Richtlinie zur Datenschutz-Risikobeurteilung und DSFA

Die Richtlinie zur Datenschutz-Risikobeurteilung und DSFA definiert, wie eine Organisation Datenschutzrisiken innerhalb des PIMS-Geltungsbereichs identifiziert, beurteilt, behandelt, genehmigt, überprüft und nachweist. Ihr Zweck besteht darin sicherzustellen, dass Datenschutzrisiken und DSFA-Verpflichtungen behandelt werden, bevor die Verarbeitung personenbezogener Daten ein inakzeptables Risiko für betroffene Personen oder das PIMS erzeugt. Die Richtlinie gilt für neue und wesentlich geänderte Verarbeitungstätigkeiten personenbezogener Daten in Kontexten als Verantwortlicher, gemeinsam Verantwortlicher, Auftragsverarbeiter und Unterauftragsverarbeiter. Sie umfasst außerdem Systeme, Anwendungen, Services, Geschäftsprozesse, Lieferanten, Auftragsverarbeiter, Unterauftragsverarbeiter, internationale Übermittlungen und Datenweitergabevereinbarungen, die sich auf die Verarbeitung personenbezogener Daten auswirken. Ein zentrales Merkmal der Richtlinie ist ihr REG04-basiertes Betriebsmodell. Datenschutz-Risiko-Screening, DSFA-Screening, Risikobeurteilung, Behandlungspläne, Restrisikoakzeptanz, Entscheidungen zur Konsultation, Genehmigungen und Überprüfungsstatus werden in REG04 dokumentiert; unterstützende Nachweise werden mit REG02, REG03, REG08, REG09, REG10, REG11 und REG12 verknüpft. Die Richtlinie vermeidet ausdrücklich die Erstellung separater DSFA-, Risiko- oder Konsultationsregister außerhalb von REG04. Dies hilft, einen einzigen Prüfpfad für Screening-Ergebnisse, Entscheidungen zu vollständigen DSFAs, Risikoeinstufungen, Behandlungsverantwortliche, Fälligkeitstermine, Restrisiko, Genehmigungsstatus und Überprüfungsdaten zu bewahren. Die Richtlinie legt verbindliche Auslöser für Datenschutz-Risiko-Screening und die Feststellung einer vollständigen DSFA fest. Prozessverantwortliche / Geschäftsinhaber müssen ein REG04-Screening einleiten, bevor eine neue oder wesentlich geänderte Verarbeitung beginnt, die in REG02 aufgezeichnet ist. Verarbeitung durch Verantwortliche, die voraussichtlich zu einem hohen Risiko führt, erfordert eine vollständige DSFA, bevor die Verarbeitung beginnt. Die Richtlinie benennt Verarbeitungstätigkeiten in großem Umfang, systematische Überwachung, Profiling, automatisierte Entscheidungen, besondere Kategorien personenbezogener Daten, Daten zu strafrechtlichen Verurteilungen oder Straftaten, schutzbedürftige betroffene Personen, innovative Technologie und wesentliche Änderungen der Verarbeitung als Sachverhalte, die vor Beginn der Verarbeitung an den Datenschutzverantwortlichen / PIMS-Manager verwiesen werden müssen. Sie verlangt außerdem ein erneutes Screening, bevor personenbezogene Daten für einen neuen Zweck verwendet, ein neuer Empfänger hinzugefügt, ein neuer Auftragsverarbeiter oder Unterauftragsverarbeiter eingeführt, die Systemarchitektur geändert oder eine neue internationale Übermittlung gestartet wird. Risikobehandlung und Eskalation sind ebenfalls klar definiert. Wenn das Datenschutzrisiko den genehmigten Akzeptanzschwellenwert überschreitet, muss der Prozessverantwortliche / Geschäftsinhaber einen Behandlungsplan in REG04 erfassen, bevor die Verarbeitung fortgesetzt wird. Sicherheits-, Systemdesign-, Lieferanten-, vertragliche und Assurance-Maßnahmen werden der jeweiligen Rolle zugewiesen und müssen vor Produktivsetzung, Onboarding, Verlängerung oder dem genehmigten Fälligkeitstermin umgesetzt werden. Hohes Datenschutz-Restrisiko für Verarbeitung durch Verantwortliche erfordert die Genehmigung der obersten Leitung, bevor die Verarbeitung beginnt oder fortgesetzt wird. Wenn nach der Behandlung ein hohes Restrisiko verbleibt, erfasst der Datenschutzverantwortliche / PIMS-Manager die Entscheidung zur vorherigen Konsultation in REG04, und die oberste Leitung genehmigt die Fortsetzung, Aussetzung, Neugestaltung oder Konsultationsmaßnahmen, bevor die Verarbeitung fortgesetzt wird. Governance-, Überwachungs- und Durchsetzungsanforderungen stellen sicher, dass der Prozess nach der Erstgenehmigung aktiv bleibt. Der Datenschutzverantwortliche / PIMS-Manager überprüft offene Datenschutzrisiken und überfällige Behandlungsmaßnahmen monatlich, berichtet vierteljährlich und vor der Managementbewertung über den Datenschutzrisiko- und DSFA-Status und gleicht aktive REG04-Risikoaufzeichnungen mit REG02-Verarbeitungstätigkeitsinventaraufzeichnungen ab. Die Richtlinie definiert Kennzahlen für Screening-Abdeckung, aktive vollständige DSFAs, überfällige Überprüfungen, hohe Restrisiken, Status von Behandlungsmaßnahmen, durchschnittliche Abschlusszeit, Lieferantenmaßnahmen, sicherheitsbezogene Behandlungsmaßnahmen, vorfallsbedingte Neubewertung und Audit-Feststellungen. Ausnahmen müssen vor einer Abweichung beantragt, hinsichtlich Datenschutz-, Rechts-, Zertifizierungs- und Betriebsauswirkungen sowie Auswirkungen auf betroffene Personen bewertet und mit einem Ablaufdatum versehen werden, das 90 Tage nicht überschreitet. Fehlende, unrichtige, unvollständige, überfällige oder nicht genehmigte REG04-Nachweise werden als Nichtkonformität in REG12 behandelt.