Datenverantwortlicher definiert

Was bedeutet es, wenn Sie ein Datenverantwortlicher sind?

Der Datenverantwortliche ist die Person oder das Unternehmen, die bestimmt, zu welchen Zwecken und wie die Daten verarbeitet werden. Wenn Ihr Unternehmen also entscheidet, „warum“ und „wie“ die Daten verarbeitet werden sollen, ist es der Datenverantwortliche.

Als Datenverantwortlicher ist eine Einzelperson oder Organisation dafür verantwortlich, sicherzustellen, dass Ihre Verarbeitung den Vorschriften entspricht Allgemeine Datenschutzverordnung (GDPR/DSGVO).

Dazu gehört auch, sicherzustellen, dass alle in Ihrem Namen verarbeiteten Daten angemessen, genau, zeitnah und sicher sind.

Pflichten der Verantwortlichen: Sie (die einzelnen Verantwortlichen) müssen vereinbaren, wer bestimmte Pflichten des Verantwortlichen erfüllt DSGVO, da jeder Verantwortliche für die Einhaltung verantwortlich ist mit allen DSGVO-Verantwortlichkeiten.

Was bedeutet es, wenn Sie gemeinsame Datenverantwortliche sind?

Artikel 26 besagt, dass beide Parteien als gemeinsam Verantwortliche gelten, wenn sie den Zweck und die Mittel der Verarbeitung gemeinsam festlegen. Die DSGVO geht auf diesen Vorgang nicht näher ein und erwähnt ihn nur am Rande in den Artikeln 30 und 36.

• Wenn zwei oder mehr Verantwortliche gemeinsam über die Zwecke und Mittel der Verarbeitung entscheiden, sind sie gemeinsame Datenverantwortliche.
• Jeder für die Datenverarbeitung Verantwortliche muss seine jeweiligen Verantwortlichkeiten für die Einhaltung der Verpflichtungen aus dieser Verordnung, insbesondere hinsichtlich der Ausübung der Rechte der betroffenen Person (Artikel 13), auf transparente Weise festlegen, es sei denn, dies ist nicht möglich; in diesem Fall muss er dies tun Treffen Sie die entsprechenden Vereinbarungen zwischen ihnen.
• Die Vereinbarung könnte eine Kontaktstelle für betroffene Personen benennen.

Checkliste für die Mitverantwortung:

• Wir verfolgen mit anderen Vermarktern ein gemeinsames Ziel hinsichtlich der Datenverarbeitung.
• Wir verarbeiten personenbezogene Daten zum gleichen Zweck wie ein anderes Unternehmen.
• Der andere Verantwortliche verwendet dieselben personenbezogenen Daten, die wir für diese Verarbeitung verwenden.
• Wir haben diesen Prozess mit einem anderen Controller entworfen.
• Wir teilen gemeinsame Regeln für das Informationsmanagement mit einem anderen Verantwortlichen.

Die Klauseln in Artikel 26 (DSGVO) zur gemeinsamen Verantwortlichkeit sind sehr kurz, haben aber bei Organisationen für viel Diskussion und Unsicherheit gesorgt.

Das Konzept der gemeinsamen Verantwortlichkeit ist nicht besonders neu, aber seine Anwendung nach der DSGVO im modernen Datenverarbeitungsökosystem ist komplex. Durch die Klärung, wie Parteien als gemeinsam Verantwortliche gelten, werden ihre jeweiligen Compliance-Verantwortlichkeiten und die gemeinsame Haftung in Bezug auf Einzelpersonen und Personen definiert Datenschutz Behörden.

Können Sie sowohl Datenverantwortlicher als auch Datenverarbeiter sein?

Sind Sie Verantwortlicher, Auftragsverarbeiter oder beides?

Eine Entität/Organisation kann ein Datenverantwortlicher sein oder ein Datenprozessor, oder beides. Ein und dieselbe Organisation kann sowohl Datenverantwortlicher als auch Datenverarbeiter sein. Wenn unser Analyseanbieter beispielsweise die Daten eines Kunden über seine Systeme laufen lässt, ist der Anbieter der Verarbeiter dieser Daten.

