Geekly articles weekly

Warum ist die Vorlage für Datenschutzrichtlinien nicht für Sie geeignet?

Sergey Voronkevich, MBA, CIPP / E.

Kopieren und Generieren von Datenschutzrichtlinien


Das Kopieren einer Datenschutzrichtlinie für Vorlagen oder die Verwendung von Generatoren (automatische Kompilierung) ist eine weit verbreitete Praxis. In einigen Fällen kann dies sogar Zeit sparen, wenn wiederholte Informationen kopiert werden, die für viele Websites universell sind. Dies gilt jedoch nur, wenn Sie es von einer zuverlässigen Quelle kopieren oder einen hochwertigen Generator verwenden.

Kopieren


Wenn Sie die Datenschutzrichtlinie für Vorlagen weiterhin kopieren, müssen Sie die Übereinstimmung dieses Dokuments mit den Artikeln 13 und 14 der DSGVO (Allgemeine Datenschutzverordnung - Allgemeine Verordnung der Europäischen Union zum Schutz personenbezogener Daten) überprüfen und die für jedes Unternehmen individuellen Absätze ändern:

  1. Verarbeitungsziele
  2. Legitime Verarbeitungsgrundlagen
  3. Bearbeitungszeit

Es ist schwierig, eine Datenschutzrichtlinie zu finden, die allen Prozessen in Ihrem Unternehmen und gleichzeitig der DSGVO entspricht. Die meisten Datenschutzrichtlinien, auch von europäischen Unternehmen, sind nicht GDPR-konform.

Die kopierte Datenschutzrichtlinie kann die Verarbeitung personenbezogener Daten beinhalten, die das Unternehmen nicht tut und nicht sein kann. Dies schafft große Probleme bei der Umsetzung der Rechte der betroffenen Personen. Beispielsweise möchte ein Benutzer Ihres Dienstes sein Recht auf Datenübertragbarkeit ausüben, Sie können dies jedoch nicht realisieren.

Beachten Sie auch, dass viele Vorlagen für Datenschutzrichtlinien unter anderen Gesetzen geschrieben sind. Es gibt häufige Fälle, in denen anstelle eines anderen normativen Rechtsakts das Wort „DSGVO“ eingefügt wird.

Infolgedessen verbringen Sie mehr Zeit damit, eine Vorlage zu finden und zu bearbeiten, wenn es viel schneller (oder möglicherweise billiger) ist, selbst eine Richtlinie zu erstellen oder einen Spezialisten zu konsultieren.

Generatoren


Angenommen, Sie finden einen hochwertigen Generator für Datenschutzrichtlinien. Damit eine fertige Version erstellt werden kann, müssen Sie Ihre Prozesse noch detailliert beschreiben, Ziele formulieren und rechtliche Gründe darlegen. Normalerweise ist es nicht möglich, den Generatoren von Datenschutzrichtlinien alle verschiedenen Informationen zur Verarbeitung personenbezogener Daten hinzuzufügen. In einigen, wie dem professionellen Signatu-Generator, können Sie dies tun, aber um etwas zu generieren, müssen Sie Dutzende komplexer Fragen beantworten, die gründliche Kenntnisse der DSGVO erfordern.

Erstellen einer Datenschutzrichtlinie


Wenn Sie die Verwendung einer Plattform mit dem Kauf von Medikamenten vergleichen, ist die Datenschutzrichtlinie eine Beilage mit Anweisungen. Mit dieser Anleitung wissen Benutzer, wie sie dieses Arzneimittel richtig anwenden und sich nicht selbst Schaden zufügen.

Ebenso sollten Datenschutzrichtlinien funktionieren. Dieses Dokument wurde hauptsächlich für Benutzer geschrieben. Denken Sie daran, wenn Sie Ihren Anwalt anschließen. Die Datenschutzrichtlinie sollte in einer Sprache verfasst sein, die für den Leser verständlich ist.

Beachten Sie beim Entwerfen einer Datenschutzrichtlinie zunächst das für Ihre Verarbeitung geltende Recht. Dort finden Sie die Anforderungen und verstehen, welche Informationen Sie in Ihrem Dokument angeben müssen. In diesem Artikel sprechen wir über GDPR.
Die Grundvoraussetzungen für den Inhalt der Datenschutzrichtlinie für die DSGVO sind in Art. 13 und 14 der Geschäftsordnung sowie in der Erläuterung der „ Leitlinien zur Transparenz “ der Artikel-29-Arbeitsgruppe, der europaweiten Aufsichtsbehörde. Am Ende des Dokuments befindet sich eine Tabelle, anhand derer Sie Ihre Datenschutzbestimmungen überprüfen können.

