Definition des Entitätsumfangs zur Planung eines Datenschutzprogramms

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 1 Minute Lesedauer

    • Wenn ein Datenschutzmanager das Datenschutzprogramm für eine Organisation plant, besteht der erste Schritt darin, den Umfang der Geschäftsanwendungen oder Geschäftsprozesse festzulegen, die personenbezogene Daten enthalten. In Governance, Risk und Compliancewerden diese Geschäftsanwendungen oder Geschäftsprozesse als Entitäten bezeichnet. Nachdem Sie die Entitäten identifiziert haben, die personenbezogene Daten verarbeiten, werden die Verarbeitungsaktivitäten automatisch erstellt.

    Ein Datenschutzmanager mit der Rolle sn_privacy_manager plant verschiedene Datenschutzprogramme. Einige Beispiele für Datenschutzprogramme sind:
    • Identifizierung aller Geschäftsprozesse und Lieferanten, die personenbezogene Daten von Kunden verarbeiten.
    • Geschäftsanwendungen identifizieren, die personenbezogene Daten von Mitarbeitern verarbeiten
    Der gesamte Bestand im Zusammenhang mit Geschäftsprozessen, Anwendungen, Lieferanten oder Geschäftsservices wird in den entsprechenden Tabellen Configuration Management Database (CMDB) gespeichert. Die jeweiligen Geschäftsinhaber verwalten diesen Bestand.
    Sie können Entitäten, die personenbezogene Daten verarbeiten, mit einer der folgenden Methoden identifizieren oder erkennen.
    • Filtern der Entitäten, indem entweder die Verarbeitungsaktivitäten anhand der Verwendung personenbezogener Informationen erkannt werden.
    • Erste Datenschutzbewertungen werden gesendet.
    Beide Methoden werden in den folgenden Abschnitten erläutert.
    Erkennen Sie Verarbeitungsaktivitäten anhand der Verwendung personenbezogener Daten
    Wenn auf Bestandsebene Geschäftsprozesse, Geschäftsanwendungen und andere Bestandsdatensätze Informationsobjekten vom Typ „Personal Information (PI)“ zugeordnet werden, kann der Datenschutz-Manager die Datensätze erkennen, die bestimmte PI-Informationen verarbeiten. Einzelheiten zu Informationsobjekten und ihrer Rolle in Datenschutz-Managementfinden Sie unter Informationsobjekte in Datenschutz-Management.
    Die folgende Abbildung zeigt einen Geschäftsprozess mit zugeordneten Informationsobjekten. Um solche Geschäftsanwendungen oder Geschäftsprozesse zu identifizieren, die Informationsobjekten zugeordnet sind, wird die erweiterte Entitätsfilterfunktion in der Funktionalität zur Definition des Entitätsumfangs verwendet. Weitere Informationen finden Sie unter Bereichsentitäten, um Verarbeitungsaktivitäten mit personenbezogenen Informationen zu erkennen.
    Abbildung : 1. Geschäftsprozess mit zugehörigen Informationsobjekten
    Geschäftsprozess mit Informationsobjekten.
    Identifizieren Sie potenzielle Entitäten und senden Sie erste Datenschutzbewertungen
    Wenn die Informationsobjekte nicht den Geschäftsanwendungen oder -prozessen zugeordnet sind, können Sie erste Datenschutzbewertungen an alle Entitäten senden und anhand ihrer Antworten bestimmen, ob personenbezogene Daten verarbeitet werden. Gehen Sie wie folgt vor, um die Bewertung zu senden:
    1. Erstellen Sie einen Entitätstyp. Zum Beispiel Geschäftsprozesse, die personenbezogene Kundeninformationen verarbeiten, oder Geschäftsanwendungen, in denen Mitarbeiterinformationen gespeichert werden.
    2. Identifizieren Sie Entitäten anhand des von Ihnen erstellten Entitätstyps.
    3. Wählen Sie die relevanten Entitäten aus, und senden Sie Bewertungen der Datenschutzuntersuchung an die jeweiligen Entitätsbesitzer.
    4. Basierend auf den Antworten werden automatisch Verarbeitungsaktivitäten erstellt, wenn relevante Fragen beantwortet werden.
    Abbildung : 2. Datenschutzbewertungen werden an Entitäten gesendet
    Senden Sie Datenschutzbewertungen an Entitäten, um personenbezogene Daten zu bestimmen.
    Nachdem der Bereich für Entitäten festgelegt wurde, werden in den Anwendungen nur die Entitäten angezeigt, die personenbezogene Informationen enthalten.