Der Analyseanbieter verfügt jedoch möglicherweise über eine beliebige Anzahl anderer Datensätze, die er möglicherweise in seinen Analysetools verwendet. Wenn der Analyseanbieter berechtigt ist, zu bestimmen, wie diese zusätzlichen Daten verwendet werden, ist er der Verantwortliche für diese Daten.

Wie stellen Sie fest, ob Sie ein Verantwortlicher oder ein Verarbeiter personenbezogener Daten sind?

Ihre DSGVO-Pflichten hängen davon ab, ob Sie ein Verantwortlicher, ein Auftragsverarbeiter oder ein gemeinsamer Verantwortlicher sind. Daher ist es wichtig, dass Sie sorgfältig darüber nachdenken Rolle und Verantwortlichkeiten hinsichtlich Ihrer Datenverarbeitungsaktivitäten, um festzustellen, ob Sie ein Verantwortlicher, ein Auftragsverarbeiter oder gemeinsam Verantwortlicher sind.

Sind Sie ein Datenverantwortlicher?

• Es ist erforderlich, personenbezogene Daten zu erheben oder zu verarbeiten.
• Was der Zweck oder das Ergebnis der Verarbeitung sein sollte.
• Wir haben entschieden, welche personenbezogenen Daten wir sammeln möchten.
• Wir haben die Personen ausgewählt, über die wir personenbezogene Daten sammeln wollten.
• Ein kommerzieller Vorteil oder Gewinn aus der Verarbeitung, mit Ausnahme etwaiger Zahlungen für Dienstleistungen eines anderen Verantwortlichen.
• Aufgrund eines Vertrages zwischen uns und der betroffenen Person verarbeiten wir deren personenbezogene Daten.
• Unsere „betroffenen Personen“ sind unsere Mitarbeiter.
• Im Rahmen oder aufgrund der Verarbeitung treffen wir Entscheidungen über die beteiligten Personen.
• Ausübung eines professionellen Urteilsvermögens bei der Verarbeitung personenbezogener Daten von „betroffenen Personen“.
• Es besteht eine direkte Beziehung zwischen uns und den betroffenen Personen.
• Wir haben die volle Kontrolle darüber, wie die Daten verarbeitet werden.
• Wir haben die Auftragsverarbeiter beauftragt, die personenbezogenen Daten in unserem Auftrag zu verarbeiten.

Auch wenn Sie nicht direkt an der Erhebung von Daten beteiligt sind, haften Sie möglicherweise dennoch für die Nichteinhaltung der DSGVO. Daher sind Sie dafür verantwortlich, dass Sie sicher sind die Einhaltung der Verordnung nachweisen Datenschutzgrundsätze.

Einhaltung der DSGVO und Verantwortlichkeiten der Datenverantwortlichen

Was definiert die DSGVO als Datenverantwortlicher?

Die Datenschutz-Grundverordnung unterscheidet im Vereinigten Königreich zwischen einem „Datenverantwortlichen“ und einem „Datenverarbeiter“.

Dies hilft zu erkennen, dass nicht alle an der Verarbeitung beteiligten Organisationen Daten haben das gleiche Maß an Verantwortung. Die britische DSGVO definiert diese Begriffe wie folgt:

Die Person oder Organisation, die bestimmt, „warum“ und „wie“ personenbezogene Daten verarbeitet werden sollen, wird als Datenverantwortlicher bezeichnet.

Angenommen, ein Unternehmen verarbeitet personenbezogene Daten, um eine bestimmte Person (z. B. einen Mitarbeiter) bei der Erfüllung ihrer Aufgaben zu unterstützen. In diesem Fall fungiert dieser Mitarbeiter als Datenverarbeiter.

