RODO - Datenschutzverordnung oder Allgemeine Datenschutzverordnung, GDPR). Ein von der Europäischen Union geschlossenes Regelwerk zum Schutz von natürlichen Personen. Betrifft die Verarbeitung personenbezogener Daten und deren freien Verkehr. Veröffentlicht im Amtsblatt der Europäischen Union L 119 am 4. Mai 2016, in Kraft getreten am 25. Mai 2018. Anwendbar auf alle in der EU tätigen Unternehmen, sowohl auf kleine Unternehmen als auch auf große multinationale Konzerne.

Welche Sanktionen drohen bei Nichteinhaltung von RODO?

Die Höchststrafe beträgt 20.000.000 €. Unlautere Unternehmen müssen bis zu 4% ihres gesamten weltweiten Jahresumsatzes des Vorjahres zahlen (Artikel 83 Absatz 5 Buchstabe a) RODO)

Mitarbeiter lernen die neue Verordnung kennen

Allgemeine Grundsätze der Datenverarbeitung:

  • Rechtmäßigkeit, Transparenz und Integrität
  • Zweckbindung der Verarbeitung
  • Korrektheit und Minimierung
  • Einschränkungen bei der Lagerung
  • Vertraulichkeit und Integrität
  • Rechenschaftspflicht

Schrittweiser Trainingsplan:

1. das Erlernen der folgenden Konzepte:

  • Profilierung
  • persönliche und biometrische Daten
  • Pseudonymisierung
  1. Einführung von RODO in die Organisation:
  • Wie fange ich an?
  • worauf soll man sich konzentrieren?
  • Prioritäten der Aufgaben
  • erforderliche Verfahren
  1. Grundlegende Aufgaben des für die Verarbeitung Verantwortlichen und des Datenverarbeiters:
  • rechtliche Bestimmungen und Grundsätze
  • Datenschutz durch Design und Standardeinstellungen
  • Verzeichnis der Verarbeitungstätigkeiten und -kategorien
  • Verpflichtungen zur Bereitstellung von Informationen
  1. Die Rolle des Datenschutzbeauftragten:
  • welche Qualifikationen er/sie hat
  • Position im Unternehmen
  1. Rechte des Einzelnen in Bezug auf seine Daten:
    • Zugang, Vergessen und andere
    • wie sieht eine datenschutzverletzung aus? wem melden sie verletzungen?

Wie hat RODO die nationalen Rechtsvorschriften verändert?

  • Das neue Datenschutzgesetz vom 10. Mai 2018 ist in Kraft getreten (gültig ab 25. Mai 2018)
  • Der Beauftragte für Informationssicherheit (ABI) wurde durch den Inspektor für den Schutz personenbezogener Daten (IODO) ersetzt.
  • Die Institution des Generalinspektors für den Schutz personenbezogener Daten wurde zugunsten des Präsidenten des Amtes für den Schutz personenbezogener Daten (PUODO) abgeschafft.

Wer ist vom Datenschutz betroffen?

Alle Unternehmer (einschließlich Einzelunternehmen) ohne Unterscheidung nach der Anzahl der Beschäftigten, der Größe oder dem Umfang der Tätigkeit (Artikel 2 und Artikel 3 der RODO). Ausgenommen sind Tätigkeiten, die nicht unter das Recht der Europäischen Union fallen, sowie Personen, die häusliche oder persönliche Tätigkeiten ausüben.

Mit welchen Informationen sind sie verknüpft?

  • Name
  • Wohnadresse (Standort)
  • PESEL oder eine andere Identifikationsnummer
  • E-Mail-Name
  • Faktoren, die die physiologische, körperliche, genetische, geistige, wirtschaftliche, soziale oder kulturelle Identität einer Person bestimmen.

Welche Daten dürfen nicht verarbeitet werden?

Vor allem geschützte Personen wie:

  • rassische Herkunft
  • Gesundheit
  • sexuelle Ausrichtung
  • biometrische Daten

Der Inspektor überprüft die Einhaltung der Verfahren

Grundlegende Operationen:

  • Sammlung
  • Aufnahme
  • Vorschau
  • Änderung
  • Verwendung von
  • Offenlegung
  • Verbreitung
  • Teilen
  • Montage
  • Verlinkung
  • Zerstörung
  • Begrenzung
  • Umzug

In Artikel 6 der RODO sind eine Reihe von Umständen aufgeführt, die eine Verarbeitung personenbezogener Daten zulassen.