Bei der Ausarbeitung einer Richtlinie besteht der Fehler darin, Informationen über die einzelne Verarbeitung in verschiedenen Abschnitten zu verteilen, wenn die Compiler die Kategorien der verarbeiteten Daten getrennt von den Zielen und die Ziele getrennt von den rechtlichen Gründen für die Verarbeitung (Zustimmung, berechtigtes Interesse, Vertrag, gesetzliche Anforderungen usw.) beschreiben. Dies ist verboten, da der Person (der betroffenen Person) nicht klar ist, welche der Datenkategorien zu welchem ​​Zweck verarbeitet wird. Dies ist auch dann der Fall, wenn Sie zu einem Passanten auf der Straße gegangen sind und nach einem Telefon gefragt haben. Er hat eine vernünftige Frage: "Warum?" Er wird entscheiden, ob Sie das Telefon geben möchten, je nachdem, wie Sie es verwenden möchten. Ebenso stimmt der Benutzer der Verarbeitung personenbezogener Daten in Abhängigkeit von Ihren Zielen zu.

Mit anderen Worten, es ist besser, den Text der Datenschutzrichtlinie für einzelne Behandlungen zu strukturieren.
Zum Beispiel erhielt GOOGLE Anfang 2019 eine Geldstrafe von 50 Millionen von der französischen Aufsichtsbehörde CNIL. Einer der Verstöße bestand darin, dass wichtige Informationen über den Verarbeitungszweck, die Speicherzeiten und die Kategorien der zu verarbeitenden personenbezogenen Daten auf verschiedene Dokumente verteilt wurden. Infolgedessen musste die betroffene Person 5-6 Maßnahmen ergreifen, um die erforderlichen Informationen zu erhalten.

Es ist erwähnenswert, dass die Datenschutzrichtlinie selbst nur die Spitze des Eisbergs ist. Bevor Sie eine Datenschutzrichtlinie erstellen, müssen Sie einige Schritte ausführen:

  1. Erstellung eines Registers zur Verarbeitung personenbezogener Daten (Artikel 30 der Geschäftsordnung).
  2. Formulierung von Verarbeitungszielen. Sie fragen beispielsweise die zuständigen Abteilungen, warum sie diese oder jene Daten verarbeiten. Es könnte sich herausstellen, dass sie einige Daten „für die Zukunft“ genommen haben und jetzt kein bestimmtes Ziel haben.
  3. Auswahl einer Rechtsgrundlage für die Verarbeitung (Artikel 6 der Geschäftsordnung). Diese Phase ist nicht nur eine „Wahrsagerei auf einer Kamille“, sondern eine komplexe rechtliche Analyse.
  4. Bestimmung der Verarbeitungszeit für jeden Prozess;
  5. Bestandsaufnahme von Dritten (Outsourcer, Partner, Lieferanten, Anbieter), denen Sie Zugriff auf personenbezogene Daten gewähren.

In diesen frühen Phasen gemachte Fehler sind in Datenschutzrichtlinien sehr oft deutlich sichtbar.

Die Risiken einer falschen Datenschutzrichtlinie


  1. Nach Inspektion durch den Vorgesetzten verhängte Strafen . Und das sind 20 Millionen Euro oder 4% des weltweiten Gesamtumsatzes des Unternehmens.
  2. Beschwerde einer betroffenen Person, die Ihre Datenschutzrichtlinie nicht verstanden hat, beim Vorgesetzten. Was wird als nächstes passieren - siehe Absatz 1.
  3. Verdorbener Ruf . Das Vorhandensein offensichtlicher Fehler in der Datenschutzrichtlinie kann die Angebote einer Aktiengesellschaft beeinträchtigen. Investoren befürchten nicht so sehr, dass das Unternehmen gegen Regeln verstoßen hat, sondern dass enorme Sanktionen drohen. Keiner der Aktionäre Ihres Unternehmens wird dieses Risiko einschätzen, und die Gegenparteien werden von Ihrer Insolvenz sicherlich nicht begeistert sein.
  4. Wenn Sie die Rechtsgrundlage falsch wählen, hat die betroffene Person möglicherweise ein Recht, dessen Umsetzung die Prozesse in Ihrem Unternehmen tatsächlich blockiert . Beispiel: Sie haben die Einwilligung als Rechtsgrundlage für die Bearbeitung in einer Situation gewählt, in der nur ein Vertrag möglich ist. Wenn der Benutzer seine Einwilligung widerruft, können Sie ihm keine Dienstleistung erbringen. Am Ende befinden Sie sich in einer rechtlichen Falle: Einerseits müssen Sie das Recht des Subjekts erkennen, vergessen zu werden, und andererseits, ihm einen Gefallen zu tun. Geben Sie ihm nicht das Recht, vergessen zu werden - Sie werden mit einer Geldstrafe belegt und bieten ihm keine Dienstleistung an - Sie werden aufgrund eines Vertrags, den Sie mit diesem Unternehmen unterzeichnet haben, sanktioniert.

So ist die Datenschutzerklärung:

  1. Es wird individuell für die Prozesse einer bestimmten Organisation entwickelt,
  2. Es ist in einer verständlichen Sprache geschrieben und hat eine klare Struktur,
  3. nur eine von vielen und weit entfernt von der ersten Veranstaltung, die den Vorschriften entspricht,
  4. notwendig für das Überleben des Unternehmens im Zeitalter der DSGVO und
  5. vergibt keine Fehler.

Source: https://habr.com/ru/post/de438450/

More articles:


All Articles