Datenschutz-Management Lösungsübersicht

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 4 Minuten Lesedauer

    • Die Lösung Datenschutz-Management bietet Ihnen ein Framework für die Verwaltung Ihrer datenschutzspezifischen Bibliotheken wie Zitate, Richtlinien, Kontrollziele, Risikobeschreibungen, Datenschutz-Auswirkungsbewertungen und Datenschutzrisikobewertungen. Sie stellt auch Verarbeitungsaktivitätsdatensätze bereit, um das Datenschutzrisiko und die Compliance-Situation für eine Geschäftsanwendung oder einen Geschäftsprozess nachzuverfolgen, indem die relevanten Risiken und Steuerungen angewendet und überwacht werden.

    Stellen Sie vor der Planung Ihres Datenschutzprogramms sicher, dass Sie die Datenschutzbibliotheken gemäß den Datenschutzbestimmungen einrichten, die Sie implementieren möchten. Weitere Informationen zum Setup der Bibliothek finden Sie unter Verwalten Sie die Bibliothek Datenschutz-Management.

    Die folgende Abbildung zeigt die Lösung Datenschutz-Management.
    Abbildung : 1. Übersicht über die Privacy Management-Lösung
    Übersicht über die Privacy Management-Lösung.

    Die Lösung Datenschutz-Management wird wie folgt beschrieben.

    Bibliothek erstellen

    Als Datenschutzmanager mit der Rolle sn_privacy.manager oder Datenschutzadministrator mit der Rolle sn_privacy.admin müssen Sie Ihre Bibliotheken wie folgt einrichten.
    • Datenschutz-Auswirkungsbewertungen
    • Persönliche Informationsobjekte
    • Datenschutzbestimmungen, regulatorische Dokumente, Zitate und Kontrollziele.
    • Datenschutzrichtlinien und -verfahren
    • Risikobeschreibungen zum Datenschutz

    Datenschutz-Auswirkungsbewertungen

    1. Bestand erkennen: Als Datenschutz-Manager mit der Rolle sn_privacy.manager können Sie den Bestand identifizieren oder erkennen, z. B. Geschäftsprozesse, Geschäftsanwendungen, Lieferanten und Business Services, die personenbezogene Daten verarbeiten. Der gesamte Bestand wird in den entsprechenden Tabellen Configuration Management Database (CMDB) gespeichert. Die jeweiligen Geschäftsinhaber verwalten den Bestand. Verwenden Sie als Datenschutzmanager die Funktion Entitätstypen, und erstellen Sie eine Entität für jeden Bestandsdatensatz. Weitere Informationen zu Entitätstypen finden Sie unter Entitäten erkunden. In dieser Phase können Sie basierend auf der Discovery-Methode einen der folgenden Ansätze verwenden, um Verarbeitungsaktivitäten zu erstellen.
      1. Geschäftsprozesse oder Anwendungen durchsuchen, die personenbezogene Daten verarbeiten: Verwenden Sie diesen Ansatz, wenn Geschäftsprozesse, Anwendungen, Services oder Lieferanten Informationsobjekten zugeordnet sind. Suchen Sie mithilfe der Entitätstypfunktionalität nach Entitäten, die [PI-]Informationsobjekte verarbeiten. Erstellen Sie basierend auf den Suchergebnissen direkt die Verarbeitungsaktivitäts-Datensätze. Dieser Ansatz wird nur verwendet, wenn die Geschäftsinhaber den Bestand Informationsobjekten zuordnen. Weitere Informationen finden Sie unter Definition des Entitätsumfangs zur Planung eines Datenschutzprogramms.
      2. Bewertungen der Datenschutzuntersuchung senden: Verwenden Sie diesen Ansatz, wenn Informationsobjekte nicht dem Bestand zugeordnet sind, z. B. Geschäftsanwendungen und -prozesse. Bei diesem Ansatz werden Bewertungen der Datenschutzuntersuchung an die jeweiligen Geschäftsinhaber gesendet. Diese Screening-Bewertungen enthalten grundlegende Fragen. Einige Beispiele für Fragen sind:
        • Verarbeiten Sie personenbezogene Daten als Teil des Geschäftsprozesses oder der Anwendung, die Sie besitzen?
        • Welche Art von personenbezogenen Daten verarbeiten Sie? Zum Beispiel E-Mail, Telefon und Adresse.
        Wenn in den Antworten der Bewertung festgestellt wird, dass personenbezogene Daten vorhanden sind, werden automatisch Verarbeitungsaktivitäten erstellt.
    2. Geschäftskunden können von Mitarbeiter-Centeraus proaktiv Datenschutz-Auswirkungsbewertungen für neue Anwendungen und Prozesse übermitteln.

