下周,在实施新的过渡期一般资料保护规例结束。在最后的博客文章中,我们爱游戏ayx双赢彩票讨论了新法规的变化。现在是时候从实际角度看看这些变化!

为什么基于过程的方法最适合GDPR实现

一般数据保护监管包括公司的扩展文件和问责责任。从5月25日起,证据负担的逆转适用:这意味着在侵权情况下不再需要当局提供证据,但公司和公共机构有责任证明他们一直遵守数据保护。法律。因此,防水数据保护管理系统将所有具有数据保护组件的业务流程映射到来成为一个重要的先决条件GDPR合规性。但是如何设置这样的系统?我们的流程专家托比亚斯Przybylla将在四个步骤中向您展示如何。

关于tobias przybylla.

Tobias是Signavio的售前团队领导。他在流程建模和优化方面有多年的经验,以及业务流程管理。托比亚斯支持我们的客户和潜在客户在执行流程举措中,并定期通过他的知识。

GDPR实施的四个步骤

ACME AG是一家(虚构的)国际公司,在不同的欧盟成员国拥有多个地点。ACME AG目前面临着在5月25日前实施新的数据保护要求的挑战。

为此目的,所有数据保护相关的流程都在整个公司中审查。是目前的数据保护管理GDPR兼容,还是应该启动具体的优化措施?

通过数据保护管理系统,ACME AG也希望确保持续监测和改进所有GDPR相关的流程。展望未来,应识别,优化和未来的过程更改符合GDPR的要求。

公司委员会和合规人员想知道如何系统地实施GDPR的要求 - 包括ACME AG。目标是监控GDPR相关过程的全面数据保护管理系统。

为了实现这一目标并符合GDPR,ACME AG依赖于具有SIGNAVIO的四步方法:

4 GDPR实现步骤指南

计划:为了对个人数据进行分类,实现了IT系统,允许收集GDPR相关数据。确认:要确定隐藏哪些个人数据,并在哪里,管理层应检查各自的公司流程。分配:然后将个人数据分配给与gdp相关的流程信息。监视器:第四步是一个连续的任务。随着流程和IT系统的变化,需要定期监控个人信息。因此,重要的是要连续检查正在处理的个人数据,以及哪些进程或IT系统发生。

第1步:规划良好

目标

所有个人资料应从公司程序收集并记录,以及处理的法律依据。这个文件化的过程应该在整个公司范围内进行。

方法:

  • 设置隐私管理系统
  • 维护一个加工活动的中央目录
  • 检查个人数据处理的合法性

在第一步中,ACME AG正在整个公司中设置数据保护管理系统,以记录和映射所有可用个人数据的处理。该系统包含有关职责,处理目录,技术/组织措施和风险管理系统的信息。

为了满足这些要求,ACME AG使用爱游戏ayx下载 作为其中的一部分业务转型套件。这基于云的SaaS解决方案提供一个允许您收集个人信息的可自定义术语表。

词汇表用作中央对象字典,并用作现有的寄存器业务流程。它允许您定义业务对象(例如,组织单位或IT系统),将它们存储在流程中,并将其链接到来自业务流程的对象。此信息可以根据GDPR要求定义为类别,并用作存储业务流程元素的属性。

词典项目gdpr.

然而,为了建立一个可靠的数据保护管理系统,AMCE AG还必须在每一个与gdp相关的流程步骤中检查个人数据处理的合法性。这个步骤也可以使用术语表实现。

流程主服务器为处理的法律依据定义一个类别,并将其分配给进程图元素的属性。此类别包含根据GDPR定义的所有单独条件,例如数据主体的同意并履行合同。使用此新类别,每次处理个人数据时,所有相关业务流程都会出现一个新字段。必须由各个处理器填写此新字段。

这可确保在此步骤中定义的GDPR相关信息直接存储在该过程中。

第2步:识别个人信息

目标

ACME AG面临识别隐藏的个人数据的任务 - 以及隐藏的位置 - 以及哪些责任可用。

方法:

