Privacy Management Lösungsübersicht

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 4 Minuten Lesedauer

    • Die Privacy Management -Lösung bietet Ihnen ein Framework zum Verwalten Ihrer datenschutzspezifischen Bibliotheken wie Bezugsvermerke, Richtlinien, Kontrollziele, Risikobeschreibungen, Datenschutz-Auswirkungsbewertungen und Datenschutz-Risikobewertungen. Außerdem werden Datensätze zu Verarbeitungsaktivitäten bereitgestellt, um das Datenschutzrisiko und die Compliance-Situation für eine Geschäftsanwendung oder einen Geschäftsprozess nachzuverfolgen, indem die relevanten Risiken und Kontrollen angewendet und überwacht werden.

    Stellen Sie vor der Planung Ihres Datenschutzprogramms sicher, dass Sie die Datenschutzbibliotheken gemäß den Datenschutzbestimmungen einrichten, die Sie implementieren möchten. Weitere Informationen zum Setup der Bibliothek finden Sie unter Verwalten Sie die Bibliothek Privacy Management ..

    Die folgende Abbildung zeigt die Lösung Privacy Management.
    Abbildung : 1. Übersicht über die Datenschutzmanagement-Lösung
    Übersicht über die Datenschutzmanagement-Lösung

    Die Lösung Privacy Management wird wie folgt beschrieben.

    Erstellen Sie eine Bibliothek

    Als Datenschutzmanager mit der Rolle „sn_privacy.manager“ oder Datenschutzadministrator mit der Rolle „sn_privacy.admin“ müssen Sie Ihre Bibliotheken wie folgt einrichten.
    • Datenschutz-Auswirkungsbewertungen
    • Persönliche Informationsobjekte
    • Datenschutzbestimmungen, regulatorische Dokumente, Bezugsvermerke und Kontrollziele.
    • Datenschutzrichtlinien und -verfahren
    • Erklärungen zum Datenschutzrisiko

    Datenschutz-Auswirkungsbewertungen

    1. Bestand erkennen: Identifizieren oder erkennen Sie als Datenschutzmanager mit der Rolle sn_privacy.manager den Bestand, z. B. Geschäftsprozesse, Geschäftsanwendungen, Lieferanten und Geschäftsservices, die personenbezogene Daten verarbeiten. Der gesamte Bestand wird in den entsprechenden Tabellen Configuration Management Database (CMDB) gespeichert. Die jeweiligen Geschäftsinhaber verwalten den Bestand. Verwenden Sie als Datenschutzmanager die Funktion „Entitätstypen“, und erstellen Sie eine Entität für jeden Bestandsdatensatz. Weitere Informationen zu Entitätstypen finden Sie unter Entitäten erkunden. In dieser Phase können Sie basierend auf der Erkennungsmethode einen der folgenden Ansätze zum Erstellen von Verarbeitungsaktivitäten verwenden.
      1. Geschäftsprozesse oder Anwendungen durchsuchen, die personenbezogene Daten verarbeiten: Verwenden Sie diesen Ansatz, wenn Geschäftsprozesse, Anwendungen, Services oder Lieferanten Informationsobjekten zugeordnet sind. Suchen Sie mithilfe der Entitätstypfunktionalität nach Entitäten, die [PI]-Informationsobjekte verarbeiten. Erstellen Sie basierend auf den Suchergebnissen direkt die Verarbeitungsaktivitätsdatensätze. Dieser Ansatz wird nur verwendet, wenn die Geschäftsinhaber den Bestand mit Informationsobjekten verknüpfen. Weitere Informationen finden Sie unter Entitätsumfang für die Planung eines Datenschutzprogramms.
      2. Bewertungen der Datenschutzuntersuchung senden: Verwenden Sie diesen Ansatz, wenn Informationsobjekte nicht mit dem Bestand verknüpft sind, z. B. Geschäftsanwendungen und -prozesse. Bei diesem Ansatz senden Sie Bewertungen der Datenschutzüberprüfung an die jeweiligen Geschäftsinhaber. Diese Screening-Bewertungen enthalten grundlegende Fragen. Beispiele für Fragen:
        • Verarbeiten Sie personenbezogene Daten als Teil des Geschäftsprozesses oder der Anwendung, die Sie besitzen?
        • Welche Art von personenbezogenen Daten verarbeiten Sie? Zum Beispiel E-Mail, Telefonnummer und Adresse.
        Wenn in den Bewertungsantworten ermittelt wird, dass personenbezogene Daten vorhanden sind, werden automatisch Verarbeitungsaktivitäten erstellt.
    2. Geschäftskunden können aus dem Mitarbeiter-Centerproaktiv Datenschutz-Auswirkungsbewertungen für neue Anwendungen und Prozesse übermitteln.