    Verwalten und aktualisieren Sie die Verarbeitungsaktivitäten

    1. Eine Verarbeitungsaktivität erstellen oder aktualisieren: Senden Sie als Datenschutzanalyst mit der Rolle sn_privacy.analyst eine Datenschutzfolgenabschätzung an die Verarbeitungsaktivität oder die Geschäftsinhaber, nachdem eine Verarbeitungsaktivität erstellt wurde. Die Datenschutz-Auswirkungsbewertung hilft zu verstehen, warum und wie die Verarbeitungsaktivität personenbezogene Daten verarbeitet. Die Bewertung sammelt Informationen wie die Begründung für die Speicherung von PI-Daten, den Austausch von PI-Daten mit anderen Systemen und die Sicherheit von PI-Daten.
    2. PIA senden oder automatisch initiieren: Senden Sie als Datenschutzanalyst eine Datenschutzfolgenabschätzung aus einer Verarbeitungsaktivität, wenn Sie weitere Informationen sammeln müssen. Alternativ können Sie die Bewertungen auch automatisch basierend auf der Häufigkeit für das Datenschutzprogramm initiieren, die vom Datenschutzmanager und Datenschutzadministrator festgelegt wurde. Ein Zeitplan für die automatische Initiierung kann mit den Fähigkeiten Now Platform erstellt werden.
    3. Wenden Sie Risiken und Steuerungen im Zusammenhang mit der Verarbeitungsaktivität an: Nachdem Sie als Datenschutzanalyst verstanden haben, wie personenbezogene Daten in der Verarbeitungsaktivität verwendet werden, werden die erforderlichen Risikobeschreibungen, Kontrollen, Richtlinien und regulatorischen Dokumente basierend auf automatisch auf die Verarbeitungsaktivitäten angewendet Antworten auf Bewertungen Weitere Informationen zum Konfigurieren von Bewertungen finden Sie unter Bewertungsvorlagen erstellen. Nachdem die Steuerungen hinzugefügt wurden, kann der Datenschutzanalyst die Steuerungen überprüfen und nach Bedarf Steuerungen hinzufügen oder entfernen.
    4. Kontrollnachweise senden: Nachdem der endgültige Satz von Steuerungen der Verarbeitungsaktivität zugeordnet wurde, werden die Kontrollnachweise an die Geschäftsprozessbesitzer oder die Anwendungsbesitzer gesendet, um die Nachweise für jede angewendete Kontrolle zu sammeln. Wenn die Geschäftsinhaber auf Kontrollnachweise mit Nachweisen für jede Kontrolle antworten, werden konforme und nicht konforme Kontrollen identifiziert. Diese Identifizierung bestimmt die Compliance-Situation der Verarbeitungsaktivität.
    5. Probleme melden und überwachen: Für nicht konforme Steuerungen werden automatisch Probleme erstellt und ihren jeweiligen Geschäftsinhabern zugewiesen. Der Datenschutzanalyst überwacht die Probleme.
    6. Probleme verwalten: Um Probleme zu verwalten, können Geschäftsinhaber eine der folgenden Aktionen ausführen:
      • Problem beheben: Durch die Behebung des Problems wird die Steuerung konform.
      • Richtlinienausnahme auslösen: Eine Ausnahme wird für ein Problem ausgelöst, das nicht sofort gelöst werden kann. Datenschutzanalysten können die Richtlinienausnahmen überprüfen und die Ausnahmen je nach Relevanz des Problems akzeptieren oder ablehnen.
    7. Kontinuierliche Kontrollüberwachung: Datenschutzanalysten überwachen die Kontrollen einer Verarbeitungsaktivität mithilfe der Indikatorfunktionalität kontinuierlich. Weitere Informationen zu -Indikatoren finden Sie unter Risikoindikatoren, Kontrollindikatoren und Indikatorvorlagen.

    Bewerten Sie die Relevanz von Verarbeitungsaktivitäten

    Die Kritikalitätspunktzahl gibt die Risikosituation auf der Ebene der Verarbeitungsaktivität an, indem die Faktoren auf der Ebene der Verarbeitungsaktivität bewertet werden. Wenn eine Verarbeitungsaktivität erstellt oder aktualisiert wird, wird eine Kritikalitätsbewertung für die Verarbeitungsaktivität durchgeführt, um die allgemeine Risikopunktzahl oder die Kritikalitätspunktzahl zu verstehen.

    Führen Sie Bewertungen des Datenschutzrisikos durch

    Datenschutzrisikobewertungen sind detaillierte Bewertungen, die durchgeführt werden, wenn die Kritikalitätspunktzahl hoch ist. Bewerten Sie jedes Risiko, das mit der Verarbeitungsaktivität verbunden ist, und kennen Sie die aggregierte Risikopunktzahl für die Verarbeitungsaktivität. Nachdem Sie die Datenschutzrisiken bewertet haben, können Sie die Datenschutzrisikosituation in der Risiko-Heatmap im Übersichtsbereich anzeigen. Die Heatmaps enthalten detaillierte Informationen zu Ihren inhärenten und Restrisiken.