Entitätsumfang für die Planung eines Datenschutzprogramms

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Wenn ein Datenschutzmanager das Datenschutzprogramm für eine Organisation plant, besteht der erste Schritt darin, den Umfang der Geschäftsanwendungen oder -prozesse zu ermitteln, die personenbezogene Daten enthalten. In Governance, Risk und Compliancewerden diese Geschäftsanwendungen oder Geschäftsprozesse als Entitäten bezeichnet. Nachdem Sie die Entitäten identifiziert haben, die personenbezogene Daten verarbeiten, werden die Verarbeitungsaktivitäten automatisch erstellt.

    Ein Datenschutzmanager mit der Rolle sn_privacy_manager plant verschiedene Datenschutzprogramme. Beispiele für Datenschutzprogramme:
    • Identifizierung aller Geschäftsprozesse und Lieferanten, die personenbezogene Daten von Kunden verarbeiten.
    • Geschäftsanwendungen identifizieren, die personenbezogene Daten von Mitarbeitern verarbeiten.
    Der gesamte Bestand im Zusammenhang mit Geschäftsprozessen, Anwendungen, Lieferanten oder Business Services wird in den entsprechenden Tabellen Configuration Management Database (CMDB) gespeichert. Die jeweiligen Geschäftsinhaber verwalten diesen Bestand.
    Sie können Entitäten identifizieren oder erkennen, die personenbezogene Daten verarbeiten, indem Sie eine der folgenden Methoden verwenden.
    • Entitäten werden gefiltert, indem die Verarbeitungsaktivitäten anhand ihrer Verwendung personenbezogener Daten ermittelt werden.
    • Senden der ersten Datenschutzbewertungen.
    Beide Methoden werden in den folgenden Abschnitten erläutert.
    Erkennen Sie Verarbeitungsaktivitäten anhand der Verwendung personenbezogener Daten
    Auf Bestandsebene, wenn Geschäftsprozesse, Geschäftsanwendungen und andere Bestandsdatensätze Informationsobjekten vom Typ „Persönliche Informationen“ (PI) zugeordnet werden, kann der Datenschutzmanager die Datensätze erkennen, die bestimmte PI-Informationen verarbeiten. Weitere Informationen zu Informationsobjekten und ihrer Rolle in Privacy Managementfinden Sie unter Informationsobjekte in Privacy Management.
    Die folgende Abbildung zeigt einen Geschäftsprozess mit zugehörigen Informationsobjekten. Um solche Geschäftsanwendungen oder Prozesse zu identifizieren, die Informationsobjekten zugeordnet sind, wird die erweiterte Entitätsfilterfunktion in der Funktion zur Umfangsdefinition für Entitäten verwendet. Weitere Informationen finden Sie unter Umfangsentitäten, um Verarbeitungsaktivitäten mit personenbezogenen Daten zu erkennen.
    Abbildung : 1. Geschäftsprozess mit zugehörigen Informationsobjekten
    Geschäftsprozess mit zugehörigen Informationsobjekten.
    Identifizieren Sie potenzielle Entitäten und senden Sie erste Datenschutzbewertungen
    Wenn die Informationsobjekte nicht den Geschäftsanwendungen oder -prozessen zugeordnet sind, können Sie erste Datenschutzbewertungen an alle Entitäten senden und deren Antworten verwenden, um zu bestimmen, ob personenbezogene Daten verarbeitet werden. Die Schritte zum Senden der Bewertung lauten wie folgt:
    1. Erstellen Sie einen Entitätstyp. Zum Beispiel Geschäftsprozesse, die personenbezogene Daten von Kunden verarbeiten, oder Geschäftsanwendungen, in denen Mitarbeiterinformationen gespeichert werden.
    2. Identifizieren Sie Entitäten anhand des von Ihnen erstellten Entitätstyps.
    3. Wählen Sie die relevanten Entitäten aus, und senden Sie Bewertungen der Datenschutzuntersuchung an die jeweiligen Entitätsbesitzer.
    4. Basierend auf den Antworten werden automatisch Verarbeitungsaktivitäten erstellt, wenn relevante Fragen beantwortet werden.
    Abbildung : 2. Senden von Datenschutzbewertungen an Entitäten
    Senden Sie Datenschutzbewertungen an Entitäten, um personenbezogene Daten zu ermitteln.
    Nachdem der Bereich der Entitäten festgelegt wurde, werden in den -Anwendungen nur die Entitäten angezeigt, die personenbezogene Daten enthalten.