Geekly articles weekly

Die Auswirkungen der DSGVO auf russische Betreiber personenbezogener Daten

Gepostet von: Anastasia Zavedenskaya, Assistant Analyst, Analytisches Zentrum von UTSB LLC
Gutachter: Ekaterina Rubleva und Konstantin Samatov, Leiter der Leitung, Analytisches Zentrum von UTSB LLC

Ein Unternehmen, das personenbezogene Daten verarbeitet, gilt als Betreiber. Höchstwahrscheinlich kennt dieses Unternehmen das Bundesgesetz vom 27. Juli 2006 Nr. 152-FZ „Über personenbezogene Daten“ und seine Anforderungen. Und wenn das Unternehmen Kunden in der Europäischen Union hat oder besteht der Wunsch, diese anzuziehen? Oder haben Sie einfach eine Website im Internet mit Formularen, die der Benutzer ausfüllen muss? Dann müssen Sie verstehen, was GDPR und sein Umfang sind.

Bereits 1995 haben die EU-Länder die Richtlinie Nr. 95/46 / EU zum Schutz der Rechte des Einzelnen bei der Verarbeitung personenbezogener Daten verabschiedet. Aber alles ändert sich und am 25. Mai 2018 wurde es durch die allgemeine Datenschutzverordnung ersetzt, die vom Europäischen Parlament im April 2016 verabschiedet wurde und einfach als DSGVO abgekürzt wurde.

Die Verwendung der DSGVO wird in drei weiteren Ländern der Europäischen Freihandelsassoziation (EFTA) und insbesondere in Island, Liechtenstein, Norwegen, die keine EU-Mitglieder sind, genehmigt. Auf der EFTA-Website (EFTA) heißt es in einem Artikel zum Thema „Integration der DSGVO in den EWR (Europäischer Wirtschaftsraum) und weitere Anwendung der Richtlinie 95/46 / EG“, dass die DSGVO voraussichtlich vom Gemischten EWR-Ausschuss (EWR) angenommen wird. Gemischter Ausschuss) und sein Inkrafttreten in den EFTA-Staaten des EWR Mitte Juli 2018. Bis dahin bleibt die Datenschutzrichtlinie Nr. 95/46 / EG im EWR-Abkommen anwendbar, wodurch die Möglichkeit einer ungehinderten Datenverteilung zwischen EFEA-EWR-Staaten und EU-Mitgliedstaaten garantiert wird.

Für wen gilt die DSGVO?


Zunächst müssen Sie verstehen, wer die Anforderungen der DSGVO erfüllen muss und wer nicht unter seine Anforderungen fällt.

Bild

Abbildung 1 - Algorithmus zur Bestimmung des Umfangs der DSGVO

Basierend auf dem Text des Dokuments gelten seine Anforderungen nicht nur für europäische Organisationen, sondern auch für Unternehmen, die mit personenbezogenen Daten von EU-Bürgern oder Personen in der EU arbeiten (siehe Abb. 1). Gleichzeitig spielt der Standort des Unternehmens selbst keine Rolle.

Wenn ein Unternehmen in der EU oder beispielsweise in Island, Liechtenstein, Norwegen, registriert ist, handelt es sich unabhängig vom Ort des Verarbeitungsprozesses eindeutig um die DSGVO.

Um zu verstehen, ob eine Organisation Dienstleistungen oder Waren für Personen in der EU erbringt, reicht auch ihre Absicht aus, Dienstleistungen / Waren anzubieten. Laut DSGVO wird die Absicht offensichtlich, wenn die Website des Unternehmens die Landessprache und Währung eines Mitgliedstaats der Europäischen Union verwendet und eine Bestellung in dieser Sprache möglich ist. Oder es gibt Verweise auf Verbraucher oder Nutzer in der Europäischen Union.