Ein „Datenverarbeiter“ ist jedes Unternehmen oder jede Einzelperson, die personenbezogene Daten im Auftrag einer anderen verarbeitet. Zusammenfassend sind sie ein Vertreter des Datenverantwortlichen.

Die sechs Datenschutzgrundsätze

Die sechs Grundprinzipien des Allgemeinen Die Datenschutzbestimmungen sind in Artikel 5 der UK-DSGVO festgelegt Gliederung:

Erster Datenschutzgrundsatz

Der erste Grundsatz der Privatsphäre ist einigermaßen selbstverständlich. Eine Organisation sollte sicherstellen, dass ihre Datenerfassungspraktiken legal sind und den betroffenen Personen nichts verheimlichen. Um diese einzuhalten, müssen Sie als Datenverantwortlicher die DSGVO und ihre Regeln für die Datenerfassung gründlich verstehen. Darüber hinaus sollten Sie Ihre Datenschutzrichtlinie veröffentlichen und genau angeben, welche Daten Sie sammeln und warum Sie sie sammeln.

Zweiter Datenschutzgrundsatz

Organisationen sollten die Menge der von ihnen erfassten personenbezogenen Daten auf das für die Erfüllung ihrer Zwecke erforderliche Maß beschränken. Sie sollten außerdem sicherstellen, dass die von ihnen erfassten Daten korrekt und aktuell sind und nicht länger aufbewahrt werden, als es zur Erfüllung dieser Zwecke erforderlich ist. Einem Datenverantwortlichen wird mehr Spielraum eingeräumt, wenn Ihre Verarbeitung zu Archivzwecken, im öffentlichen Interesse liegenden, wissenschaftlichen, historischen oder statistischen Zwecken erfolgt.

Dritter Datenschutzgrundsatz

Eine Organisation darf nur personenbezogene Daten verarbeiten, die zur Erreichung ihres Zwecks erforderlich sind. Dies hat zwei wesentliche Vorteile. Im Falle einer Datenschutzverletzung hat eine Person nur Zugriff auf eine kleine Datenmenge. Es ist auch einfacher, die Daten korrekt zu halten.

Vierter Datenschutzgrundsatz

Datengenauigkeit ist für den Datenschutz von entscheidender Bedeutung. Die DSGVO besagt, dass „alle angemessenen Schritte“ unternommen werden müssen, um Daten zu korrigieren, zu löschen oder zu vernichten, die nicht korrekt oder vollständig sind. Einzelpersonen haben das Recht, innerhalb von 30 Tagen die Berichtigung oder Aktualisierung unrichtiger oder unvollständiger Daten zu verlangen. In anderen Fällen ist es jedoch möglicherweise nicht möglich, die Daten zu korrigieren oder zu aktualisieren, und die Daten müssen möglicherweise entfernt werden.

Fünfter Datenschutzgrundsatz

Alle Organisationen müssen personenbezogene Daten löschen, wenn sie nicht mehr benötigt werden. Wie lange sollte eine Organisation Kundendaten aufbewahren? Es variiert je nach Branche und den Gründen, aus denen die Daten gesammelt werden. Jede Organisation, die sich nicht sicher ist, wie lange personenbezogene Daten aufbewahrt werden sollen, sollte einen Anwalt konsultieren.

Sechster Datenschutzgrundsatz

Die DSGVO verlangt, dass personenbezogene Daten geschützt werden. Daten sollten geschützt werden gegen Verlust, Zerstörung oder Beschädigung. Sie sollten außerdem durch geeignete technische oder organisatorische Maßnahmen vor unbefugter Verarbeitung und versehentlichem Verlust geschützt werden. Die DSGVO gibt bewusst vage Auskunft darüber, was Unternehmen tun sollten, da sich technologische und organisatorische Best Practices ständig ändern.

Checkliste für Datenverantwortliche

Die folgende Checkliste hilft Ihnen herauszufinden, was zu tun ist, wenn Sie ein Datenverantwortlicher sind.

