So weisen Sie die Einhaltung von Artikel 30 der DSGVO nach

Britische DSGVO-Version

Aufzeichnungen über Verarbeitungstätigkeiten

1. Jeder Verantwortliche und gegebenenfalls sein Vertreter müssen ein Verzeichnis der Verarbeitungstätigkeiten unter seiner Verantwortung führen. Diese Aufzeichnung muss alle folgenden Informationen enthalten:
• Name und Kontaktdaten des Verantwortlichen und ggf. des gemeinsamen Verantwortlichen, des Vertreters des Verantwortlichen und des Datenschutzbeauftragten.
• Die Zwecke der Verarbeitung.
• Eine Beschreibung der Kategorien der betroffenen Personen und der Kategorien personenbezogener Daten.
• Die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt wurden oder noch offengelegt werden, einschließlich Empfängern in Drittländern oder internationalen Organisationen.
• Gegebenenfalls Übermittlungen personenbezogener Daten an ein Drittland oder eine internationale Organisation, einschließlich der Identifizierung dieses Drittlandes oder dieser internationalen Organisation und, im Falle von Übermittlungen gemäß Artikel 49 Absatz 1 Unterabsatz XNUMX, der Dokumentation geeigneter Daten Schutzmaßnahmen.
• Sofern möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien.
• Sofern möglich, eine allgemeine Beschreibung der in Artikel 32 Absatz 1 genannten technischen und organisatorischen Sicherheitsmaßnahmen oder gegebenenfalls der in Abschnitt 28 Absatz 3 des Gesetzes von 2018 genannten Sicherheitsmaßnahmen.
2. Jeder Auftragsverarbeiter und gegebenenfalls sein Vertreter müssen ein Verzeichnis aller Kategorien von Verarbeitungstätigkeiten führen, die im Auftrag eines Verantwortlichen durchgeführt werden und Folgendes enthalten:
• Name und Kontaktdaten des oder der Auftragsverarbeiter und jedes Verantwortlichen, in dessen Namen der Auftragsverarbeiter handelt, sowie gegebenenfalls des Verantwortlichen oder des Vertreters des Auftragsverarbeiters und des Datenschutzbeauftragten.
• Die Kategorien der im Auftrag jedes Verantwortlichen durchgeführten Verarbeitung.
• Gegebenenfalls Übermittlungen personenbezogener Daten an ein Drittland oder eine internationale Organisation, einschließlich der Identifizierung dieses Drittlandes oder dieser internationalen Organisation und, im Falle von Übermittlungen gemäß Artikel 49 Absatz 1 Unterabsatz XNUMX, der Dokumentation geeigneter Daten Schutzmaßnahmen.
• Sofern möglich, eine allgemeine Beschreibung der in Artikel 32 Absatz 1 genannten technischen und organisatorischen Sicherheitsmaßnahmen. Oder gegebenenfalls die in Abschnitt 28 Absatz 3 des Gesetzes von 2018 genannten Sicherheitsmaßnahmen.
3. Die in den Absätzen 1 und 2 genannten Aufzeichnungen erfolgen schriftlich, auch in elektronischer Form.
4. Der Verantwortliche oder der Auftragsverarbeiter und gegebenenfalls der Vertreter des Verantwortlichen oder des Auftragsverarbeiters stellen dem Datenschutzbeauftragten auf Anfrage die Aufzeichnungen zur Verfügung.
5. Die in den Absätzen 1 und 2 genannten Verpflichtungen gelten nicht für ein Unternehmen oder eine Organisation, die weniger als 250 Personen beschäftigt, es sei denn, die von ihnen durchgeführte Verarbeitung birgt voraussichtlich ein Risiko für die Rechte und Freiheiten der betroffenen Personen und die Verarbeitung erfolgt nicht gelegentlich oder die Verarbeitung umfasst besondere Kategorien von Daten im Sinne von Artikel 9 Absatz 1 oder personenbezogene Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten im Sinne von Artikel 10.

Technischer Kommentar

Artikel 30 der DSGVO befasst sich mit vier Schlüsselbereichen der Datenpflege:

1. Aufzeichnungen über Verarbeitungstätigkeiten durch den Verantwortlichen.
2. Aufzeichnungen über Verarbeitungstätigkeiten des Auftragsverarbeiters.
3. Formate für schriftliche Aufzeichnungen.
4. Die Befugnisse der Aufsichtsbehörden.