Auch wenn die Website vollständig auf Russisch ist und die Verfügbarkeit für EU-Bürger an sich keine Absichten zeigt, können Sie nicht ganz sicher sein, dass niemand in der Europäischen Union ihre Dienste nutzen wird. Daher wird empfohlen, dass Sie in jedem Fall die GDPR-Anforderungen einhalten.

Ein weiteres Konzept, das im Kontext der DSGVO interessant und relevant ist, ist die Überwachung. Die Überwachung in der DSGVO bezieht sich auf die Verfolgung von Personen im Internet mit der weiteren Verwendung oder potenziellen Anwendung verschiedener Technologien zur Verarbeitung personenbezogener Daten zur Analyse oder Vorhersage von Präferenzen, persönlichen Merkmalen und Verhaltensmerkmalen. Das heißt, wenn das Unternehmen Maßnahmen ergreift, um das Verhalten von Personen in der EU zu Marketingzwecken, für Statistiken usw. zu untersuchen. - Das ist Überwachung. Beispielsweise werden Yandex.Metrica, Google Analytics usw. auf der Website des Unternehmens installiert, sodass GDPR angewendet werden muss. Denn wie bereits erwähnt, gibt es keine Garantie dafür, dass eine Person aus der EU nicht zu dem Ort geht, an dem diese Dienste genutzt werden.

Es ist wichtig zu wissen, dass die Organisation einen Vertreter in der EU ernennen muss, wenn mindestens eine der folgenden Bedingungen erfüllt ist:

  1. Verarbeitung läuft;
  2. groß angelegte Verarbeitung spezieller Kategorien personenbezogener Daten;
  3. verarbeitete personenbezogene Daten im Zusammenhang mit strafrechtlichen Verurteilungen oder Straftaten;
  4. Es besteht ein hohes Risiko einer Verletzung der Menschenrechte und Freiheiten.

Laut DSGVO werden spezielle Kategorien personenbezogener Daten ähnlich wie in der russischen Gesetzgebung definiert. Mit Ausnahme der Tatsache, dass die Daten zu Verurteilungen und Straftaten separat ausgestellt werden, mit der Verpflichtung, ihre Verarbeitung durch eine offizielle Stelle oder gemäß den gesetzlichen Bestimmungen zu kontrollieren.

Ein Vertreter kann eine natürliche oder juristische Person sein, die aufgrund einschlägiger Dokumente ausdrücklich befugt ist. Der Vertreter muss sich in dem EU-Land befinden, in dem sich die betroffenen Personen befinden. Seine Aufgabe im Namen des Unternehmens ist es, mit EU-Behörden und Bürgern zusammenzuarbeiten, um die Anweisungen des Unternehmens zu befolgen. Er wird ebenfalls für Verstöße zur Verantwortung gezogen.

Zum Beispiel bietet ein russisches Unternehmen, das keine Tochtergesellschaften in Finnland hat, seine Dienstleistungen ständig seinen Bürgern an. Dies bedeutet, dass das Unternehmen einen Vertreter mit Sitz in Finnland ernennen muss. Wenn es eine Tochtergesellschaft gibt, kann diese zum Vertreter ernannt werden.

Es stellt sich heraus, dass die Allgemeine Datenschutzverordnung eine ziemlich breite Abdeckung hat, und wenn bei den EU-Unternehmen alles ziemlich logisch ist, dann sind auch andere Länder unter die Verteilung gefallen. Es wird deutlich, dass russische Organisationen, die kundenorientiert auf die Europäische Union ausgerichtet sind, auch die Anforderungen der DSGVO erfüllen müssen.