Die Informationen, die Sie besitzen

Ihr Unternehmen hat eine Information abgeschlossen Prüfung um herauszufinden, wo sich die Daten in Ihrem Unternehmen befinden.

Datenverarbeitung auf rechtmäßiger Grundlage

Ihr Unternehmen hat Ihre Rechtsgrundlagen für die Datenverarbeitung dokumentiert und identifiziert.

Zustimmung und Kontrolle

Die britische Datenschutz-Grundverordnung legt einen sehr hohen Standard für die Einwilligung fest. Sie benötigen jedoch nicht immer eine Einwilligung. In manchen Fällen steigert es Ihren Ruf und schafft mehr Vertrauen, wenn Sie den Menschen echte Wahlmöglichkeiten und Kontrolle darüber bieten, wie Sie ihre Daten verwenden. Die DSGVO baut in mehreren Bereichen auf dem Einwilligungsstandard des Gesetzes von 1998 auf und enthält detailliertere Angaben dazu, was eine gültige Einwilligung und andere Rechtsgrundlagen für die Verarbeitung personenbezogener Daten darstellt.

Verarbeitung personenbezogener Daten von Kindern für Online-Dienste und Einwilligung

Für die Verarbeitung der personenbezogenen Daten eines Minderjährigen müssen Sie über eine Rechtsgrundlage verfügen. Wenn Sie auf die Einwilligung als rechtmäßige Grundlage für die Datenverarbeitung angewiesen sind und Online-Dienste für Kinder anbieten, müssen Sie angemessene Anstrengungen unternehmen, um sicherzustellen, dass jeder, der seine Einwilligung erteilt, alt genug dafür ist. Daher müssen Sie sicherstellen, dass jeder, der Ihnen seine Einwilligung erteilt, über 13 Jahre alt ist.

Wenn Sie einen Online-Dienst für Kinder unter 13 Jahren anbieten, müssen Sie zunächst die Zustimmung desjenigen einholen, der die elterliche Verantwortung für das Kind trägt. Sie müssen dann angemessene Anstrengungen unternehmen, um sicherzustellen, dass die Person, die ihre Einwilligung für das Kind erteilt, tatsächlich die elterliche Verantwortung trägt.

Lebenswichtige Interessen des Einzelnen

Wenn Sie Daten jeglicher Art verarbeiten müssen, um die Interessen einer Person zu schützen, muss Ihr Unternehmen die Umstände dokumentieren, unter denen diese relevant sind, und diese Personen bei Bedarf informieren.

Berechtigtes Interesse an der Datenverarbeitung

Wenn Sie sich auf berechtigte Interessen als Rechtsgrundlage für die Verarbeitung berufen, hat Ihr Unternehmen nachgewiesen, dass es die Rechte und Interessen des Einzelnen berücksichtigt und schützt.

Kosten der Datenschutzgebühr

Alle Organisationen oder Unternehmen, die personenbezogene Daten verarbeiten, müssen eine Gebühr an das ICO zahlen, es sei denn, sie sind davon ausgenommen.

Welche organisatorischen Maßnahmen können Sie ergreifen, um Datenschutzverletzungen zu verhindern?

Was bedeutet das für Ihre Organisation/Ihr Unternehmen?

Gehen Sie sicherheitshalber immer davon aus, dass alles, was Sie über einen Kunden speichern, personenbezogene Daten sind, und stellen Sie sicher, dass dies der Fall ist Einhaltung der Gesetze/Datenschutz Handeln Sie, wenn es um die Speicherung und Verarbeitung dieser Daten geht. Stellen Sie sicher, dass die Verarbeitung personenbezogener Daten Ihrer Kunden sicher istdatenschutzkonform speichern und diese umgehend löschen, wenn sie nicht mehr benötigt wird.

Es ist unbedingt erforderlich, die Pseudonymisierung und/oder Verschlüsselung personenbezogener Daten in Betracht zu ziehen, wenn es sich um eine bestimmte Kategorie personenbezogener Daten handelt. Ersetzen Sie dazu identifizierende Informationen durch „künstliche Identifikatoren“. Dadurch wird gewährleistet, dass die personenbezogenen Daten sicher bleiben.