Artikel 30 beschreibt auch Ausnahmen, die für alle oben genannten Bereiche gelten – insbesondere für diesen Jede Organisation, die weniger als 250 Mitarbeiter beschäftigt, ist nicht verpflichtet, Verarbeitungsaufzeichnungen zu führen, es sei denn, die Rechte und Freiheiten der betroffenen Personen sind „nicht gelegentlich“ oder die Organisation verarbeitet „besondere Kategorien“ von Daten oder strafrechtliche Daten.

ISO 27701 Klausel 6.12.1.2 (Adressierung der Sicherheit in Lieferantenvereinbarungen) und EU-DSGVO Artikel 30 (2)(d)

Beim Thema Sicherheit innerhalb von Lieferantenbeziehungen sollten Organisationen sicherstellen, dass beide Parteien sich ihrer Verpflichtungen in Bezug auf die Sicherheit von Datenschutzinformationen und untereinander bewusst sind.

Dabei sollten Organisationen:

• Bieten Sie eine klare Beschreibung an, in der detailliert beschrieben wird, auf welche Datenschutzinformationen zugegriffen werden muss und wie auf diese Informationen zugegriffen werden soll.
• Klassifizieren Sie die Datenschutzinformationen, auf die zugegriffen werden soll, gemäß einem anerkannten Klassifizierungsschema (siehe ISO 27002 Kontrollen 5.10, 5.12 und 5.13).
• Berücksichtigen Sie angemessen das eigene Klassifizierungssystem des Lieferanten.
• Kategorisieren Sie Rechte in vier Hauptbereiche – gesetzlich, gesetzlich, behördlich und vertraglich – mit einer detaillierten Beschreibung der Pflichten pro Bereich.
• Stellen Sie sicher, dass jede Partei verpflichtet ist, eine Reihe von Kontrollen einzuführen, mit denen die Risikostufen für die Sicherheit von Datenschutzinformationen überwacht, bewertet und verwaltet werden.
• Erläutern Sie die Notwendigkeit, dass Lieferantenpersonal die Informationssicherheitsstandards einer Organisation einhalten muss (siehe ISO 27002 Control 5.20).
• Ermöglichen Sie ein klares Verständnis darüber, was sowohl eine akzeptable als auch eine inakzeptable Nutzung von Datenschutzinformationen sowie physischen und virtuellen Vermögenswerten beider Parteien darstellt.
• Setzen Sie Autorisierungskontrollen ein, die für Mitarbeiter auf Lieferantenseite erforderlich sind, um auf die Datenschutzinformationen einer Organisation zuzugreifen oder diese anzuzeigen.
• Berücksichtigen Sie, was im Falle einer Vertragsverletzung oder der Nichteinhaltung einzelner Bestimmungen geschieht.
• Skizzieren Sie ein Vorfallmanagementverfahren, einschließlich der Art und Weise, wie wichtige Ereignisse kommuniziert werden.
• Stellen Sie sicher, dass das Personal eine Schulung zum Sicherheitsbewusstsein erhält.
• (Wenn es dem Lieferanten gestattet ist, Subunternehmer einzusetzen) fügen Sie Anforderungen hinzu, um sicherzustellen, dass Subunternehmer denselben Sicherheitsstandards für Datenschutzinformationen unterliegen wie der Lieferant.
• Überlegen Sie, wie Lieferantenpersonal überprüft wird, bevor es mit Datenschutzinformationen interagiert.
• Legen Sie die Notwendigkeit von Bescheinigungen Dritter fest, die die Fähigkeit des Lieferanten belegen, die organisatorischen Datenschutzanforderungen an die Informationssicherheit zu erfüllen.
• Sie haben das vertragliche Recht, die Verfahren eines Lieferanten zu prüfen.
• Fordern Sie Lieferanten auf, Berichte vorzulegen, in denen die Wirksamkeit ihrer eigenen Prozesse und Verfahren detailliert beschrieben wird.
• Konzentrieren Sie sich darauf, Maßnahmen zu ergreifen, um die rechtzeitige und gründliche Lösung etwaiger Mängel oder Konflikte zu erreichen.
• Stellen Sie sicher, dass Lieferanten mit einer angemessenen BUDR-Richtlinie arbeiten, um die Integrität und Verfügbarkeit personenbezogener Daten und datenschutzbezogener Vermögenswerte zu schützen.
• Fordern Sie eine Änderungsmanagementrichtlinie auf Lieferantenseite an, die die Organisation über alle Änderungen informiert, die möglicherweise Auswirkungen auf den Datenschutz haben.
• Implementieren Sie physische Sicherheitskontrollen, die proportional zur Sensibilität der gespeicherten und verarbeiteten Daten sind.
• (Wo Daten übertragen werden sollen) Bitten Sie Lieferanten, sicherzustellen, dass Daten und Vermögenswerte vor Verlust, Beschädigung oder Korruption geschützt sind.
• Erstellen Sie eine Liste der von beiden Parteien im Falle einer Kündigung zu ergreifenden Maßnahmen.
• Bitten Sie den Lieferanten, darzulegen, wie er die Datenschutzinformationen nach der Kündigung vernichten will oder ob die Daten nicht mehr benötigt werden.
• Ergreifen Sie Maßnahmen, um eine minimale Betriebsunterbrechung während der Übergabezeit sicherzustellen.