Angenommen, ein kleines russisches Unternehmen hat einen Online-Shop und ein lettischer Staatsbürger kauft seine Waren. Dies bedeutet, dass für diesen Online-Shop GDPR-Anforderungen gelten, da darin personenbezogene Daten eines EU-Bürgers verarbeitet werden. Wenn die Website dieses Unternehmens zunächst eine englische Version hat und die Preise in Währung entsprechend dem Status des Benutzers festlegt, fällt dies ebenfalls in den Geltungsbereich der DSGVO. Und in jedem Fall können Sie nicht genau wissen, woher der Kunde kommt, wenn das Unternehmen nicht mit jedem Kunden persönlich zusammenarbeitet. Dies bedeutet, dass auch eine vollständig russische Website eines kleinen Unternehmens auf die Anforderungen der DSGVO vorbereitet werden muss.

Die Liste der von der DSGVO erfassten Unternehmen kann noch lange fortgeführt werden. Bisher gibt es jedoch keine Strafverfolgungspraxis. Laut dem Autor muss analysiert werden, auf wen die Maßnahmen des Unternehmens abzielen und mit wem es interagiert.

Welche Rollen bietet die DSGVO?


Wie bei allen Prozessen hat die Datenverarbeitung zwei Seiten - diejenige, deren Daten verarbeitet werden, d. H. Das Thema der personenbezogenen Daten und derjenige, der diese Daten verarbeitet. Lassen Sie uns näher auf die zweite eingehen. Die Konzepte eines Controllers (englischer Datencontroller) und eines Prozessors (englischer Datenprozessor) werden in die DSGVO eingeführt.

Wir werden uns mit diesen Begriffen auf der Grundlage der DSGVO und der Erläuterungen auf der Website der Europäischen Kommission befassen.

Der für die Verarbeitung Verantwortliche gemäß Artikel 4 Absatz 7 der DSGVO sind Einzelpersonen, Einzelpersonen oder juristische Personen, verschiedene Stellen und Agenturen, die bestimmen, zu welchem ​​Zweck und auf welche Weise die Daten verarbeitet werden.

Die Verantwortung für die Erfüllung der Anforderungen an die Verarbeitung und den Schutz personenbezogener Daten liegt beim Verantwortlichen. Der Controller muss in der Lage sein, die Konformität zu überprüfen.

Es stellt sich heraus, ob das Unternehmen entscheidet, warum? und wie?" verarbeitete personenbezogene Daten, es ist ein Datenverantwortlicher. Mitarbeiter des Verarbeitungsunternehmens tun dies als Datenverantwortlicher.

Wenn ein Unternehmen zusammen mit einer oder mehreren Organisationen gemeinsam das „Warum?“ und wie?" Verarbeitete personenbezogene Daten können als Joint Controller (englischer Joint Controller) bezeichnet werden. Gemeinsame Aufsichtsbehörden schließen eine Vereinbarung, in der die Verpflichtungen zur Einhaltung der DSGVO-Anforderungen festgelegt sind. Die Hauptaspekte dieser Vereinbarung sollten auf die Personen übertragen werden, deren Daten verarbeitet werden.

Der Verarbeiter (Verarbeiter) gemäß Artikel 4 Absatz 8 der DSGVO sind Personen, Einzelpersonen oder juristische Personen, verschiedene Stellen und Agenturen, die im Auftrag des für die Verarbeitung Verantwortlichen mit der Verarbeitung personenbezogener Daten befasst sind.

Es stellt sich heraus, dass der Verarbeiter das Recht hat, personenbezogene Daten nur im Auftrag des für die Verarbeitung Verantwortlichen zu verarbeiten. Ein Datenverarbeitungsprozessor kann beispielsweise ein Drittunternehmen sein, das an der Datenverarbeitung beteiligt ist.

Eine Organisation kann gleichzeitig ein Datencontroller oder Datenprozessor oder beides sein.

Im Bundesgesetz vom 27. Juli 2006 Nr. 152- „Über personenbezogene Daten“ gibt es ein Konzept eines Betreibers, das einem für die Verarbeitung Verantwortlichen ähnlich ist, und eines Verarbeiters ähnlich einer Person, die personenbezogene Daten im Auftrag des Betreibers verarbeitet.

