So weisen Sie die Einhaltung von Artikel 24 der DSGVO nach

ISO 27701 Abschnitt 5.2.1 (Die Organisation und ihren Kontext verstehen) und EU-DSGVO Artikel 24 (3)

Bevor Organisationen versuchen, sich mit dem Schutz der Privatsphäre zu befassen und eine PII zu implementieren, müssen sie sich zunächst über ihre Pflichten als alleiniger oder gemeinsamer PII-Verantwortlicher und/oder -Verarbeiter informieren.

Dies beinhaltet:

• Überprüfung aller geltenden Datenschutzgesetze, -vorschriften oder „gerichtlichen Entscheidungen“;
• Berücksichtigung der einzigartigen Anforderungen der Organisation in Bezug auf die Art der von ihr verkauften Produkte und Dienstleistungen sowie unternehmensspezifischer Governance-Dokumente, Richtlinien und Verfahren;
• administrative Faktoren;
• Vereinbarungen mit Dritten oder Dienstleistungsverträge.

ISO 27701 Abschnitt 6.15.1.3 (Schutz von Aufzeichnungen) und EU-DSGVO Artikel 24 (2)

Das Datensatzmanagement umfasst vier Schlüsselbereiche:

1. Authentizität;
2. Verlässlichkeit;
3. Integrität;
4. Benutzerfreundlichkeit.

Organisationen sollten:

• Richtlinien veröffentlichen, die sich mit Folgendem befassen:
• Lagerung;
• Handhabung (Chain of Custody);
• Entsorgung;
• Manipulation verhindern.
• Geben Sie an, wie lange jeder Datensatztyp aufbewahrt werden soll.
• Beachten Sie alle Gesetze, die sich mit der Führung von Aufzeichnungen befassen.
• sich an die Erwartungen der Kunden hinsichtlich der Art und Weise halten, wie Unternehmen mit ihren Unterlagen umgehen sollten;
• Aufzeichnungen vernichten, sobald sie nicht mehr benötigt werden;
• Datensätze anhand ihres Sicherheitsrisikos klassifizieren, z. B.:
• Buchhaltung;
• geschäftliche Transaktionen;
• persönliche Rekorde;
• legal
• sicherstellen, dass sie in der Lage sind, Aufzeichnungen innerhalb eines akzeptablen Zeitraums abzurufen, wenn sie von einem Dritten oder einer Strafverfolgungsbehörde dazu aufgefordert werden;
• Halten Sie sich bei der Speicherung oder Handhabung von Aufzeichnungen auf elektronischen Medienquellen stets an die Richtlinien des Herstellers.

ISO 27701 Abschnitt 6.2.1.1 (Richtlinien zur Informationssicherheit) und EU-DSGVO Artikel 24 (2)

ISO befürwortet einen zweigleisigen Ansatz zum Schutz der Privatsphäre von Unternehmen, der Folgendes umfasst:

• eine allgemeine Datenschutzrichtlinie;
• themenspezifische Datenschutzrichtlinien.

Beide Arten von Richtlinien können entweder in einem Dokument zusammengefasst oder nach Ermessen der Organisation getrennt werden.

Richtlinien sollten an alle relevanten Mitarbeiter (und gegebenenfalls an externes Personal) weitergegeben werden, um die kontinuierliche Einhaltung interner und externer Datenschutzanforderungen sicherzustellen.

Jeder, der eine Police erhält, sollte gebeten werden, vorzugsweise schriftlich zu bestätigen, dass er versteht, was von ihm verlangt wird, und bereit ist, diese zu erfüllen.

Richtlinien sollten überprüft werden, wenn Änderungen vorgenommen werden an:

• Geschäftsstrategie;
• betriebliche Praktiken/technische Umgebungen;
• alle Gesetze (einschließlich DSGVO), behördliche Bestimmungen oder allgemeine PII-bezogene Richtlinien, für deren Einhaltung die Organisation verantwortlich ist;
• Risikoniveaus für den Schutz der Privatsphäre und die vorherrschende/prognostizierte Bedrohungslandschaft.

Allgemeine Richtlinien

Die Geschäftsleitung sollte eine Datenschutzrichtlinie auf höchster Ebene (zusammen mit anderen themenspezifischen Richtlinien) festlegen, in der die Prozesse und praktischen Schritte klar dargelegt sind, die zum Schutz personenbezogener Daten ergriffen werden.

Die Datenschutzrichtlinien einer Organisation sollten Informationen enthalten von: und relevant bleiben für:

1. die allgemeine Geschäftsstrategie;
2. alle geltenden behördlichen, gesetzlichen oder vertraglichen Anforderungen;
3. alle klaren und gegenwärtigen Datenschutzrisiken.

Datenschutzrichtlinien sollten Folgendes definieren:

• operative Definition des Datenschutzes;
• erklärte Datenschutzziele;
• breiteres Spektrum an Leitprinzipien zum Schutz personenbezogener Daten;
• Engagement für die Erreichung ihrer PII-bezogenen Ziele und deren kontinuierliche Verbesserung;
• Ansatz zur Delegation der Verantwortung für die Datenschutzrichtlinie ganz oder teilweise an die entsprechenden Rollentypen;
• Vorgehensweise im Umgang mit Ausnahmen von der Richtlinie;
• Pläne für die Geschäftsleitung, Änderungen zu prüfen und zu genehmigen.

ISO 27701 Abschnitt 7.2.8 (Aufzeichnungen über die Verarbeitung personenbezogener Daten) und EU-DSGVO Artikel 24 (1)

Datensätze (auch als „Inventarlisten“ bezeichnet) sollten einen delegierten Eigentümer haben und können Folgendes umfassen:

1. operativ – die spezifische Art der PII-Verarbeitung, die durchgeführt wird;
2. Begründungen – warum die PII verarbeitet wird;
3. kategorisch – Listen der PII-Empfänger, einschließlich internationaler Organisationen;
4. Sicherheit – ein Überblick darüber, wie personenbezogene Daten geschützt werden;
5. Datenschutz – d. h. ein Bericht zur Datenschutzfolgenabschätzung.

Index der verknüpften EU-DSGVO-Artikel und ISO 27701-Klauseln

Wie ISMS.online hilft

ISMS.online bietet Ihnen eine komplette DSGVO-Lösung.

Wir bieten Ihnen eine vorgefertigte Umgebung zur Beschreibung und Demonstration Ihres Ansatzes zum Schutz Ihrer europäischen und britischen Kundendaten, die sich nahtlos in Ihr Managementsystem einfügt.

Die ISMS.online-Plattform verfügt über integrierte Anleitungen für jeden Schritt in Kombination mit unserem Implementierungsansatz „Adopt, Adapt, Add“, sodass der Aufwand für die Demonstration Ihres Ansatzes zur DSGVO erheblich reduziert wird.

Hast du 30 Minuten? Erfahren Sie mehr von eine Demo buchen.