    Verwalten und aktualisieren Sie die Verarbeitungsaktivitäten

    1. Erstellen oder aktualisieren Sie eine Verarbeitungsaktivität: Senden Sie als Datenschutzanalyst mit der Rolle sn_privacy.analyst eine Datenschutz-Auswirkungsbewertung (PIA) an die Verarbeitungsaktivität oder die Geschäftsinhaber, nachdem eine Verarbeitungsaktivität erstellt wurde. Die Datenschutz-Auswirkungsbewertung hilft zu verstehen, warum und wie die Verarbeitungsaktivität personenbezogene Daten verarbeitet. Die Bewertung erfasst Informationen wie die Begründung für die Speicherung von PI-Daten, den Austausch von PI-Daten mit anderen Systemen und die Sicherheit von PI-Daten.
    2. PIA senden oder automatisch initiieren: Senden Sie als Datenschutzanalyst eine Datenschutz-Auswirkungsbewertung (PIA) aus einer Verarbeitungsaktivität, wenn Sie weitere Informationen sammeln müssen. Alternativ können Sie die Bewertungen auch automatisch basierend auf der vom Datenschutzmanager und Datenschutzadministrator festgelegten Häufigkeit des Datenschutzprogramms initiieren. Ein Zeitplan für die automatische Initiierung kann mit den Fähigkeiten von Now Platform erstellt werden.
    3. Wenden Sie Risiken und Kontrollen im Zusammenhang mit der Verarbeitungsaktivität an: Nachdem Sie als Datenschutzanalyst verstanden haben, wie personenbezogene Daten in der Verarbeitungsaktivität verwendet werden, werden die erforderlichen Risikobeschreibungen, Kontrollen, Richtlinien und regulatorischen Dokumente basierend auf automatisch auf die Verarbeitungsaktivitäten angewendet die Bewertungsantworten. Weitere Informationen zum Konfigurieren von Bewertungen finden Sie unter Bewertungsvorlagen erstellen. Nachdem die Steuerungen hinzugefügt wurden, kann der Datenschutzanalyst die Steuerungen überprüfen und die Steuerungen nach Bedarf hinzufügen oder entfernen.
    4. Kontrollnachweise senden: Nachdem der endgültige Satz von Kontrollen der Verarbeitungsaktivität zugeordnet wurde, werden die Kontrollnachweise an die Geschäftsprozessbesitzer oder Anwendungsbesitzer gesendet, um die Nachweise für jede angewendete Kontrolle zu sammeln. Wenn die Geschäftsinhaber auf Kontrollnachweise mit Nachweisen für jede Kontrolle antworten, werden konforme und nicht konforme Kontrollen identifiziert. Diese Identifizierung bestimmt den Compliance-Status der Verarbeitungsaktivität.
    5. Probleme melden und überwachen: Probleme werden automatisch für nicht konforme Kontrollen erstellt und ihren jeweiligen Geschäftsinhabern zugewiesen. Der Datenschutzanalyst überwacht die Probleme.
    6. Probleme verwalten: Um Probleme zu verwalten, haben Geschäftsinhaber folgende Möglichkeiten:
      • Problem beheben: Durch die Lösung des Problems wird die Steuerung konform.
      • Richtlinienausnahme auslösen: Eine Ausnahme wird für ein Problem ausgelöst, das nicht sofort gelöst werden kann. Datenschutzanalysten können die Richtlinienausnahmen überprüfen und die Ausnahmen basierend auf der Relevanz des Problems entweder akzeptieren oder ablehnen.
    7. Kontinuierliche Kontrollüberwachung: Datenschutzanalysten überwachen kontinuierlich die Kontrollen einer Verarbeitungsaktivität mithilfe der Indikatorfunktionalität. Weitere Informationen zu Indikatoren finden Sie unter Risikoindikatoren, Steuerungsindikatoren und Indikatorvorlagen.

    Bewerten Sie die Relevanz von Verarbeitungsaktivitäten

    Die Kritikalitätspunktzahl gibt die Risikosituation auf der Ebene der Verarbeitungsaktivität an, indem die Faktoren auf der Ebene der Verarbeitungsaktivität bewertet werden. Wenn eine Verarbeitungsaktivität erstellt oder aktualisiert wird, wird eine Kritikalitätsbewertung für die Verarbeitungsaktivität durchgeführt, um die allgemeine Risikopunktzahl oder die Kritikalitätspunktzahl zu verstehen.

    Führen Sie Bewertungen des Datenschutzrisikos durch

    Datenschutz-Risikobewertungen sind detaillierte Bewertungen, die durchgeführt werden, wenn die Kritikalitätspunktzahl hoch ist. Bewerten Sie jedes Risiko, das der Verarbeitungsaktivität zugeordnet ist, und kennen Sie die zusammengefasste Risikopunktzahl für die Verarbeitungsaktivität. Nachdem Sie die Datenschutzrisiken bewertet haben, können Sie die Datenschutzrisikosituation in der Risiko-Heatmap im Übersichtsbereich anzeigen. Die Heatmaps enthalten detaillierte Informationen zu Ihren inhärenten Risiken und Restrisiken.