Datenschutz

RODO - Datenschutzverordnung oder OROD - Allgemeine Datenschutzverordnung, GDPR). Ein von der Europäischen Union geschlossenes Regelwerk zum Schutz von natürlichen Personen. Betrifft die Verarbeitung personenbezogener Daten und deren freien Verkehr. Veröffentlicht im Amtsblatt der Europäischen Union L 119 am 4. Mai 2016, in Kraft getreten am 25. Mai 2018. Anwendbar auf alle in der EU tätigen Unternehmen, einschließlich kleiner Unternehmen und großer multinationaler Konzerne. 

Welche Sanktionen drohen bei Nichteinhaltung von RODO? 

Die Höchststrafe beträgt 20.000.000 €. Unlautere Unternehmen müssen bis zu 4% ihres weltweiten Gesamtjahresumsatzes für das vorangegangene Jahr zahlen (Artikel 83 Absatz 5 Buchstabe a RODO). 

Allgemeine Grundsätze der Datenverarbeitung: 

  • Einhaltung der Rechtsvorschriften, Transparenz und Integrität; 
  • Beschränkung des Zwecks der Verarbeitung; 
  • Korrektheit und Minimierung; 
  • Einschränkungen bei der Lagerung; 
  • Vertraulichkeit und Integrität; 
  • Rechenschaftspflicht. 

Schrittweiser Trainingsplan: 

Mitarbeiter lernen die neue Verordnung kennen

     1. das Erlernen der folgenden Konzepte: 

  • Profilierung, 
  • persönliche und biometrische Daten, 
  • Pseudonymisierung; 

     2 Einführung von RODO in die Organisation: 

  • Wie fange ich an? 
  • worauf soll man sich konzentrieren?  
  • Prioritäten der Aufgaben, 
  • Verfahren erforderlich; 

      3 Grundlegende Aufgaben des für die Verarbeitung Verantwortlichen und des Datenverarbeiters: 

  • Rechtsvorschriften und Grundsätze, 
  • Datenschutz durch Design und Standardeinstellungen, 
  • Verzeichnis der Verarbeitungstätigkeiten und -kategorien, 
  • Informationspflichten; [Aufteilung des Textumbruchs]. 

      4 Die Rolle des Datenschutzbeauftragten: 

  • welche Qualifikationen sie hat, 
  • Position im Unternehmen; 

      5 Die Rechte der Personen in Bezug auf ihre Daten: 

  • Zugang, Vergessenheit und andere, 
  • Wie sieht eine Datenschutzverletzung aus? An wen sind Verstöße zu melden?[Textaufschlüsselung][Textaufschlüsselung]. 

Wie hat RODO die nationalen Rechtsvorschriften verändert? 

  • Das neue Datenschutzgesetz vom 10. Mai 2018 (gültig ab 25. Mai 2018) ist in Kraft getreten; 
  • Der Beauftragte für Informationssicherheit (ABI) wurde durch einen Datenschutzbeauftragten (DSB) ersetzt; 
  • Das Amt des Generalinspektors für den Schutz personenbezogener Daten wurde zugunsten des Präsidenten des Amtes für den Schutz personenbezogener Daten (PUODO) abgeschafft. 

Wer ist vom Datenschutz betroffen? 

Alle Unternehmer (einschließlich Einzelunternehmen) ohne Unterscheidung nach der Anzahl der Beschäftigten, der Größe oder dem Umfang der Tätigkeit (Artikel 2 und Artikel 3 der RODO). Ausgenommen sind Tätigkeiten, die nicht unter das Recht der Europäischen Union fallen, sowie Personen, die häusliche oder persönliche Tätigkeiten ausüben. 

Mit welchen Informationen sind sie verknüpft? 

  • Name;  
  • Wohnadresse (Standort); 
  • PESEL oder eine andere Identifikationsnummer; 
  • E-Mail-Name; 
  • Faktoren, die die physiologische, körperliche, genetische, geistige, wirtschaftliche, soziale oder kulturelle Identität einer Person bestimmen.  

Welche Daten dürfen nicht verarbeitet werden? 

Vor allem geschützte Personen wie: 

  • rassische Herkunft; 
  • Gesundheitszustand; 
  • sexuelle Orientierung; 
  • biometrische Daten. 

Grundlegende Operationen: 

  • Sammlung; 
  • Aufnahme; 
  • Vorschau; 
  • Änderung;  
  • verwenden; 
  • Offenlegung;  
  • Verbreitung; 
  • teilen; 
  • Anprobe; 
  • Verknüpfung; 
  • Zerstörung; 
  • Reduzierung; 
  • Entfernung. 

