DSGVO/ GDPR DE/EN

54
6 years ago
in
#deutsch

Eine kleine Zusammenfassung von mir zum Datenschutzthema, wenn noch wer fragen hat einfach stellen.

privacy-policy-3415417_960_720.png

DE

Grundsätze:

  • „Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“
  • „Zweckbindung“
  • „Datenminimierung“
  • „Richtigkeit“
  • „Speicherbegrenzung“
  • „Integrität und Vertraulichkeit“
  • „Rechenschaftspflicht“

Rechtmäßigkeit:

"Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:"

  • Einwilligung
  • Erfüllung eines Vertrags
  • Erfüllung einer rechtlichen Verpflichtung
  • lebenswichtige Interessen
  • öffentlichen Interesse
  • berechtigten Interesse

Pflichten der Verantwortlichen:

  • Datenschutzerklärung (Informationspflicht)
  • Auftragsverarbeitervertrag (AV)
  • Verfahrensverzeichnis
  • Datenschutz-Folgenabschätzung (DFA)
  • Risikoanalyse
  • Sicherheit der Verarbeitung
  • Datenschutzverletzungen
  • Dokumentationspflicht
  • "Sorgfaltspflicht bei Auswahl des Auftragsdatenverarbeiters"
  • Technische und organisatorische Maßnahmen
  • Black und Whitelist im Auge behalten

Rechte von Betroffenen

  • "Transparenz und Modalitäten"
  • "Informationspflicht und Recht auf Auskunft zu personenbezogenen Daten"
  • "Berichtigung und Löschung"
  • "Widerspruchsrecht und automatisierte Entscheidungsfindung im Einzelfall"
  • "Beschränkungen"

Ratsam, aber nicht notwendig bzw. in abgeschwächter Form

  • Datenschutzbeauftragter(Koordinator)
  • Privacy by design/default

Wann ist ein Datenschutzbeauftragter (DSB) zu benennen? Art.37

  • "Verarbeitung von einer Behörde oder öffentlichen Stelle" nicht Gerichte
  • "umfangreichen Verarbeitung besonderer Kategorien von Daten" Art. 9
  • "personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten" Art. 10
  • "umfangreiche regelmäßige und systematische Überwachung"

Aufgaben des Datenschutzbeauftragten (DSB)

  • Kontaktperson bzw. Ansprechpartner für Aufsichtsbehörde
  • Überwachung (Risikoanalyse/Folgenabschätzung)
  • Beratung
  • Schulung
  • nicht für die Einhaltung der DSGVO verantwortlich
  • GF-Verantwortung

Position/Stellung

  • Es darf keine Interessenkonflikt entstehen (Ausschlusskriterium für Leitungsfunktionen zB GF/IT-Leiter) #Verhältnismäßigkeit
  • Weisungsfrei
  • Abberufungsschutz
  • Benachteiligungsschutz
  • Bericht an die Managementebene
  • Ihm müssen erforderliche Ressourcen zur Verfügung gestellt werden
  • Intern oder Extern
  • Muss kein Jurist sein

Datenschutzfolgeabschätzung (DSFA)

Wenn 2 der folgenden Punkte zutreffen

  • Bewerten oder Einschätzen
  • Automatisierte Entscheidungsfindung mit Rechtswirkung oder mit bedeutsamer Wirkung
  • Systematische Überwachung
  • Datenverarbeitung im großen Umfang
  • Abgleichen und zusammenführen von Datensätzen
  • Verarbeitung von vertraulichen oder höchstpersönlichen Daten
  • Nutzung von neuer Technologien
  • Daten zu schutzbedürftiger Personen
  • Verbindung von Verträgen oder Dienstleistungen

Fristen

  • Aufbewahrungspflicht je nach Daten (7Jahre Belege, Bewerber 6 Monate, 30 Jahre je nach Datum, usw..)
  • Meldung bei Data Breach 72h nach Bekanntgabe an die Aufsichtsbehörde
  • Bei Bildern, Löschungspflicht nach 72h
  • Informationspflicht 1 Monat nach Einlangen des Antrags, kann mit Begründung(Komplexe Anfrage) auf 3 Monate verlängert werden
  • Ablehnung mit Begründung bzw. exzessiver oder wiederholten Anfrage

Wie Steemit da verhält wird sich zeigen, ich werde in den nächsten Tage ein paar Anträge schicken und euch auf dem Laufenden halten.

privacy-policy-3415418_960_720.png

EN

Principles:

"Legality, good faith processing, transparency"
"Earmarking"
"Data minimization"
"Correctness"
"Memory limit"
"Integrity and Confidentiality"
"Accountability"

Legality:

"Processing shall be lawful only if at least one of the following conditions is met:"

  • Consent
  • Fulfilment of a contract
  • Fulfilment of a legal obligation
  • vital interests
  • public interest
  • justified interest

Obligations of those responsible:

  • Data protection declaration (duty to inform)
  • Order Processing Contract (AV)
  • List of procedures
  • Data Protection Impact Assessment (DFA)
  • Risk analysis
  • Security of processing
  • Data breaches
  • Duty of documentation
  • Duty of care in the selection of the data processor"
  • Technical and organisational measures
  • Keep an eye on Black and Whitelist

Rights of Affected Persons

  • "Transparency and modalities"
  • Duty to inform and right of access to personal data
  • "Correction and deletion"
  • "Right of appeal and automated decision making in individual cases"
  • "Restrictions"

advisable, but not necessary or in an attenuated form

  • Data Protection Officer (Coordinator)
  • Privacy by design/default

When is a Data Protection Officer (DPO) to be appointed? Art.37

  • processing by an authority or public body" shall not mean courts
  • extensive processing of special categories of data" Art. 9
  • Personal data on criminal convictions and offences" Art. 10
  • "extensive regular and systematic monitoring"

Tasks of the Data Protection Officer (DPO)

  • Contact person or contact person for supervisory authority
  • Monitoring (risk analysis/impact assessment)
  • Consulting
  • training
  • not responsible for compliance with the DSGVO
  • CEO responsibility

Position/Position

  • No conflict of interest may arise (exclusion criterion for management functions, e.g. GF/IT manager) # Proportionality
  • Non-directive
  • Protection against dismissal
  • Disadvantage protection
  • Report to the management level
  • It must be provided with the necessary resources
  • Internal or external
  • Doesn't have to be a lawyer

Privacy Impact Assessment (DSFA)

If 2 of the following points apply

  • Evaluate or estimate
  • Automated decision making with legal effect or with significant effect
  • Systematic monitoring
  • Large-scale data processing
  • Matching and merging data records
  • processing of confidential or highly personal data
  • Use of new technologies
  • Data on persons in need of protection
  • Connection of contracts or services

Deadlines

  • Obligation to retain data (7 years of supporting documents, applicants 6 months, 30 years depending on date, etc..)
  • Notification to Data Breach 72h after notification to the supervisory authority
  • For pictures, deletion after 72h
  • Obligation to inform 1 month after receipt of the application, can be extended to 3 months with justification (complex request)
  • Rejection with justification or excessive or repeated request

How Steemit will behave will show, I will send you some applications in the next days and keep you informed.

deutsch
dsgvo
gdpr
socialnetwork
verh
6 years ago
gexi54
via steemit
$ 6.548
34
H2
H3
H4
3 columns
2 columns
1 column
Join the conversation now
Logo
Center