Richtlinie zum Datenschutz-Informationsmanagementsystem

Die Richtlinie zum Datenschutz-Informationsmanagementsystem etabliert das PIMS der Organisation für die Verarbeitung personenbezogener Daten in Kontexten als Verantwortlicher, gemeinsam Verantwortlicher, Auftragsverarbeiter und Unterauftragsverarbeiter. Ihr erklärter Zweck besteht darin, verbindliche Governance-Anforderungen für Einrichtung, Umsetzung, Aufrechterhaltung, Überwachung und kontinuierliche Verbesserung des PIMS zu definieren. Die Richtlinie ist darauf ausgelegt, ein rechenschaftspflichtiges, risikobasiertes und nachweisgestütztes Management der Verarbeitung personenbezogener Daten über die anwendbaren PIMS-Rollen hinweg zu unterstützen. Sie gilt für den PIMS-Geltungsbereich, den organisatorischen Kontext, interessierte Parteien, Grenzen, Rollenbestimmung, Datenschutzrichtlinie, Datenschutzziele, Datenschutz-Risikobeurteilung, Datenschutz-Risikobehandlung, die PIMS-Erklärung zur Anwendbarkeit, Governance, Überwachung, internes Audit, Managementbewertung, Nichtkonformität, Korrekturmaßnahmen und dokumentierte Nachweise, die erforderlich sind, um Konformität und Rechenschaftspflicht nachzuweisen. Ein zentrales Merkmal der Richtlinie ist ihr Fokus auf definierte Rechenschaftspflicht. Die oberste Leitung muss den PIMS-Geltungsbereich in REG01 vor der erstmaligen Umsetzung und innerhalb von 30 Tagen nach jeder wesentlichen Änderung genehmigen, die Richtlinie und die PIMS-Ziele in REG12 jährlich genehmigen und Leistung, offene Risiken, Nichtkonformitäten, Korrekturmaßnahmen und Verbesserungsentscheidungen im Rahmen der Managementbewertung prüfen. Der Privacy Lead / PIMS-Manager pflegt zentrale PIMS-Aufzeichnungen, einschließlich Kontextthemen, interessierter Parteien, Ziele, der Erklärung zur Anwendbarkeit, Risikobehandlungsentscheidungen, des Nachweisindex, Kennzahlen, Ausnahmen, Korrekturmaßnahmen und Aufzeichnungen zur Richtlinienüberprüfung. Prozessverantwortliche klassifizieren die PIMS-Rolle der Organisation für jede Verarbeitungstätigkeit personenbezogener Daten, bevor die Verarbeitung beginnt, während Verantwortliche für Lieferanten / Beschaffung die Zuweisung von Verantwortlichkeiten gemeinsam Verantwortlicher, Kundenweisungen zur Verarbeitung, genehmigte Unterauftragsverarbeitungsvereinbarungen, Lieferanten-Governance und extern bereitgestellte PIMS-relevante Prozesse dokumentieren. Die Richtlinie verknüpft PIMS-Governance mit operativer Kontrolle. Eine Datenschutz-Risikobeurteilung muss eingeleitet werden, bevor eine neue oder wesentlich geänderte Verarbeitung personenbezogener Daten beginnt, und die Notwendigkeit einer DSFA muss bestimmt werden, bevor eine risikoreiche oder wesentlich geänderte Verarbeitung durch den Verantwortlichen fortgesetzt wird. Genehmigte Entscheidungen zur Datenschutz-Risikobehandlung werden vor der Umsetzung der Behandlung erfasst, und Systemverantwortliche müssen PIMS-Betriebskontrollen vor der Produktivsetzung von Systemen bestätigen, die personenbezogene Daten verarbeiten. Der Leiter der Informationssicherheit ist dafür verantwortlich, die anwendbare Sicherheitskontrollbasislinie für personenbezogene Daten zu dokumentieren und den Umsetzungsstatus der Sicherheitskontrollen aufrechtzuerhalten, wodurch Datenschutz-Governance mit der Sicherheitskontrollbasislinie für personenbezogene Daten und der Erklärung zur Anwendbarkeit verknüpft wird. Diese Struktur trägt dazu bei, dass Geltungsbereich, Verarbeitungstätigkeiten, Anwendbarkeit von Kontrollen, Lieferantenregelungen und Risikoaufzeichnungen vor der Managementbewertung und vor zertifizierungsbezogenen Änderungen aufeinander abgestimmt bleiben. Die Richtlinie definiert außerdem Anforderungen an Auditierbarkeit und kontinuierliche Verbesserung. Der Privacy Lead / PIMS-Manager muss vor jedem internen Audit einen PIMS-Nachweisindex aufrechterhalten, dokumentierte Information gemäß den Anforderungen an die Nachweisaufbewahrung aufbewahren, Leistungskennzahlen vierteljährlich pflegen und den Status der Ziele vor der Managementbewertung berichten. Der Mindestmesssatz umfasst den Prozentsatz der Verarbeitungstätigkeiten im Geltungsbereich mit aktueller Rollenklassifizierung, den Prozentsatz anwendbarer Kontrollen mit aktuellem Umsetzungsstatus, offene Nichtkonformitäten und überfällige Korrekturmaßnahmen sowie Datenschutz-Risikobeurteilungen, die auf Genehmigung warten. Prüfer aus dem internen Audit / der Compliance müssen Überprüfungsergebnisse innerhalb von 15 Geschäftstagen berichten, die Vollständigkeit von Nachweisen während interner Audits stichprobenartig prüfen, Abschlussnachweise abgelaufener Ausnahmen verifizieren und die Wirksamkeit von Korrekturmaßnahmen innerhalb von 30 Tagen nach gemeldetem Abschluss verifizieren. Ausnahmen, Durchsetzung und Pflege werden als formale PIMS-Prozesse und nicht als informelle Abweichungen behandelt. Beantragte Ausnahmen müssen dokumentiert werden, bevor eine Abweichung erfolgt, vor der Genehmigung hinsichtlich des Datenschutzrisikos bewertet und bis zum Abschluss vierteljährlich überprüft werden. Ausnahmen, die akzeptierte Schwellenwerte für Datenschutzrisiken überschreiten, erfordern vor der Umsetzung die Genehmigung der obersten Leitung. Verdächtige Nichtkonformitäten müssen innerhalb von fünf Geschäftstagen erfasst werden, überfällige wesentliche Korrekturmaßnahmen müssen an die oberste Leitung eskaliert werden, und ungelöste wesentliche Nichtkonformitäten müssen bei jeder Managementbewertung geprüft werden. Die Richtlinie selbst wird jährlich und innerhalb von 30 Tagen nach wesentlichen Änderungen des rechtlichen, organisatorischen, Verarbeitungs-, Technologie- oder Zertifizierungsumfangs überprüft; genehmigte Änderungen werden innerhalb von 30 Tagen nach Veröffentlichung in REG11 kommuniziert.