  • 设置GDPR释放工作流程
  • 审查决策者的GDPR遵从性的过程图
  • 决策者的流程批准

第二步是识别个人资料。检查所有公司流程的GDPR相关性。为此目的,ACME AG配置一个发布工作流。技术基础由Signavio基于云的SaaS解决方案提供。

发布工作流程使ACME AG能够系统地审查企业的过程图。此工作流程是自动化的,并基于先前定义的单个流程步骤。通过此工作流程,决策者可以快速评估质量和准确性流程图并检查是否按照GDPR指南处理个人数据。

要实现释放工作流程,将分配给单个属性的过程参与者。然后,负责GDPR实施的所有合规人员都有批判性检查各自过程的任务。他们现在考虑无关的任何流程都将被释放和发布,而其他GDPR关键过程将被彻彻。仔细记录此版本工作流程中的每项活动。通过释放工作流程,ACME AG可以成功识别个人数据。

第3步:将个人数据分配给单个进程

目标

所有经确认的个人资料均应交由有关程序处理。

方法:

  • 记录个人数据
  • 定义职责
  • 可视化属性
  • 数据保护影响评估根据艺术。35.

ACME AG已建立数据保护管理系统,并批判性地检查了GDPR相关的流程。现在,第三步是将所有GDPR相关对象与相应的进程链接。

为此,ACME AG流程管理人员创建GDPR属性框架并将其链接到术语表,然后根据GDPR指导方针对属性进行分类,最后将其链接到各个流程图。

在这种情况下,还可以在流程模型中定义和记录职责,例如为数据保护官员或其他决策者。这可以通过过程图或元素级别上的属性实现。

通过这种方式,ACME AG已将其个人数据分配给流程。现在公司面临另一个挑战:GDPR需要在处理个人数据处理的情况下实施数据保护影响评估。这可以是具有敏感数据的情况,或者是否存在很多要处理的数据。

GDPR为实施本隐私影响评估定义的所有条件都可以使用Signavio存入ACME AG的数据保护管理系统。与所有风险和控制一样,这些条件也可以直接存储在Signavio的流程管理器中的各个流程步骤中。为此,在流程图和元素级别创建了一个属性类型“风险管理”,其目的是记录所有与gdp相关的风险和控制。额外的术语表类别“GDPR风险”和“GDPR控制”为相应的术语表术语定义了各个属性。

通过这种方式,ACME AG专门将风险和控件记录为GDPR实现的一部分。

第4步:连续过程监控

目标

永久性GDPR在更改过程景观中的符合性。

方法:

  • 用于持续监控GDPR合规性的GDPR发布工作流
  • 报告
  • 工艺手册

第四步是一个持续的任务:ACME AG必须定期且持续地监控其流程,以确保它始终符合所有GDPR要求。ACME AG使用GDPR发布工作流,它在第2步中为初始分析设置了该工作流。此工作流允许定期监视业务流程,并且可以在发生任何流程更改或变化时触发。此外,Signavio提供了全面的评估选项,允许您创建和导出单独的报告。ACME AG生成自动风险管理报告,以持续监控所有GDPR风险和所有控制步骤。持续的过程监控非常重要,尤其是因为证明责任的逆转,公司本身有责任证明符合GDPR。为了遵守此文档义务,ACME AG流程管理人员使用Signavio设计了一个流程手工模板。

这导致您可以用于审核的所有GDPR相关元数据,也可以单独配置。在流程图形下,可以在图表级别显示所有GDPR属性,并且所有信息也可以分解为更好的概述图和元素级别。

在第一次定义了这样的模板之后,它可以用于以各种格式生成可打印和归档文档。根据这些文件,ACME AG可以证明其遵守GDPR。

准备:实现

通过这四个步骤,ACME AG已经成功为2018年5月25日做好了准备。如果您渴望亲眼看看Signavio如何帮助您的组织为GDPR做准备,请注册一个天的免费试用今天。

注意:此内容是非绑定信息,不会取代法律顾问。

发表于:2018年5月17日 - 上次修改:2020年11月13日
话题:业务流程管理遵守GDP.风险与合规