Obwohl es in der DSGVO 15 Mal erwähnt wird, reicht die Pseudonymisierung allein nicht aus; Es hat seine Grenzen, daher wird die Verschlüsselung auch in der DSGVO erwähnt.

Bei der Verschlüsselung werden Informationen verschlüsselt oder verschlüsselt, indem sie durch etwas anderes ersetzt werden. Durch Pseudonymisierung kann jeder, der Zugriff auf die Daten in Ihrem Unternehmen hat, diesen Datensatz einsehen, durch Verschlüsselung hingegen erlaubt nur „genehmigten“ Benutzern den Zugriff den kompletten Datensatz.

Nach der DSGVO ist es möglich, sowohl Pseudonymisierung als auch Verschlüsselung gleichzeitig oder getrennt zu nutzen.

Sie benötigen einen Datenschutzbeauftragten

Die britische DSGVO verlangt von Ihnen die Benennung eines Datenschutzbeauftragter (DPO). Dieser Datenschutzbeauftragte ist verantwortlich für die Sicherstellung Ihrer Organisation entspricht den neuen Vorschriften. Sie arbeiten auch mit Ihnen an allen notwendigen Änderungen Ihrer Datenverwaltungsverfahren.

Datenschutzbeauftragte unterstützen Sie bei der Überwachung der Einhaltung von Datenschutzgesetzen und beraten Sie bei Datenschutz-Folgenabschätzungen (Data Protection Impact Assessments, DPIAs). Datenschutzbeauftragte fungieren auch als Kontaktstelle für betroffene Personen und das ICO. Ein Datenschutzbeauftragter ist jemand, der bereits bei Ihrem Unternehmen angestellt ist, oder vielleicht auch jemand, der zuvor überhaupt keine Verbindung zu Ihrem Unternehmen hatte.

Der Datenschutzbeauftragte muss unabhängig, ein Experte für Datenschutz, ausreichend finanziert und der höchsten Führungsebene unterstellt sein. In einigen Fällen können mehrere Organisationen einen einzigen Datenschutzbeauftragten ernennen.

Rolle des Datenschutzbeauftragten in Ihrer Organisation

• Der Datenschutzbeauftragte hat viele wesentliche Aufgaben, darunter die Überwachung der Einhaltung des Datenschutzes, die Sicherstellung, dass Sie über neue Datenschutzbestimmungen informiert sind, die Überwachung von Schulungen und die Durchführung von Audits.
• Wir werden den Rat unseres Datenschutzbeauftragten und die von ihm erteilten Informationen zu unseren Datenschutzpflichten berücksichtigen.
• Bei einer DSFA holen wir immer den Rat unseres Datenschutzbeauftragten ein, der auch den Prozess überwacht.
• Die Datenschutzbeauftragten beraten sich zu allen anderen Angelegenheiten und arbeiten mit dem ICO zusammen.
• Bei der Erfüllung seiner Aufgaben berücksichtigt Ihr Datenschutzbeauftragter die Art, den Umfang, den Kontext, die Zwecke der Verarbeitung und das mit diesen Verarbeitungsvorgängen verbundene Risiko.

Aktuelle Sicherheitssoftware

Hauptvorteile von Die Grundprinzipien der britischen DSGVO bestehen darin, dass Sie die Verarbeitung personenbezogener Daten sichern müssen durch geeignete organisatorische Maßnahmen. Dies ist das „Sicherheitsprinzip“.

Sie müssen angemessene Maßnahmen ergreifen, um die Vertraulichkeit, Integrität und Verfügbarkeit Ihrer Systeme und Dienste sowie der darin verarbeiteten personenbezogenen Daten sicherzustellen.

