Verwalten von Ergänzungen zur Datenverarbeitung Ihrer Lieferanten gemäß DSGVO

Galvanize

Galvanize

Der Hype um die Einhaltung der DSGVO mag abgeklungen sein, das bedeutet jedoch nicht, dass Ihre Verpflichtungen damit erfüllt sind. Erfahren Sie, wie Sie bei der Verwaltung von Nachträgen zur Datenverarbeitung von Lieferanten den Überblick behalten.

Ganz gleich, wo man sich bis zum Ablauf der Frist am 25. Mai 2018 hinwandte, man stieß unweigerlich auf einen weiteren Artikel, einen Blog-Beitrag oder ein Flurgespräch, das sich um die Datenschutz-Grundverordnung der EU (DSGVO) drehte. Alle Betroffenen haben sich beeilt, dieser neuen Verordnung nachzukommen. Jedoch geht es bei der Einhaltung der DSGVO nicht einfach um das einmalige Konfigurieren von Einstellungen, sondern um dauerhaft zu erbringende Leistungen, die Organisationen im Auge behalten müssen.

Worum handelt es sich bei Nachträgen zur Datenverarbeitung?

Zu dieser Leistung gehört die Einrichtung von Nachträgen zur Datenverarbeitung mit allen Lieferanten, die persönliche Informationen speichern und verarbeiten.

Personenbezogene Daten sind Informationen über eine Person (oder ein „Datensubjekt“), die zu ihrer Identifizierung verwendet werden können. In Bezug auf die Einhaltung der DSGVO umfassen persönliche Daten viele Datenpunkte wie etwa:

  • Namen
  • E-Mail-Adressen
  • IP-Adressen
  • Fotografien
  • Medizinische Informationen

Es liegt in Ihrer Verantwortung, mit jedem relevanten Lieferanten eine Ergänzung zur Datenverarbeitung festzulegen, um sicherzustellen, dass dieser seinen Verpflichtungen nachkommt. Betrachten Sie es einfach als eine zuverlässige Art und Weise, um sicherzustellen, dass alle Beteiligten ihren Beitrag zum entsprechenden Zeitpunkt leisten.

Wer sind die „Verantwortlichen“ und wer die „Auftragsverarbeiter“ im Sinne der DSGVO?

Artikel 4 der DSGVO der EU definiet diese wie folgt:

  • Verantwortlicher: „Die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet.“
  • Auftragsverarbeiter: „Eine natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet.“

„Da das Bewerten von Lieferanten zu unseren ständigen Anforderungen zählt, haben wir uns entschieden, mit der HighBond-Plattform einen Standardprozess auszuführen, der die sorgfaltsgerechte Prüfung unserer Ergänzungen zur Datenverarbeitung ermöglicht.“

Erstellen einer Ergänzung zur Datenverarbeitung

Sie erstellen eine Ergänzung zur Datenverarbeitung, wenn Sie einen Vertrag mit einem neuen Lieferanten abschließen (z.B. während der vorläufigen sorgfaltsgerechten Prüfung). Der Vorgang umfasst die folgenden vier Schritte:

  1. Stellen Sie fest, ob ein Lieferant Ihres Unternehmens in den Geltungsbereich der DSGVO fällt. Wird dieses Unternehmen mit persönlichen Daten Ihrer Mitarbeiter oder Kunden in Berührung kommen?
  2. Beschaffen Sie sich eine Vorlage für die Ergänzung zur Datenverarbeitung. Die DSGVO gibt kein Standardformat für Ergänzungen zur Datenverarbeitung vor, sodass es hier viele verschiedene Varianten gibt. (Geben Sie einfach „Beispiel für Ergänzung zur Datenverarbeitung“ in Google ein und Sie werden einige finden!)
  3. Lassen Sie die Ergänzung zur Datenverarbeitung von Ihrem Rechtsberater prüfen.
  4. Unterschreiben Sie die Ergänzung zur Datenverarbeitung und speichern Sie sie in Ihrem Archiv.

Erstellen von Ergänzungen zur Datenverarbeitung mit HighBond

Da das Bewerten von Lieferanten zu unseren ständigen Anforderungen zählt, haben wir uns entschieden, unsere HighBond-Plattform einzusetzen. Wir haben einen Standardprozess für die sorgfaltsgerechte Prüfung unserer Ergänzungen zur Datenverarbeitung ausgeführt. Bei der Verwendung unserer eigenen Software haben wir viele Vorteile entdeckt.