Der Gewerbetreibende ist verpflichtet, die Zustimmung der betroffenen Person zur Verarbeitung der Daten einzuholen, oder wenn dies für die Erfüllung eines Vertrags erforderlich ist.

Der für die Datenverarbeitung Verantwortliche kann eine juristische oder natürliche Person sein, die:

  • setzt Sicherheitsverfahren um
  • die Art und Weise und den Zweck des Erwerbs und der Verarbeitung zu bestimmen
  • definiert den Anwendungsbereich von
  • setzt Rechtsakte um
  • Sicherheit bieten
  • Bewertung des Risikos einer Datenschutzverletzung
  • wird die Kosten für Sicherheitsmerkmale berücksichtigen

In der Verordnung ist zu lesen, dass die Schutzmaßnahmen organisatorischer oder technischer Natur sein können. Sie sollten sich auf den Umfang, die Art, den Kontext und den Zweck der Verarbeitung beziehen und das Risiko einer Verletzung der Freiheiten und Rechte der betroffenen Personen berücksichtigen.

In der DSGVO finden wir die folgenden Leitlinien, die der für die Verarbeitung Verantwortliche unter bestimmten Umständen anwenden kann:

  • Kontinuierliche Sicherstellung der Integrität, Vertraulichkeit, Verfügbarkeit und Belastbarkeit von Verarbeitungssystemen und -diensten - das Sicherheitsniveau sollte das gleiche sein.
  • Datensicherung. Fähigkeit zur Wiederherstellung der Verfügbarkeit personenbezogener Daten auch im Falle eines technischen oder physischen Zwischenfalls.
  • Verschlüsselung und Pseudonymisierung - Verarbeitung personenbezogener Daten, so dass sie nicht identifiziert und einer Person zugeordnet werden können, ohne dass auf andere Informationen zugegriffen wird.
  • Durchführung regelmäßiger Tests, Überprüfung und Messung der Wirksamkeit von organisatorischen oder technischen Maßnahmen, die eine sichere Verarbeitung gewährleisten. Der Schutz ist ein fortlaufender Prozess, der ständig analysiert und verbessert wird.
  • Sichere Maßnahmen:

organisatorisch:

  • Schutzanweisungen
  • nur befugtes Personal zulassen
  • und eine Verpflichtung zur Vertraulichkeit
  • Sauberer Bildschirm und Schreibtischpraxis
  • Ausgabe von Schlüsseln an berechtigte Personen
  • Aufzeichnung der Verarbeitungstätigkeiten, außer für Unternehmen mit weniger als 250 Beschäftigten

Technisch:

  • Datenverschlüsselung
  • Schutz vor Malware
  • Computernetzwerksicherheit
  • Authentifizierungssystem mit der Notwendigkeit der Eingabe eines Benutzer-Logins und eines Passworts
  • Schränke oder Räume zur Aufbewahrung von Informationen in physischer Form

Es ist wichtig, daran zu denken, dass die Generierung von Daten das Risiko der Verletzung von Freiheiten oder Rechten birgt. Es handelt sich dabei nicht um sporadische Daten, sondern um sensible Daten oder Daten, die sich auf Rechtsverletzungen und Verurteilungen beziehen.

Wer ist der Datenschutzbeauftragte und wann wird er ernannt?

Unterstützt Unternehmen bei der Einhaltung der Vorschriften. Enthält Informationen über die RODO-Verpflichtungen des Auftragsverarbeiters oder des für die Verarbeitung Verantwortlichen. Außerdem kooperiert sie mit PUODO. Die Verpflichtung zur Bestellung eines Inspektors besteht gemäß Artikel 37 RODO in bestimmten Situationen, wenn:

  • "Die Verarbeitung erfolgt durch eine Behörde oder eine öffentliche Stelle, mit Ausnahme der Gerichte bei der Ausübung ihrer richterlichen Tätigkeit;
  • die Kerntätigkeit des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters aus Verarbeitungen besteht, die aufgrund ihrer Art, ihres Umfangs oder ihrer Zwecke eine regelmäßige und systematische Überwachung der betroffenen Personen in großem Umfang erfordern; oder
  • die Haupttätigkeit des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten nach Artikel 9 Absatz 1 und personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten nach Artikel 10 besteht".