Die bedeutendsten DSGVO-Bußgelder – vorerst

1. Amazon – 746 Millionen Euro
2. Google – 50 Millionen Euro
3. H&M – 35 Millionen Euro
4. TIM – 27.8 Millionen Euro
5. British Airways – 22 Millionen Euro
6. Marriott – 20.4 Millionen Euro
7. Wind – 17 Millionen Euro
8. Vodafone Italia – 12.3 Millionen Euro

Wie Sie oben sehen können, ist die finanzielle Sanktionen gegen die DSGVO zu verstoßen, ist nicht billig.

Es gibt verschiedene Schritte, die Sie unternehmen können, um Ihr Unternehmen konform zu machen:

• Analysieren Sie die Risiken, die Ihre Datenverarbeitung mit sich bringt, und ermitteln Sie anhand dieser Informationen das Sicherheitsniveau, das Ihr Unternehmen implementieren muss.
• Ermitteln Sie, was Ihr Unternehmen tun muss, indem Sie die Sicherheitsergebnisse berücksichtigen, die Sie erreichen möchten.
• Setzen Sie alle wesentlichen technischen Kontrollen ein, die durch Frameworks wie spezifiziert werden Cyber-Grundlagen (NUR UK).
• Beachten Sie, dass Sie je nach Ihren spezifischen Umständen und der Art der von Ihnen verarbeiteten personenbezogenen Daten manchmal zusätzliche Sicherheitsmaßnahmen ergreifen müssen.
• Wo es angebracht ist, verwenden Sie Verschlüsselung und/oder Pseudonymisierung.
• Stellen Sie sicher, dass Sie über einen geeigneten Prozess zur Sicherung der Daten Ihrer Kunden im Falle eines Vorfalls verfügen, indem Sie beispielsweise sicherstellen, dass Sie über eine geeignete externe Speichereinrichtung verfügen.
• Durch den Einsatz eines seriösen Datenverarbeiters stellen Sie sicher, dass dieser angemessene technische und organisatorische Maßnahmen umgesetzt hat.

Richtlinien zur Fernarbeit und Einhaltung der DSGVO

Remote- oder flexible Arbeitsvereinbarungen gehören zu den wichtigsten Faktoren bei der Jobsuche. Die meisten Arbeitgeber verfügen über keine formelle Richtlinie zur Fernarbeit, obwohl es immer mehr Unternehmen gibt, die Fernarbeitsmöglichkeiten anbieten. Das macht Sie verwundbar.

Alle Unternehmen/Organisationen sollten über eine solide Richtlinie zur Fernarbeit verfügen. Es wird Ihnen dabei helfen, das Betriebsmodell Ihres Unternehmens zu steuern.

Für Remote-Entwickler ist es außerdem wichtig zu verstehen, wie sie Daten DSGVO-konform sammeln und darauf zugreifen können.

Legen Sie eine Richtlinie für Remote-Arbeit fest, um den Datenzugriff zu regeln und abzudecken

• Die Verantwortlichkeiten des Entwicklers sollten dargelegt werden.
• Es ist eine Fernzugriffsrichtlinie erforderlich.
• Es sollten sichere Passwortsysteme eingerichtet werden. zB LastPass.
• Die Nutzung des öffentlichen drahtlosen Internets.
• Verschlüsseln Sie alle Geräte Ihrer Remote-Mitarbeiter und erzwingen Sie die Datenverschlüsselung für alle, auch für diejenigen, die über ihre persönlichen Geräte angemeldet sind.
• Es sollten klare und umsetzbare Verfahren vorhanden sein, damit Mitarbeiter Vorfälle melden können.
• Um Sicherheitslücken zu schließen, überprüfen Sie Ihre Richtlinie von Zeit zu Zeit und aktualisieren Sie Ihre Richtlinie für das Arbeiten von zu Hause aus entsprechend Ihren Anforderungen.

Finden Sie Möglichkeiten, Ihre Heimarbeitsrichtlinie durch Mitarbeiterschulungen und Sensibilisierungssitzungen zu stärken.