Organisationen sollten außerdem eine Register der Vereinbarungen, in der alle mit anderen Organisationen getroffenen Vereinbarungen aufgeführt sind.

Unterstützung von ISO 27002-Kontrollen

• ISO 27002 5.10
• ISO 27002 5.12
• ISO 27002 5.13
• ISO 27002 5.20

ISO 27701 Klausel 6.15.1.1 (Identifizierung der anwendbaren Rechtsvorschriften und vertraglichen Anforderungen) und EU-DSGVO Artikel 30 (2)(d)

Organisationen sollten die gesetzlichen, gesetzlichen, behördlichen und vertraglichen Anforderungen einhalten, wenn:

• Ausarbeitung und/oder Änderung von Datenschutzverfahren zur Informationssicherheit.
• Informationen kategorisieren.
• Durchführung von Risikobewertungen im Zusammenhang mit Datenschutz- und Informationssicherheitsaktivitäten.
• Aufbau von Lieferantenbeziehungen, einschließlich etwaiger vertraglicher Verpflichtungen entlang der gesamten Lieferkette.

Organisationen sollten Verfahren befolgen, die ihnen dies ermöglichen identifizieren, analysieren und verstehen Sie erfüllen gesetzliche und behördliche Verpflichtungen – insbesondere solche, die sich auf den Schutz der Privatsphäre und personenbezogene Daten beziehen – wo auch immer sie tätig sind.

Organisationen sollten sich stets ihrer Datenschutzverpflichtungen bewusst sein, wenn sie neue Vereinbarungen mit Dritten, Lieferanten und Auftragnehmern abschließen.

Beim Einsatz von Verschlüsselungsmethoden zur Verbesserung des Datenschutzes und zum Schutz personenbezogener Daten sollten Unternehmen Folgendes tun:

• Beachten Sie alle Gesetze, die den Import und Export von Hardware oder Software regeln, die das Potenzial haben, eine kryptografische Funktion zu erfüllen
• Bereitstellung des Zugriffs auf verschlüsselte Informationen gemäß den Gesetzen der Gerichtsbarkeit, in der sie tätig sind.
• Nutzen Sie drei Schlüsselelemente der Verschlüsselung:
1. Digitale Signaturen.
2. Dichtungen.
3. Digitale Zertifikate.

Unterstützung von ISO 27002-Kontrollen

• ISO 27002 5.20

ISO 27701 Abschnitt 7.2.8 (Aufzeichnungen im Zusammenhang mit der Verarbeitung personenbezogener Daten) und EU-DSGVO Artikel 30

In diesem Abschnitt sprechen wir über die DSGVO-Artikel 30 (1)(a), 30 (1)(b), 30 (1)(c), 30 (1)(d), 30 (1)(f), 30 ( 1)(g), 30 (3), 30 (4) und 30 (5)

Organisationen müssen umfassende Aufzeichnungen führen, die ihre Handlungen und Pflichten als PII-Verarbeiter unterstützen.

Datensätze (auch als „Inventarlisten“ bezeichnet) sollten einen delegierten Eigentümer haben und können Folgendes umfassen:

• Operativ – die spezifische Art der PII-Verarbeitung, die durchgeführt wird.
• Begründungen – warum die PII verarbeitet wird.
• Kategorisch – Listen der PII-Empfänger, einschließlich internationaler Organisationen.
• Sicherheit – ein Überblick darüber, wie personenbezogene Daten geschützt werden.
• Datenschutz – d. h. ein Bericht zur Datenschutz-Folgenabschätzung.

