Richtlinie zu dokumentierter Information und zum Nachweismanagement im PIMS

Die Richtlinie zu dokumentierter Information und zum Nachweismanagement im PIMS definiert verbindliche Anforderungen zur Steuerung des vollständigen Lebenszyklus der dokumentierten Informationen des Privacy Information Management Systems. Ihr Geltungsbereich umfasst Erstellung, Freigabe, Versionierung, Schutz, Aufbewahrung, Abruf, Übersetzung, Rückzug und Nachweisführung von PIMS-Aufzeichnungen. Die Richtlinie gilt für PIMS-Richtlinien, Register, dokumentierte Freigaben, Nachweisaufzeichnungen, Auditnachweise, Aufzeichnungen zur Managementbewertung, Nachweise zu Korrekturmaßnahmen und gelenkte Übersetzungen, die zum Nachweis der PIMS-Konformität verwendet werden. Sie ist für Kontexte als Verantwortlicher, gemeinsam Verantwortlicher, Auftragsverarbeiter und Unterauftragsverarbeiter formuliert und damit auf die Rollen anwendbar, die eine Organisation bei der Verarbeitung personenbezogener Daten einnehmen kann. Ein zentrales Merkmal der Richtlinie ist ihre Nutzung der kanonischen PIMS-Nachweisobjekte REG01 bis REG12, anstatt ein separates Dokumentenlenkungsregister zu schaffen. Die Richtlinie legt fest, dass Nachweise zur Lenkung dokumentierter Informationen über diese Nachweisobjekte gepflegt werden, wobei REG03 und REG12 speziell für die Anwendbarkeit von Kontrollen, Audits, Nichtkonformitäten, Korrekturmaßnahmen und Verbesserungsnachweise genutzt werden. Dieser Ansatz soll unnötige Bürokratie in der Dokumentenlenkung vermeiden und zugleich auditbereite Aufzeichnungen für Zertifizierung, Programme zur Vertrauensbildung bei Kunden und kontinuierliche Verbesserung erhalten. REG12 wird umfassend für den Index dokumentierter Informationen, Zugriffsstufen, Sensitivitätsklassifizierungen, Freigabestatus, Versionshistorie, Abrufanfragen, Freigaben zur Offenlegung, Aufbewahrungskategorien, Rückzugsstatus, Ausnahmen und die Nachverfolgung von Korrekturmaßnahmen verwendet. Die Richtlinie legt detaillierte Kontrollen für Erstellung, Freigabe, Versionierung und Veröffentlichung fest. Vor der Veröffentlichung dokumentierter Informationen im PIMS muss der Privacy Lead / PIMS-Manager in REG12 eine Dokumentenkennung, einen Eigentümer, eine Versionsnummer, einen Freigabestatus, ein Wirksamkeitsdatum und ein Prüfdatum zuweisen. Die oberste Leitung muss zentrale PIMS-Richtlinien und wesentliche Richtlinienänderungen vor der Veröffentlichung genehmigen, während der Privacy Lead / PIMS-Manager Nachweisvorlagen oder eingebettete Registerabschnitte vor der operativen Nutzung freigibt. Die Richtlinie verlangt außerdem, dass Versionshistorie und Änderungsbegründung vor der Freigabe aufgezeichnet werden und die Kommunikation genehmigter Änderungen innerhalb von 30 Tagen nach Veröffentlichung in REG11 aufgezeichnet wird. Nachweisqualität und Nachvollziehbarkeit werden als operative Anforderungen behandelt, nicht als optionale Dokumentationsaufgaben. Der Privacy Lead / PIMS-Manager muss Namenskonventionen für Nachweise definieren, REG03-Kontrollreferenzen vierteljährlich und vor externen Audits mit Richtliniennachweisaufzeichnungen abgleichen und die genehmigte Export-Namenskonvention anwenden, bevor Nachweise für Zertifizierungsaudits, Programme zur Vertrauensbildung bei Kunden oder regulatorische Reaktionen bereitgestellt werden. Prozessverantwortliche / Geschäftsinhaber müssen sicherstellen, dass Verarbeitungsnachweise den Nachweiseigentümer, das Datum, die Referenz zur Verarbeitungstätigkeit, den Entscheidungsstatus und den Freigabestatus enthalten, bevor sie für ein Audit herangezogen werden. Interne Audit- und Compliance-Prüfer müssen Lücken in Vollständigkeit, Richtigkeit oder Nachvollziehbarkeit während geplanter Audits oder Compliance-Überprüfungen aufzeichnen. Die Richtlinie definiert außerdem Kontrollen für Zugriff, Schutz, Abruf, Offenlegung, Aufbewahrung, Rückzug, Archivierung, Entsorgung und mehrsprachige Versionskontrolle. Zugriffsbeschränkungen für Repositories müssen vor der Gewährung des Zugriffs aufgezeichnet und vierteljährlich überprüft werden, und der Zugriff auf PIMS-Nachweise, die personenbezogene Daten enthalten, muss vor der Gewährung genehmigt werden. Offenlegungen von Nachweisen gegenüber externen Auditoren, Kunden, Auftragsverarbeitern, Verantwortlichen, Aufsichtsbehörden oder anderen externen Parteien erfordern eine Genehmigung und die Aufzeichnung des Offenlegungsumfangs. Veraltete Versionen müssen innerhalb definierter Zeitrahmen zurückgezogen werden, frühere freigegebene Richtlinienversionen müssen erhalten bleiben, und Archivierung oder Löschung darf erst erfolgen, nachdem Abhängigkeiten aus Audit-Löschsperren, Legal Holds, Untersuchungen von Vorfällen oder Korrekturmaßnahmen geprüft wurden. Kennzahlen, Ausnahmebehandlung, Durchsetzung und jährliche Überprüfungsanforderungen stellen sicher, dass dokumentierte Informationen aktuell, abrufbar, geschützt und an den Anforderungen der PIMS-Konformität ausgerichtet bleiben.