DSGVO und Nr. 152-FZ „Über personenbezogene Daten“. Allgemeines und Unterschiede


Jedes Regulierungsdokument verwendet seine eigenen Definitionsregeln, berücksichtigt diese und vergleicht sie.

Personenbezogene Daten sind gemäß Artikel 3 des Bundesgesetzes "Über personenbezogene Daten" alle Informationen, mit denen Sie direkt oder indirekt eine Person identifizieren können. Artikel 4 Absatz 1 der DDR enthält eine ähnliche Definition, mit der Ausnahme, dass anstelle des Wortes „definieren“ „identifizieren“ verwendet wird.

Die Begriffe sind ähnlich, aber die DSGVO spricht ausführlicher über Informationen zu personenbezogenen Daten. Woher bekommen wir, dass die Informationen, die es ermöglichen, die Identität der betroffenen Person zu bestimmen, personenbezogene Daten sind. Es spielt keine Rolle, ob das Thema von ihnen direkt identifiziert werden kann oder ob spezielle Tools oder Programme benötigt werden.

Die DSGVO enthält folgende Liste personenbezogener Daten:

  1. Vorname;
  2. Kennzahl;
  3. Standortdaten;
  4. Online-Kennung;
  5. Die Kombination von Kennungen / Indikatoren.

Das Schwierigste bei Online-Kennungen. Dazu gehören IP-Adressen, Cookies usw. Eine IP-Adresse kann beispielsweise dazu führen, dass eine bestimmte Person auf das Internet zugreift, oder sie kann einfach den Zugangspunkt zum Netzwerk anzeigen, d. H. In einigen Fällen kann es verwendet werden, um eine Person nur in Verbindung mit anderen Daten zu bestimmen. Ob sich eine IP-Adresse auf personenbezogene Daten bezieht, ist ein strittiger Punkt und hängt vom Kontext der Situation ab. Da sich die DSGVO jedoch auf Online-Kennungen konzentriert, wird empfohlen, diese ebenfalls zu schützen.

Die Grundsätze und Verarbeitungsbedingungen sind in den Artikeln 5, 6 des Bundesgesetzes „Über personenbezogene Daten“ und in den Artikeln 5.6 der DSGVO festgelegt.

Das Gesetz über personenbezogene Daten der Russischen Föderation enthält 7 Verarbeitungsgrundsätze und die DSGVO 6. Alle Grundsätze sind vergleichbar, mit der Ausnahme, dass die russische Gesetzgebung das Verbot der Kombination von Datenbanken, die für inkompatible Zwecke erstellt wurden, klarstellt. Eine wichtige Ergänzung zu den Grundsätzen der DSGVO ist das Prinzip der Transparenz / Transparenz. Alle Informationen und Nachrichten im Zusammenhang mit der Verarbeitung personenbezogener Daten waren für den Betroffenen leicht zugänglich und für sein Verständnis klar, dh es wurde eine klare und einfache Sprache verwendet. Darüber hinaus definiert die DSGVO die Sicherheit personenbezogener Daten als Prinzip [S. (f), Art. 5, DSGVO,], aber bei uns ist es wahrscheinlicher, dass es als Pflicht dargestellt wird.

Die Bedingungen, unter denen die Verarbeitung rechtmäßig ist, sind ebenfalls vergleichbar. Auf diese Weise ermöglicht die DSGVO den Staaten, ihre Verarbeitungsanforderungen einzuführen.

Artikel 9 des Bundesgesetzes „Über personenbezogene Daten“ und Artikel 7 der DSGVO beschreiben die Zustimmung des Betroffenen zur Verarbeitung personenbezogener Daten. Beide Dokumente sprechen von Konkretheit, Bewusstsein und Bewusstsein. Es ist wichtig, dass die DSGVO verlangt, dass der Konsens in einer Sprache erstellt wird, die verständlich und leicht zugänglich ist. Die Zustimmung zur Verarbeitung von Daten muss getrennt von anderen Bedingungen und Vereinbarungen erteilt werden. Es sollte alle Verarbeitungsziele enthalten. Das Widerrufen der Einwilligung sollte genauso einfach sein wie das Einholen der Einwilligung. So aktivieren Sie das Kontrollkästchen und entfernen es.