ISO 27701 Klausel 7.5.1 (Identifizieren Sie die Grundlage für die PII-Übertragung zwischen Gerichtsbarkeiten) und EU-DSGVO Artikel 30 (1)(e)

Von Zeit zu Zeit kann es erforderlich sein, personenbezogene Daten zwischen zwei verschiedenen Gerichtsbarkeiten zu übertragen. In diesem Fall sollten Organisationen die Notwendigkeit dafür begründen und dokumentieren.

Die regionalen behördlichen und rechtlichen Vorschriften variieren je nachdem, woher die Daten stammen und wohin sie übertragen werden.

Organisationen sollten alle relevanten Gesetze, Rahmenwerke und Vorschriften berücksichtigen, wann immer sie Daten zwischen Gerichtsbarkeiten übertragen müssen, einschließlich der Nutzung einer benannten Aufsichtsbehörde.

ISO 27701 Klausel 7.5.2 (Länder und internationale Organisationen, an die PII übertragen werden können) und EU-DSGVO Artikel 30 (1)(e)

Organisationen sollten eine dokumentierte Liste der Länder und Organisationen führen, an die sie ihre personenbezogenen Daten unter angemessenen Umständen möglicherweise übertragen könnten.

Sobald sie eine Liste erstellt haben, sollten Unternehmen die Informationen ihren Kunden zur Verfügung stellen, einschließlich aller an Subunternehmer vergebenen PII-Vorgänge (siehe ISO 27701 Abschnitt 7.5.1).

Unter bestimmten Umständen – insbesondere bei strafrechtlichen Ermittlungen – können Vertraulichkeitsgesetze die Organisation daran hindern, die Identität von Zielländern und -organisationen im Voraus preiszugeben (siehe ISO 27701, Abschnitte 8.5.4 und 8.5.5).

Unterstützung von ISO 27701-Kontrollen

• ISO 27701 7.5.1
• ISO 27701 8.5.4
• ISO 27701 8.5.5

ISO 27701 Klausel 7.5.3 (Aufzeichnungen der Übermittlung personenbezogener Daten) und EU-DSGVO Artikel 30 (1)(e)

Es ist von entscheidender Bedeutung, dass Organisationen eine genaue Aufzeichnung der PII-Übermittlungen an Drittorganisationen führen.

Organisationen sollten in der Lage sein, PII aufzuzeichnen, die in irgendeiner Weise geändert wurden (im Einklang mit den Pflichten und Zielen des Verantwortlichen), oder Übertragungen, die erforderlich sind, bevor sie einen Antrag des PII-Auftraggebers auf Änderung oder Löschung der PII umsetzen können.

Aufzeichnungen sollten einer angemessenen Aufbewahrungsfrist und Datenminimierungsregeln unterliegen, die nur das zurückgeben, was zur Erfüllung eines bestimmten Ziels erforderlich ist.

ISO 27701 Klausel 7.5.4 (Aufzeichnungen der Offenlegung personenbezogener Daten gegenüber Dritten) und EU-DSGVO Artikel 30 (1)(d)

Organisationen sollten jede Offenlegung personenbezogener Daten an Dritte protokollieren, einschließlich der folgenden drei Informationen:

• Was wurde enthüllt.
• An wen wurden die Informationen weitergegeben?
• Wann die Offenlegung erfolgte (Datum und Uhrzeit).

Es ist gängige Praxis, personenbezogene Daten aus verschiedenen Gründen im gesamten Informationsverarbeitungsvorgang einer Organisation offenzulegen.

Offenlegungen im Rahmen normaler Geschäftspraktiken sowie etwaige besondere Umstände (z. B. behördliche oder rechtliche Untersuchungen) sollten protokolliert werden.

ISO 27701 Abschnitt 8.2.6 (Aufzeichnungen im Zusammenhang mit der Verarbeitung personenbezogener Daten) und EU-DSGVO Artikel 30

In diesem Abschnitt sprechen wir über die Artikel 30 (2) (a), 30 (2) (b), 30 (3), 30 (4) und 30 (5) der DSGVO.

Organisationen sollten genaue und aktuelle Aufzeichnungen führen, die es ihnen ermöglichen, jederzeit die Einhaltung vertraglicher Verpflichtungen im Zusammenhang mit der Verarbeitung personenbezogener Daten nachzuweisen.

