mit Datenschutzhinweisen, Einwilligung, DSFA, Risiko-, Lieferanten-, Übermittlungs-, Kontroll- und Auditnachweisen verbunden werden kann. Für Tätigkeiten als Verantwortlicher verlangt die Richtlinie, dass der spezifische Verarbeitungszweck dokumentiert wird, bevor personenbezogene Daten erhoben, genutzt, offengelegt oder anderweitig verarbeitet werden. Der Datenschutzverantwortliche / PIMS-Manager muss die in REG02 erfasste Rechtsgrundlage validieren, bevor die Verarbeitung durch den Verantwortlichen beginnt und bevor eine Zweckänderung wirksam wird. Die Richtlinie behandelt außerdem besondere Situationen: Einwilligung muss mit REG05 verknüpft sein, berechtigte Interessen müssen auf REG04 verweisen, besondere Kategorien personenbezogener Daten erfordern eine dokumentierte Bedingung, und Daten zu strafrechtlichen Verurteilungen oder Straftaten erfordern eine Autorisierungsgrundlage. Für Kontexte von Auftragsverarbeitern und Unterauftragsverarbeitern verlangt die Richtlinie, dass Referenzen zu Kundenweisungen, Kundenzweck, Gegenstand, Dauer, Kategorien personenbezogener Daten und Kategorien betroffener Personen vor Beginn der Verarbeitung erfasst werden; Vereinbarungs- und Weisungsnachweise werden in REG08 geführt. Die Richtlinie definiert außerdem, wie das Inventar aktuell bleibt. Wesentliche Änderungen der Verarbeitung umfassen Änderungen an Zweck, Rechtsgrundlage, PIMS-Rolle, Kategorie personenbezogener Daten, Kategorie betroffener Personen, Empfänger, System, Lieferant, Unterauftragsverarbeiter, Verarbeitungsort, Übermittlung, Aufbewahrungsregel, Sicherheitsklassifizierung, Datenschutzhinweis, Einwilligungsabhängigkeit, DSFA-Status, Kundenweisung oder Geltungsbereich der Zertifizierung. REG02 muss innerhalb von 10 Geschäftszeiten nach Identifizierung einer solchen Änderung aktualisiert werden, und in REG04 muss ein Datenschutz-Risiko-Screening und DSFA-Screening eingeleitet werden, bevor neue oder wesentlich geänderte Verarbeitung fortgesetzt wird. Der Datenschutzverantwortliche / PIMS-Manager gleicht REG02 vierteljährlich mit REG01, REG03, REG04, REG08 und REG09 ab, während interne Audit- und Compliance-Prüfer während geplanter Überprüfungen Stichproben zu Vollständigkeit, Richtigkeit und Aktualität vornehmen. Governance, Messung, Ausnahmen und Durchsetzung sind in die Richtlinie integriert. Der Datenschutzverantwortliche / PIMS-Manager übermittelt vierteljährliche Zusammenfassungen zum Zustand des Inventars in REG12, erfasst Inventarkennzahlen, validiert neue REG02-Datensätze und pflegt Regeln zu Mindestfeldern und Überprüfungsintervallen. Die oberste Leitung überprüft Vollständigkeit, überfällige Überprüfungen, wesentliche Rechtsgrundlagenprobleme und ungelöste Nichtkonformitäten im Rahmen der Managementbewertung. Ausnahmen müssen in REG12 beantragt und bewertet werden; Ablaufdaten dürfen 90 Tage nicht überschreiten, und bestimmte Ausnahmen erfordern Beratung durch den Datenschutzbeauftragten / Datenschutzberater sowie Genehmigung durch die oberste Leitung. Die Durchsetzung umfasst die Erfassung von Nichtkonformitäten, die Aussetzung neuer Verarbeitung bei fehlenden Nachweisen, das Blockieren von System-Produktivsetzungen oder Lieferanten-Onboarding bei fehlender erforderlicher Verknüpfung sowie die Verifikation der Wirksamkeit von Korrekturmaßnahmen.