Es stellt sich heraus, dass die Vereinbarung nicht mehrdeutig, sondern korrekt sein sollte - "Ich stimme zu ...". Es sollte eine Liste spezifischer Verarbeitungsziele enthalten. Es ist auch nicht möglich, beispielsweise Kontrollkästchen zum Festlegen der Standardzustimmung zu verwenden. Dies widerspricht der Einwilligungsfreiheit. Und der Betreiber muss immer bereit sein zu bestätigen, dass der Proband seine Zustimmung gegeben hat.

Einer der Hauptunterschiede der DSGVO besteht darin, dass sie besondere Regeln für die Zustimmung zur Bereitstellung von Diensten der Informationsgesellschaft für Minderjährige festlegt. Wenn ein Kind im Alter von 16 Jahren an der Verarbeitung personenbezogener Daten beteiligt ist, ist dies legal. Für Kinder unter 16 Jahren muss die Einwilligung von einer Person erteilt werden, die elterliche oder erziehungsberechtigte Funktionen ausübt.

Beide betrachteten Dokumente beschreiben die Rechte der betroffenen Person ziemlich ausführlich. Sowohl dort als auch dort können Einzelpersonen ihre Daten und Informationen darüber erhalten, wie sie verarbeitet werden, können Informationen über sich selbst korrigieren und löschen. Die Hauptsache ist, dass ein Unternehmen nach dem Bundesgesetz „Über personenbezogene Daten“ auf Anfrage Informationen über die Verarbeitung personenbezogener Daten erhalten kann, wenn es Daten sammelt. Und laut DSGVO ist die Organisation verpflichtet, alle Informationen über die Verarbeitung zum Zeitpunkt des Empfangs personenbezogener Daten bereitzustellen. Die DSGVO beschreibt die Löschung und Änderung von Informationen als das Recht des Subjekts und das russische Recht als die Pflicht des Betreibers. Die betroffene Person kann jederzeit ihre Zustimmung zur Verarbeitung widerrufen und die Löschung der damit verbundenen Daten beantragen.

Ein weiterer wichtiger Unterschied der DSGVO besteht darin, dass ein gesondertes Recht zur Übermittlung ihrer Daten besteht. Ein Unternehmen, das im Rahmen der DSGVO tätig ist, sollte verstehen, dass ein Subjekt, wenn es zuvor angeforderte Informationen anfordert, diese ungehindert bereitstellen muss. Die DSGVO macht deutlich, dass diese Daten strukturiert sein und ein maschinenlesbares Format haben müssen. Auf Wunsch des Benutzers muss die Organisation ihre Daten an eine andere Organisation übertragen. All dies ist neu in den gesetzlichen Anforderungen.

In der DSGVO gibt es einen separaten Abschnitt über den Datenschutzbeauftragten. Diese Rolle ähnelt der Person, die für die Organisation der Verarbeitung personenbezogener Daten nach russischem Recht verantwortlich ist. Laut GDPR muss ein Datenschutzbeauftragter ernannt werden, wenn eine Organisation ständig Entitäten überwacht oder spezielle Kategorien in großem Umfang verarbeitet. Andernfalls erfolgt die Ernennung nach Ermessen der Organisation oder nach den Gesetzen ihres Staates. Nach dem Bundesgesetz „Über personenbezogene Daten“ ist der Betreiber in jedem Fall verpflichtet, eine für die Organisation der Datenverarbeitung zuständige Person zu benennen.

