Die EU-Datenschutz-Grundverordnung (DSGVO) ist nun seit sechs Jahren in Kraft und hat eine globale Reichweite, da jedes Unternehmen, das Waren oder Dienstleistungen in der EU anbietet, zur Einhaltung verpflichtet ist. Die jüngsten Bußgelder zeigen, dass sowohl große als auch kleine Unternehmen der Kontrolle der Aufsichtsbehörden unterliegen.
Artikel 5 der Datenschutz-Grundverordnung verlangt eine nachweisbare Einhaltung der Vorschriften. Unsere DSGVO-Compliance-Checkliste soll Ihnen dabei helfen, festzustellen, ob Ihr Unternehmen die DSGVO einhält. Das Befolgen der Schritte in dieser Checkliste wird Ihnen dabei helfen, Bereiche zu identifizieren, in denen Ihr Unternehmen im Hinblick auf die Einhaltung der DSGVO möglicherweise Mängel aufweist, und die notwendigen Schritte zu unternehmen, um sicherzustellen, dass Sie Ihren Verpflichtungen nachkommen und mögliche Bußgelder und rechtliche Probleme vermeiden.
Datenschutzbestimmungen nach DSGVO
Wie DSGVO-bewusst sind Ihr Unternehmen und Ihre Mitarbeiter? Verfügt Ihre Organisation über einen Prozess zur Datenportabilität? Die DSGVO-Gesetzgebung ermöglicht es Einzelpersonen, ihre personenbezogenen Daten für ihre eigenen Zwecke in verschiedenen Diensten zu erhalten und wiederzuverwenden. Zu den weiteren Elementen gehört die Verpflichtung bestimmter Organisationen, einen Datenschutzbeauftragten zu ernennen. Ferner umfassen vertrauliche Informationen gemäß DSGVO biometrische und genetische Informationen. Das bedeutet, dass sich Unternehmen mit der DSGVO vertraut machen und sicherstellen sollten, dass ihre Mitarbeiter wissen, wie personenbezogene Daten verarbeitet werden.
VinciWorks hat eine Checkliste erstellt, die Ihnen dabei hilft, Bereiche zu identifizieren, in denen Ihre Datenschutzverfahren strenger sein könnten.
DSGVO-Checkliste
Kennen Sie die DSGVO?
Mitarbeiter, die regelmäßig Daten verarbeiten, sollten mit der DSGVO und den Änderungen des Datenschutzes durch die DSGVO vertraut sein.
Hier können Sie sich unseren Leitfaden zur DSGVO herunterladen.
Wissen Sie, wie viele persönliche Datensätze Sie pro Jahr verarbeiten?
Dies sind wichtige Informationen, die Sie beachten sollten. Unternehmen, die mehr als 5.000 personenbezogene Daten pro Jahr verarbeiten, müssen einen Datenschutzbeauftragten (Data Protection Officer, DPO) ernennen.
Gibt es ein Verfahren zur Datenübertragbarkeit?
Das Recht auf Datenübertragbarkeit ermöglicht es Einzelpersonen, ihre personenbezogenen Daten für ihre eigenen Zwecke über verschiedene Dienste hinweg zu erhalten und wiederzuverwenden. Sie müssen die personenbezogenen Daten in einer strukturierten, gängigen und maschinenlesbaren Form bereitstellen. Offene Formate umfassen CSV-Dateien. Maschinenlesbar bedeutet, dass die Informationen so strukturiert sind, dass Software bestimmte Elemente der Daten extrahieren kann. Dies ermöglicht anderen Organisationen die Nutzung der Daten. Die Auskunft ist unentgeltlich zu erteilen.
Gibt es ein Verfahren zur Datenlöschung?
Das Recht auf Löschung wird auch als „Recht auf Vergessenwerden“ bezeichnet. Der allgemeine Grundsatz, der diesem Recht zugrunde liegt, besteht darin, es einer Person zu ermöglichen, die Löschung oder Entfernung personenbezogener Daten zu verlangen, auch wenn kein zwingender Grund für deren weitere Verarbeitung besteht. Das Recht auf Löschung ist auf die Verarbeitung beschränkt, die ungerechtfertigten und erheblichen Schaden oder Leid verursacht. Nach der DSGVO gibt es diesen Schwellenwert nicht.
Informieren Sie Einzelpersonen über die von Ihnen verarbeiteten Daten?