In Artikel 6 der RODO sind eine Reihe von Umständen aufgeführt, die eine Verarbeitung personenbezogener Daten zulassen.  

Der Gewerbetreibende ist verpflichtet, die Zustimmung der betroffenen Person zur Verarbeitung der Daten einzuholen, oder wenn dies für die Erfüllung eines Vertrags erforderlich ist. 

Der für die Datenverarbeitung Verantwortliche kann eine juristische oder natürliche Person sein, die: 

Der Inspektor überprüft die Einhaltung der Verfahren
  • setzt Sicherheitsverfahren um; 
  • bestimmt die Art und Weise und den Zweck der Erfassung und Verarbeitung; 
  • definiert den Geltungsbereich; 
  • nimmt Rechtshandlungen vor; 
  • Sicherheit gewährleisten; 
  • Bewertung des Risikos einer Datenschutzverletzung; 
  • werden die Kosten für Sicherheitsmerkmale berücksichtigt. 

In der Verordnung ist zu lesen, dass die Schutzmaßnahmen organisatorischer oder technischer Natur sein können. Sie sollten sich auf den Umfang, die Art, den Kontext und den Zweck der Verarbeitung beziehen und das Risiko einer Verletzung der Freiheiten und Rechte der betroffenen Personen berücksichtigen. 

In der DSGVO finden wir die folgenden Leitlinien, die der für die Verarbeitung Verantwortliche unter bestimmten Umständen anwenden kann: 

  • Kontinuierliche Sicherstellung der Integrität, Vertraulichkeit, Verfügbarkeit und Belastbarkeit von Verarbeitungssystemen und -diensten - das Sicherheitsniveau sollte das gleiche sein. 
  • Datensicherung. Fähigkeit zur Wiederherstellung der Verfügbarkeit personenbezogener Daten auch im Falle eines technischen oder physischen Zwischenfalls. 
  • Verschlüsselung und Pseudonymisierung - Verarbeitung personenbezogener Daten, so dass sie nicht identifiziert und einer Person zugeordnet werden können, ohne dass auf andere Informationen zugegriffen wird. 
  • Durchführung regelmäßiger Tests, Überprüfung und Messung der Wirksamkeit von organisatorischen oder technischen Maßnahmen, die eine sichere Verarbeitung gewährleisten. Der Schutz ist ein fortlaufender Prozess, der ständig analysiert und verbessert wird. 
  • Sichere Maßnahmen: 

            organisatorisch:  

  •  Schutzhandbuch;  
  • nur befugte Mitarbeiter zuzulassen; 
  • und eine Verpflichtung zur Vertraulichkeit; 
  • sauberer Bildschirm und Schreibtischpraxis; 
  • die Ausgabe von Schlüsseln an berechtigte Personen; 
  • Aufzeichnung der Verarbeitungstätigkeiten, außer für Unternehmen mit weniger als 250 Beschäftigten; 

            Technisch: 

  • Verschlüsselung der Daten; 
  • Schutz vor Malware; 
  • Computernetzwerksicherheit 
  • Authentifizierungssystem, bei dem ein Benutzer-Login und ein Passwort eingegeben werden müssen; 
  • Schränke oder Räume zur Speicherung von Informationen in physischer Form.  

Es ist wichtig, daran zu denken, dass die Generierung von Daten das Risiko der Verletzung von Freiheiten oder Rechten birgt. Sie erfolgt nicht sporadisch und umfasst sensible Daten oder Daten über Rechtsverstöße und Verurteilungen. 

Wer ist der Datenschutzbeauftragte und wann wird er ernannt? 

Unterstützt Unternehmen bei der Einhaltung der Vorschriften. Informiert den Auftragsverarbeiter oder den für die Verarbeitung Verantwortlichen über die Verpflichtungen im Zusammenhang mit der RODO. Darüber hinaus arbeitet er mit dem PUODO zusammen. Die Verpflichtung, einen Inspektor zu benennen, besteht in bestimmten Situationen gemäß Artikel 37 RODO, wenn: 

Laptop auf dem Schreibtisch

"die Verarbeitung erfolgt durch eine Behörde oder eine öffentliche Stelle, mit Ausnahme von Gerichten bei der Ausübung ihrer justiziellen Aufgaben; die Kerntätigkeit des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters besteht in Verarbeitungsvorgängen, die aufgrund ihrer Art, ihres Umfangs oder ihrer Zwecke eine regelmäßige und systematische Überwachung der betroffenen Personen in großem Umfang erfordern; oder die Kerntätigkeit des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters besteht in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten nach Artikel 9 Absatz 1 und personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten nach Artikel 10."