Bei der Aufzählung von Sicherheitsmaßnahmen bezieht sich das Bundesgesetz „Über personenbezogene Daten“ auf die Bilanzierung der Verarbeitung personenbezogener Daten. Die DSGVO verpflichtet sich wiederum, solche Aufzeichnungen in dokumentierter Form, einschließlich elektronischer Form, aufzubewahren. Organisationen mit weniger als 250 Mitarbeitern sind nicht verpflichtet, wenn sie keine fortlaufende Verarbeitung durchführen, keine speziellen Kategorien oder Daten zu Verurteilungen oder Straftaten in großem Umfang verarbeiten. Nach Angaben des Autors ist es in jedem Fall ratsam, solche Aufzeichnungen zu führen.

Wenn das Unternehmen ein Controller ist, sollte die Buchhaltung Folgendes enthalten:

  1. Informationen über den für die Verarbeitung Verantwortlichen, seinen Vertreter und den Datenschutzbeauftragten (falls vorhanden);
  2. Verarbeitungsziele;
  3. Informationen über betroffene Personen und Kategorien verarbeiteter personenbezogener Daten;
  4. Informationen über andere Empfänger personenbezogener Daten;
  5. Datenlöschdaten, wenn möglich;
  6. Beschreibung der Sicherheitsmaßnahmen, falls möglich.

Wenn das Unternehmen ein Verarbeiter ist, sollte die Buchhaltung Folgendes enthalten:

  1. Informationen über den Verarbeiter, den für die Verarbeitung Verantwortlichen und, falls möglich, seinen Vertreter und Datenschutzbeauftragten;
  2. Informationen verarbeiten;
  3. Informationen über andere Empfänger personenbezogener Daten;
  4. Datenlöschdaten, wenn möglich;
  5. Beschreibung der Sicherheitsmaßnahmen, falls möglich.

Die Organisation sollte bereit sein, diese Informationen dem Vorgesetzten jederzeit zur Verfügung zu stellen.

Was sind die persönlichen Daten selbst, dann "wie?", "Warum?" und "warum?" Sie werden verarbeitet, welche Maßnahmen zum Schutz von Informationen eingesetzt werden, was das Subjekt tun kann und wozu der Betreiber verpflichtet ist - diese wesentlichen Punkte sind im Bundesgesetz „Über personenbezogene Daten“ und in der DSGVO ähnlich. Was ist jedoch zu tun, wenn dennoch ein unerwünschtes Datenleck aufgetreten ist? Dies wird ausdrücklich nur in der DSGVO angegeben. Wenn ein Unternehmen dennoch einen Verlust personenbezogener Daten zulässt, ist es verpflichtet, dem Vorgesetzten und dem Unternehmen, das die Verluste erlitten hat, in kurzer Zeit mitzuteilen. Andernfalls wird das Unternehmen mit einer Geldstrafe belegt. Nach der DSGVO wird in jedem Land durch die einschlägigen Rechtsakte ein Vorgesetzter ernannt. Die Leiter dieser Aufsichtsgremien bilden den Europäischen Datenschutzrat.

Und das Interessanteste: Um die obligatorische Einhaltung der Normen zu stärken, führt die DSGVO Geldstrafen für Verstöße ein. Die Höhe der Geldbußen beträgt bis zu 20 Millionen Euro oder 4% des Cashflows des Unternehmens (der höchste Betrag wird ausgewählt). Aber in Wirklichkeit ist nicht alles so beängstigend. In Fällen, in denen der Verstoß geringfügig ist, kann nur ein Verweis erfolgen. Immaterielle Sanktionen können auch ein Verbot der Verarbeitung personenbezogener Daten (oder deren Übermittlung an die Gegenpartei) durch den Vorgesetzten beinhalten, bis der Verstoß behoben ist.