Automatisierte Workflows

Bei der Eingabe eines Lieferanten, der unter die DSGVO fällt, wird automatisch ein Workflow initiiert. Dies ist für große Organisationen nützlich, die beim Onboarding-Prozess eines Lieferanten mehrerer Abteilungen einbeziehen.

Ist für den Lieferanten die DSGVO anzuwenden? Wenn ja, wird der Workflow angestoßen.

Leicht umzusetzende Schritte

Im nächsten Schritt wird definiert, was genau überwacht wird, welche Aktionen durchgeführt werden und wann sie ausgelöst werden sollen.

In der nachstehenden Abbildung wird der Status des Lieferanten überprüft. Dies erfolgt, da unsere Rechtsabteilung eine Prüfung der Ergänzung zur Datenverarbeitung vornimmt, sobald wir die entsprechende Vorlage des Lieferanten erhalten.

Der Status eines Lieferanten lässt sich während des Onboarding-Prozesses leicht erkennen.

Ein zentraler Ort für die Speicherung und den Zugriff auf Dateien

Wenn mehrere Teams an einem Dokumentationsprozess beteiligt sind, speichern sie meist eine Kopie ihrer Dokumentation, während sie daran arbeiten. Dies kann auf Desktop-Computern, gemeinsam genutzten Laufwerken oder in Projektmanagement-Tools wie etwa Confluence erfolgen. Diese Personen können auch eine Kopie der endgültigen Version für ihre Unterlagen anfordern.

Wir alle kennen aber das Chaos und die Verwirrung, die durch verschiedene Dokumentversionen hervorgerufen werden! Die Abteilungen Recht, IT und Informationssicherheit verfügen dann über verschiedene signierte und unsignierte Kopien der Ergänzungen zur Datenverarbeitung für die einzelnen Lieferanten. In HighBond wird die endgültige Datei erst am Ende des Workflows gespeichert. Und alle Beteiligten haben Zugriff auf die endgültige und signierte Version. Es handelt sich somit um die zentrale Anlaufstelle für alle Ergänzungen zur Datenverarbeitung.

Ein einziger, leicht zugänglicher Ort zum Speichern Ihrer signierten Ergänzungen zur Datenverarbeitung.

Klare Sichtbarkeit dank Storyboards

HighBond verfügt auch über Self-Service-Dashboards für verschiedene Teams, das Management und den Betrieb. Wir integrieren Informationen aus allen unseren Prozessen und setzen die Dashboards so ein, dass unsere Teams einen Überblick über die Fortschritte bei den Ergänzungen zur Datenverarbeitung erhalten. Und wir können leicht erkennen, an welchen Stellen manches hängen bleibt, und diese Probleme somit beilegen.

Dank der Self-Service-Dashboards für verschiedene Teams, das Management und den Betrieb müssen Sie keine Zeit für die Erstellung einzelner Berichte aufwenden.

Rückverfolgbarkeit von durchgeführten Maßnahmen

In HighBond werden alle Daten und Metadaten gespeichert. Daher ist jederzeit (und bei jedem Datensatz) ersichtlich, wer welche Daten zu welchem Zeitpunkt hinzugefügt hat. Somit lässt sich eine belastbare Position aufbauen und die im Geschäftsverkehr erforderliche Sorgfalt an den Tag legen.

Sind Sie bereit, loszulegen?

Die Verwaltung Ihrer Nachträge zur Datenverarbeitung kann ganz mühelos erflogen. Mit der richtigen Compliance-Technologielösung können Sie Ihre regulatorischen Verpflichtungen leicht erfüllen und hohe Geldstrafen vermeiden.

E-Book

Die besten Praktiken für das Compliance-Management

Das E-Book befasst sich mit den folgenden Themen:

  • Wie ein leistungsstarker Compliance-Management-Prozess aussieht
  • Wie Sie Ihr Compliance-Management-Programm transformieren
  • Wesentliche technologische Überlegungen zum Erreichen eines leistungsstarken Compliance-Programms

E-Book herunterladen

Verwandte Beiträge

lang="de-DE"
X

Galvanize ist jetzt Teil von Diligent.

Um über die neuesten Produktangebote, Forschungen und GRC-Ressourcen auf dem Laufenden zu bleiben, oder sich bei Ihren Galvanize-Produkten anzumelden, besuchen Sie bitte www.diligent.com

Diligent besuchen Anmeldung