Datenschutzhinweis- und Transparenzrichtlinie

Die Datenschutzhinweis- und Transparenzrichtlinie definiert die Anforderungen der Organisation an die Erstellung, Genehmigung, Veröffentlichung, Pflege, Prüfung und Nachweisführung von Datenschutzhinweisen und Transparenzinformationen für die PII-Verarbeitung innerhalb des PIMS-Geltungsbereichs. Ihr erklärter Zweck ist sicherzustellen, dass betroffene Personen „klare, aktuelle, zugängliche und auditierbare Datenschutzhinweise vor oder zu dem erforderlichen Zeitpunkt im Lebenszyklus der PII-Verarbeitung“ erhalten. Die Richtlinie gilt für Verarbeitungen durch Verantwortliche, Transparenzinformationen gemeinsam Verantwortlicher sowie Unterstützung durch Auftragsverarbeiter oder Unterauftragsverarbeiter für Hinweispflichten von Verantwortlichen, wenn die Organisation nach dokumentierten Kundenweisungen oder Weisungen von Auftragsverarbeitern handelt. Sie liegt in der Verantwortung des Privacy Leads / PIMS-Managers, wird von der obersten Leitung genehmigt und verwendet REG02, REG06, REG07, REG11 und REG12 als Nachweisobjekte. Ein zentrales Merkmal der Richtlinie ist die Steuerung von Inhalten der Datenschutzhinweise über REG07. Die Richtlinie legt REG07 als maßgebliches Nachweisobjekt für Aufzeichnungen zu Hinweisinventar, Genehmigung, Veröffentlichung, Prüfung, Sprache und Versionskontrolle fest. Für Verarbeitungen durch Verantwortliche müssen Prozessverantwortliche / Geschäftsinhaber einen REG07-Datenschutzhinweisdatensatz erstellen, der mit der relevanten REG02-Verarbeitungstätigkeit verknüpft ist, bevor ein neuer PII-Erhebungskanal, Service, ein Formular, eine Kampagne, ein Produkt oder eine Funktion eingeführt wird. Wenn personenbezogene Daten aus einer anderen Quelle als der betroffenen Person erhalten werden, muss der Datensatz vor der ersten Kommunikation, vor der ersten Offenlegung gegenüber einer Drittpartei oder innerhalb von 20 Geschäftstagen nach Erhalt der personenbezogenen Daten erstellt werden, je nachdem, was zuerst eintritt. Die Richtlinie verlangt außerdem, dass Hinweise mit aktuellen REG02-Verarbeitungszwecken, Rechtsgrundlagenreferenzen, PII-Kategorien, Kategorien betroffener Personen, Quellenkategorien, Empfängerkategorien, Aufbewahrungsreferenzen und Übermittlungsreferenzen verknüpft werden. Die Richtlinie definiert einen strukturierten Genehmigungs- und Veröffentlichungslebenszyklus. Prozessverantwortliche / Geschäftsinhaber bestätigen die Richtigkeit und Vollständigkeit des Hinweisinhalts und reichen den REG07-Datensatz vor der Veröffentlichung oder Aktivierung des Erhebungskanals zur Genehmigung durch den Privacy Lead / PIMS-Manager ein. Der Privacy Lead / PIMS-Manager prüft die Konsistenz mit REG02 und genehmigt oder lehnt den Hinweis ab. Systemverantwortliche / Anwendungsverantwortliche dürfen nur die genehmigte REG07-Hinweisversion veröffentlichen, bevor digitale Erhebungskanäle aktiviert werden, während Prozessverantwortliche / Geschäftsinhaber genehmigte Hinweise über nicht digitale Kanäle verfügbar machen müssen, bevor personenbezogene Daten erhoben werden. Veröffentlichungsnachweise, einschließlich Ort und Zeitstempel oder gleichwertigem Nachweis, müssen innerhalb von zwei Geschäftstagen nach Veröffentlichung in REG07 aufgezeichnet werden. Wenn erforderliche genehmigte Nachweise zum Datenschutzhinweis fehlen, darf der neue Erhebungskanal des Verantwortlichen nicht produktiv gesetzt werden. Die Transparenzqualität wird durch Sprach-, Barrierefreiheits-, Versions- und Änderungskontrollen adressiert. Die Richtlinie verlangt die Identifizierung der Zielgruppen betroffener Personen und der erforderlichen Sprachversionen vor der Genehmigung. Sie verlangt Nachweise für klare Sprache und Zielgruppeneignung in REG07, übersetzte oder lokalisierte Versionen vor der Veröffentlichung sowie Versionsgleichheit zwischen Master- und lokalisierten Hinweisen innerhalb von 10 Geschäftstagen nach einer wesentlichen Aktualisierung. Veraltete Hinweisversionen müssen innerhalb von fünf Geschäftstagen nach Veröffentlichung der Ersatzversion entfernt, weitergeleitet oder gekennzeichnet werden, während ersetzte Versionen, Wirksamkeitsdaten, Genehmigungsnachweise und Veröffentlichungsnachweise in REG07 aufzubewahren sind. Wesentliche Änderungen an der Identität des Verantwortlichen, an der Kontaktstelle, am Verarbeitungszweck, an der Rechtsgrundlage, an PII-Kategorien, Empfängerkategorien, Aufbewahrungsreferenzen, Übermittlungsreferenzen, Kanälen für Betroffenenanfragen, Beschwerde- oder Datenschutzkontaktkanälen, Sprachabdeckung, Veröffentlichungskanälen oder Verarbeitungskontext lösen Kontrollen zur Aktualisierung des Datenschutzhinweises aus. Die Richtlinie enthält außerdem Anforderungen an Governance, Messung, Ausnahmen, Durchsetzung und Pflege. Aktive REG07-Hinweise werden mindestens jährlich sowie innerhalb von 30 Tagen nach wesentlichen rechtlichen, regulatorischen, vertraglichen oder verarbeitungsbezogenen Änderungen geprüft. REG07-Hinweisdatensätze werden vierteljährlich mit REG02-Verarbeitungszwecken abgeglichen; ungelöste Abweichungen werden in REG12 aufgezeichnet. Zu den Kennzahlen gehören der Anteil aktiver Hinweise, die mit aktuellen REG02-Zwecken verknüpft sind, fristgerecht geprüfte Hinweise, überfällige Aktualisierungen, ungelöste Abweichungen, blockierte oder verzögerte Erhebungskanäle, fristgerecht abgeschlossene Kundenanfragen zu unterstützenden Informationen zum Datenschutzhinweis sowie Hinweise mit aktuellen Sprach-, Versions-, Genehmigungs- und Veröffentlichungsnachweisen. Ausnahmen müssen vor Abweichungen in REG12 aufgezeichnet werden, mit erforderlicher Datenschutzberatung und Genehmigung durch die oberste Leitung für festgelegte hinweisbezogene Ausnahmen. Fehlende, unrichtige, unveröffentlichte, nicht genehmigte oder veraltete Nachweise zu Datenschutzhinweisen werden als Nichtkonformität aufgezeichnet, und wesentlich unrichtige oder irreführende Hinweise werden innerhalb von zwei Geschäftstagen nach Bestätigung an den Datenschutzbeauftragten / Datenschutzberater und die oberste Leitung eskaliert.