Und diese direkt oder indirekt identifizierbar machen
Sensible Daten
Personenbezogene Daten, deren bekannt werden einen potentiellen Nachteil mit sich bringen können
Sexuelle Identität, Religiosität, politische Meinung, Gewerkschaftszugehörigkeit, Gesundheitsdaten, Fotos und Videos, …
Mitarbeiterfotos sind biometrische Daten, also sensibel
Sobald signifikater Teil der Verarbeitung sensible Daten umfasst: Datenschutzbeauftragter Pflicht!
Verarbeitung
Umgang mit personenbezogenen Daten
Zugriff darf nur bestimmten Personen gestattet sein
Nur im Rahmen der Tätigkeit wenn begründet
Keine Daten ausserhalb des unbedingt benötigten
Absicherung nach Stand der Technik
Jede Verarbeitung braucht einen Prozess, der im Verfahrensverzeichnis dokumentiert ist
Erfassung von personenbezogenen Daten
Opt-In: nur erfassen, wenn Person dem zustimmt
Informiertes Einverständnis: Person muss informiert werden, welche Daten zu welchem Zweck erfasst werden
Minimale Erfassung: Anwendungen dürfen nur das unbedingt notwendige erfassen.
Verantwortlichkeiten & Haftungen
Hauptverantwortlich: Geschäftsführer
Kann Umsetzung delegieren
Haftung kann nicht komplett abgegeben werden
Strafen bis zu
4% des Jahresumsatzes des Unternehmens
€ 20 Mio.
Je nachdem was mehr ist!
Tatsächliche Strafe im Ermessen der Datenschutzbehörde
Verantwortlichkeiten & Haftungen
Auskunftspflicht an Datenschutzbehörde
Meldepflicht für neue Anwendungen entfällt
Verarbeitungsverzeichnis ist Pflicht!
Auftragsverarbeitung
Auftragsverarbeiter sind Dritte, an die Personendaten übermittelt werden
Jede Weitergabe muss dokumentiert sein
Darunter fallen auch Werbenetzwerke, Analysenetzwerke, …
Rechte und Pflichten
Rechte und Pflichten
Recht auf Auskunft: jede Person kann jederzeit über jede Kontaktmöglichkeit Auskunft über ihre verarbeitete Daten verlangen
Innerhalb von 4 Wochen ab Eingang zu erledigen
In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen
Rechte und Pflichten
Recht auf Berichtigung: jede Person kann jederzeit über jede Kontaktmöglichkeit die Berichtigung ihrer Daten verlangen
Innerhalb von 4 Wochen ab Eingang zu erledigen
In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen
Rechte und Pflichten
Recht auf Einschränkung der Verarbeitung: jede Person kann jederzeit über jede Kontaktmöglichkeit die Verarbeitung ihrer Daten einschränken
Innerhalb von 4 Wochen ab Eingang zu erledigen
In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen
Rechte und Pflichten
Recht auf Vergessen / Löschung: jede Person kann jederzeit über jede Kontaktmöglichkeit die Löschung ihrer Daten verlangen
Innerhalb von 4 Wochen ab Eingang zu erledigen
In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen
Ausnahme: Löschung aus rechtlichen Gründen nicht möglich
Rechte und Pflichten
Recht auf Übertragung: jede Person kann jederzeit über jede Kontaktmöglichkeit die Ausfertigung ihrer Daten in einem maschinenlesbaren Format verlangen, zur Übertragung an ein anderes Unternehmen
Innerhalb von 4 Wochen ab Eingang zu erledigen
In komplexen Fällen um 2 Monate verlängerbar, ist zu begründen
Rechte und Pflichten
Informationspflicht:
bei Datenverlusten (Datendiebstahl) ist innerhalb von 72h ab bekannt werden die Datenschutzbehörde zu informieren
bei sensiblen Daten auch die betroffenen Personen
Verarbeitungsverzeichnis
Verarbeitungsverzeichnis
Aufzeichnung aller Verarbeitungsvorgänge
Nicht unter 250 Mitarbeitern
Ausnahme
Rechte oder Freiheiten der betroffenen Personen gefährdet
Wenn Daten nicht nur gelegentlich verarbeitet werden
Im Zweifel ist es besser eines zu führen
Beispiel
Beispiel
Beispiel
Beispiel
Beispiel
Beispiel
Datenschutzbeauftragter
Datenschutzbeauftragter
Pflicht für Firmen mit >250 MA oder
10 MA hauptsächlich mit der Verarbeitung beschäftigt sind oder
Hauptsächtlich sensible Daten verarbeitet werden
Aufgaben:
Führung des Verarbeitungsverzeichnisses
Kontrolle und Dokumentation der Verarbeitungsprozesse, schon bei der Konzeption