Transparenz und die Bereitstellung zugänglicher Informationen für Einzelpersonen darüber, wie Sie ihre personenbezogenen Daten verwenden, sind ein Schlüsselelement der DSGVO. Am häufigsten werden diese Informationen in einer Datenschutzerklärung bereitgestellt. Um alle diese Elemente abzudecken, müssen Sie bei der Planung einer Datenschutzerklärung die folgenden Punkte berücksichtigen:
• Welche Informationen werden gesammelt?
• Wer sammelt sie?
• Wie werden sie gesammelt?
• Warum werden sie gesammelt?
• Wie werden sie verwendet?
• An wen werden sie weitergegeben?
• Welche Auswirkungen wird dies auf die betroffenen Personen haben?
• Kann die beabsichtigte Verwendung dazu führen, dass Einzelpersonen Einwände oder Beschwerden verspüren?
Haben Sie eine Rechtfertigung für die Übermittlung von Daten außerhalb der EU?
Die DSGVO sieht Beschränkungen für die Übermittlung personenbezogener Daten außerhalb der Europäischen Union, an Drittländer oder internationale Organisationen vor. Personenbezogene Daten dürfen außerhalb der EU nur unter Einhaltung der in Kapitel V der DSGVO festgelegten Bedingungen für die Übermittlung übermittelt werden.
Haben Sie einen Datenschutzbeauftragten bestellt?
Organisationen sind verpflichtet, einen Datenschutzbeauftragten zu beschäftigen, wenn sie in mindestens eine dieser Kategorien fallen: Sie verarbeiten mehr als 5.000 persönliche Datensätze pro Jahr, beschäftigen 250 Mitarbeiter oder mehr oder sind im öffentlichen Sektor tätig. Die Rollen bestehender Datenschutzbeauftragter werden gestärkt und berichten an die höchsten Führungsebenen.
Verfügen Sie über eine Datenschutzrichtlinie?
Wir empfehlen dringend, über eine aktuelle Datenschutzrichtlinie zu verfügen. Das Dokument sollte detailliert beschreiben, wer der DSB ist, die Verfahren zur Datenverarbeitung und die Verantwortlichkeiten der einzelnen Abteilungen bei der Datenverarbeitung. Alle Mitarbeiter sollten sich der Richtlinie bewusst sein. Hier können Sie eine Vorlage für eine Datenschutzrichtlinie herunterladen, die an Ihr Unternehmen angepasst werden kann.
Verfügen Sie über eine Datenschutzrichtlinie, die leicht auf der Website Ihres Unternehmens zu finden ist?
In einer Datenschutzrichtlinie wird erläutert, welche Informationen erfasst werden, wie die Informationen verwendet werden und warum sie erfasst werden. Die Richtlinie sollte auf der Website des Unternehmens verfügbar gemacht werden.
Werden bei der Datenverarbeitung folgende Grundsätze eingehalten?
• Die Verarbeitung erfolgt rechtmäßig, fair und transparent
• Sind Sie transparent darüber, wofür die personenbezogenen Daten verwendet werden?
• Die Daten werden für einen bestimmten Zweck erhoben
• Die Daten sind für ihren Zweck erforderlich
• Die Daten müssen korrekt und aktuell sein
• Daten werden nicht länger als nötig aufbewahrt
• Die Daten werden sicher aufbewahrt
Werden die Daten, die Ihr Unternehmen verarbeitet, als vertrauliche Informationen betrachtet?
Organisationen, die Daten verarbeiten, die sensible Informationen über eine Person enthalten, müssen außerdem einen Datenschutzbeauftragten ernennen. Als sensible Daten gelten:
• Rasse oder ethnische Herkunft
• Politische Meinungen
• Informationen über ihre körperliche oder geistige Gesundheit
• Religiöse Ansichten
• Informationen über ihr Sexualleben
• Informationen über bestehende oder frühere strafrechtliche Verurteilungen gegen sie
Verfügen Sie über ausreichende Datenschutzschulungen?
Wir empfehlen allen Mitarbeitern, die aufgrund ihrer Funktion personenbezogene Daten verarbeiten oder speichern müssen, an einer Datenschutzschulung teilzunehmen. Die Schulung sollte die neuesten Informationen zu Datenschutzrichtlinien und -gesetzen vermitteln und den Mitarbeitern helfen zu verstehen, wie sich Datenschutzgesetze auf ihre Rolle innerhalb der Organisation auswirken.
Compliance: Neu Erfunden
VinciWorks ist der führende Anbieter individuell anpassbarer, innovativer Online-Compliance-Schulungen