Abhängig von der Gerichtsbarkeit müssen die Aufzeichnungen möglicherweise Folgendes umfassen:

• Kategorisierte Verarbeitungslisten für jeden einzelnen Kunden.
• Etwaige Datenübermittlungen in andere Länder oder internationale Organisationen.
• Technische Sicherheitskontrollen.

ISO 27701 Klausel 8.4.2 (Rückgabe, Übertragung oder Entsorgung von personenbezogenen Daten) und EU-DSGVO Artikel 30 (1)(f)

Organisationen müssen konkrete Pläne haben, die regeln, wie PII sein kann ist zurückgekommen, übertragen or entsorgt alle diese Policen dem Kunden zur Verfügung zu stellen.

• Rückgabe aller personenbezogenen Daten an den Kunden.
• Bereitstellung der PII an eine andere Organisation.
• Informationen zerstören.
• De-Identifikation.
• Archivierung.

Es gibt verschiedene Szenarien, die die Entsorgung personenbezogener Daten erfordern, darunter (aber nicht beschränkt auf):

Organisationen müssen kategorisch zusichern, dass nicht mehr benötigte personenbezogene Daten gemäß den geltenden Gesetzen oder regionalen Richtlinien vernichtet werden.

Alle Entsorgungsrichtlinien sollten dem Kunden auf Anfrage zur Verfügung stehen und den Zeitraum abdecken, den Unternehmen nach Beendigung eines Vertrags zur Vernichtung personenbezogener Daten benötigen.

ISO 27701 Klausel 8.5.2 (Länder und internationale Organisationen, an die PII übertragen werden können) und EU-DSGVO Artikel 30 (2)(c)

Organisationen sollten eine genaue und aktuelle Liste aller Länder oder Organisationen führen, in die personenbezogene Daten möglicherweise übertragen werden.

Kunden sollten jederzeit die Möglichkeit haben, eine Liste potenzieller Empfängerländer und -organisationen einzusehen, einschließlich eines Protokolls aller Länder, die an der Vergabe von PII-Unteraufträgen beteiligt sind (siehe ISO 27701 Abschnitt 8.5.1).

Unter bestimmten Umständen können Organisationen nicht immer im Voraus offenlegen, woher Transferanträge stammen – insbesondere bei Strafverfahren. Dies ist unvermeidbar und es sollte die Priorität der Organisation sein, die Integrität einer Strafverfolgungsmaßnahme aufrechtzuerhalten (siehe ISO 27701, Abschnitte 7.5.1, 8.5.4 und 8.5.5).

Unterstützung von ISO 27701-Kontrollen

• ISO 27701 7.5.1
• ISO 27701 8.5.1
• ISO 27701 8.5.4
• ISO 27701 8.5.5

ISO 27701 Klausel 8.5.3 (Aufzeichnungen der Offenlegung personenbezogener Daten gegenüber Dritten) und EU-DSGVO Artikel 30 (1)(d)

Organisationen sollten alle Fälle, in denen sie personenbezogene Daten an Dritte weitergeben müssen, sorgfältig protokollieren.

Wann immer personenbezogene Daten offengelegt werden – sei es im Rahmen von Standardgeschäftsabläufen oder unter besonderen Umständen, wie z. B. einem laufenden rechtlichen oder behördlichen Verfahren – sollten Organisationen aufzeichnen, was offengelegt wurde, den Empfänger und den zugrunde liegenden Grund dafür.

Unterstützende ISO 27701-Klauseln und ISO 27002-Kontrollen

Wie ISMS.online hilft

ISMS.online hilft Ihnen, an einem sicheren, ständig verfügbaren Standort ein Schutzniveau nachzuweisen, das über das „Angemessene“ hinausgeht.

Wir machen die Datenzuordnung zu einer einfachen Aufgabe. Indem Sie die Details Ihrer Organisation zu unserem vorkonfigurierten dynamischen Tool zur Aufzeichnung von Verarbeitungsaktivitäten hinzufügen, können Sie alles ganz einfach aufzeichnen und überprüfen.

Wenn das Schlimmste passiert, sind Sie bereit.

Mit unseren Tools können Sie jeden Verstoß planen, kommunizieren, dokumentieren und daraus lernen.

Erfahren Sie mehr von Buchung einer 30-minütigen Demo.