Die Strafe sollte zuallererst eine überzeugende Wirkung haben, was bedeutet, dass sie innerhalb des festgelegten Betrags stark variieren kann. Die Höhe der Geldbuße richtet sich nach den Merkmalen des Verstoßes selbst:

  1. Art, Schwere und Dauer des Verstoßes;
  2. vorsätzlich oder fahrlässig eine vollständige Verletzung;
  3. Maßnahmen zur Schadensminderung;
  4. angewandte Schutzmaßnahmen;
  5. frühere Verstöße;
  6. Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind;
  7. wie der Verstoß bekannt wurde;
  8. andere erschwerende und mildernde Faktoren.

Das heißt, zum Beispiel ist die zuvor in Betracht gezogene Leckmeldung ein wichtiger Faktor, um die Bestrafung zu mildern.

Zusammenfassend


Die Allgemeine Datenschutzverordnung ist ein neues großes Dokument mit einer langen Präambel und 99 Artikeln, die jeder auf seine Weise interpretieren kann. Wenn ein Unternehmen jedoch nicht mit einer Geldstrafe von mehreren Millionen Dollar belegt werden möchte, muss es die Anforderungen der DSGVO erfüllen und natürlich das Bundesgesetz „Über personenbezogene Daten“ und seine Satzung nicht vergessen.

Wenn Sie ein russisches Unternehmen sind, müssen Sie zunächst feststellen, ob der Umfang der Organisation im Rahmen der DSGVO liegt.

Wenn dies enthalten ist, müssen folgende vorrangige Maßnahmen ergriffen werden, um die neuen Anforderungen in Einklang zu bringen:

Bestimmen Sie, ob ein Vertreter in der EU benötigt wird. Weisen Sie es gegebenenfalls zu.
Überprüfen Sie die Verfügbarkeit von Informationen zum Verarbeitungsprozess (Ziele, Speicherzeiten, Informationen zu den Rechten der betroffenen Person usw.) sowie das Vorhandensein strukturierter und dokumentierter Prozesse zur Beantwortung von Anfragen von betroffenen Personen.
Überprüfen Sie die Zustimmung zur Verarbeitung personenbezogener Daten auf Einhaltung der DSGVO-Anforderungen. Es muss in einer verständlichen Sprache angegeben werden, insbesondere alle Verarbeitungsziele enthalten, die getrennt von anderen Bedingungen / Vereinbarungen liegen. Die Zustimmung wird auf der Grundlage aktiver Aktionen erteilt und nicht „standardmäßig“ oder Untätigkeit. Falls erforderlich, aktualisieren Sie es.

Überprüfen Sie die verarbeiteten personenbezogenen Daten auf Übereinstimmung mit den angegebenen Verarbeitungszielen.
Führen Sie Aufzeichnungen über alle Aktivitäten zur Verarbeitung personenbezogener Daten.

Führen Sie eine Datenschutz-Folgenabschätzung durch, d. H. Bestimmen Sie den Grad der Wichtigkeit jedes spezifischen Geschäftsprozesses im Zusammenhang mit der Verarbeitung personenbezogener Daten, indem Sie den Schaden bewerten, der während einer Fehlfunktion verursacht wird.

Überprüfen Sie die Sicherheitsmaßnahmen auf Einhaltung der DSGVO. Wenn nötig, verbessern Sie sie.

Einführung gut organisierter und dokumentierter Prozesse zur Benachrichtigung eines Vorfalls durch einen Vorgesetzten, vorzugsweise innerhalb von 72 Stunden nach Erkennung. Nehmen Sie Informationen über die Art des Lecks, Informationen zur Rückmeldung, mögliche Folgen und Maßnahmen zur Beseitigung des Lecks in die Benachrichtigungen auf. Informieren Sie den Betroffenen nach Möglichkeit über personenbezogene Daten, wenn ein Risiko für seine Rechte und Freiheiten besteht und die Daten nicht innerhalb einer angemessenen Frist verschlüsselt wurden.

Seien Sie bereit, die Legitimität von PD-Verarbeitungsaktivitäten nachzuweisen.

Source: https://habr.com/ru/post/de423733/

More articles:


All Articles