Der Datenverarbeiter verarbeitet ausschließlich identifizierbare personenbezogene Daten im Auftrag des Datencontroller. Der Datenverarbeiter ist in der Regel ein unternehmensexterner Dritter.
In einem Vertrag oder einem anderen Rechtsakt müssen die Pflichten des Auftragsverarbeiters gegenüber dem Verantwortlichen festgelegt werden, beispielsweise die Information des Verantwortlichen darüber, was mit den personenbezogenen Daten passiert, wenn ein privater Vertrag beendet wird.
Zu den Datenverarbeitern gehören Maschinen, die Vorgänge mit Daten durchführen, wie etwa Taschenrechner oder Computer, und jetzt können Cloud-Dienstanbieter als Datenverarbeiter bezeichnet werden.
Ein externer Datenverarbeiter ist nicht Eigentümer der von ihm verarbeiteten Daten und hat auch keine Kontrolle darüber. Der Datenverarbeiter kann den Zweck der Daten oder deren Verwendung nicht ändern.
Datenverarbeiter führen für ein Unternehmen verschiedene Datenverarbeitungsaufgaben aus, wie z. B. das Speichern von Daten, das Abrufen von Daten, die Durchführung der Lohn- und Gehaltsabrechnung, Marketingaktivitäten oder die Gewährleistung der Datensicherheit.
Unter Verarbeitung versteht man jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung.
Im Allgemeine Datenschutzverordnung (GDPR/DSGVO), haben der Verantwortliche und der Datenverarbeiter ähnliche Verantwortlichkeiten und halten sich gemäß der DSGVO auch an ähnliche Grundsätze. Im Vergleich zum Vorgänger der DSGVO gibt es keine großen Änderungen daran, was ein Datenverarbeiter ist.
Datenverarbeiter müssen die Verantwortlichen unter bestimmten Umständen unterstützen, beispielsweise bei der Meldung einer möglichen Verletzung des Schutzes personenbezogener Daten oder bei der Prüfung eines Datenschutz-Folgenabschätzung (DPIA).
Der Verantwortliche der Personalabteilung Ihrer Organisation verfügt über Methoden zur Verarbeitung der personenbezogenen Daten von Bewerbern und Mitarbeitern, die es zu schützen gilt. Es ist möglich, dass einige der HR-Datenverarbeitungsaktivitäten von Dritten durchgeführt werden. Ein Auftragsverarbeiter ist ein Unternehmen, an das Sie auslagern.
Ihr Marketingteam verarbeitet personenbezogene Daten potenzieller Kunden und bestehender Kunden. Bei Letzteren handelt es sich um Auftragsverarbeiter, wenn mit einem E-Mail-Marketing-Unternehmen oder einer E-Mail-Marketing-Agentur zusammengearbeitet wird, die diese Daten für Kampagnen nutzt.
Wenn Sie möchten, dass sich ein potenzieller Kunde im Rahmen einer Kampagne im Fernsehen usw. unter einer bestimmten Nummer einwählt, haben Sie möglicherweise die Inbound-Contact-Center-Aktivitäten Ihrer Organisation ausgelagert oder ein Callcenter genutzt.
Betroffene Personen sind die anrufenden Personen und das Contact Center wird zum Auftragsverarbeiter.
Der Verarbeiter ist niemals Eigentümer der personenbezogenen Daten. Der Verantwortliche ist nicht Eigentümer der personenbezogenen Daten seiner Kunden, Interessenten, Mitarbeiter oder anderer Personen. Eigentümer der personenbezogenen Daten ist die natürliche Person.
Wenn ein Auftragsverarbeiter einen Unterauftragsverarbeiter einsetzt, um die Verarbeitung personenbezogener Daten für einen Verantwortlichen zu unterstützen, muss Ihr Datenverarbeiter einen schriftlichen Vertrag mit diesem Unterauftragsverarbeiter haben. Ein Unterauftragsverarbeiter ist in der Regel eine andere Organisation.
Ich würde ISMS.online auf jeden Fall empfehlen, da es die Einrichtung und Verwaltung Ihres ISMS so einfach wie möglich macht.
Es gibt zum Beispiel viele Mitarbeiter in der Brauerei. Das Unternehmen schließt einen Vertrag mit einem Lohn- und Gehaltsabrechnungsunternehmen über die Zahlung der Löhne ab.
Wenn ein Mitarbeiter eine Gehaltserhöhung erhält oder ausscheidet, teilt die Brauerei der Lohn- und Gehaltsabrechnungsfirma mit, wann der Lohn ausgezahlt werden soll und wann nicht.
Die Brauerei ist der Datenverantwortliche und das Lohn- und Gehaltsabrechnungsunternehmen ist der Datenverarbeiter.
In der Datenschutz-Grundverordnung sind die unterschiedlichen Rollen und Verantwortlichkeiten festgelegt, die von einem Datenverantwortlichen oder einem Datenverarbeiter erwartet werden.
Sie können sicher sein, dass Sie alles getan haben, was Ihrerseits getan werden muss, indem Sie sicherstellen, dass Sie sich an die Gesetze halten.
Auftragsverarbeiter haben eine geringere Unabhängigkeit hinsichtlich der von ihnen verarbeiteten Daten, haben jedoch nach dem britischen DSGVO-Gesetz eine rechtliche Verantwortung und unterliegen der Regulierung durch die Behörden.
Wenn Sie ein Auftragsverarbeiter sind, haben Sie einige Verantwortlichkeiten und Pflichten, wie zum Beispiel:
Sie müssen Aufzeichnungen führen und einen verwalten und ernennen Datenschutzbeauftragter zur Einhaltung bestimmter DSGVO Rechenschaftspflichten.
Das im Vereinigten Königreich erlassene Verbot der Übermittlung personenbezogener Daten an andere Personen steht im Einklang mit dem Verbot der EU, personenbezogene Daten an andere Personen zu übermitteln. Sie müssen sicherstellen, dass jede Übertragung außerhalb des Vereinigten Königreichs vom Verantwortlichen genehmigt wird und den Übertragungsbestimmungen der britischen DSGVO entspricht.
Sie sind verpflichtet, die Behörden bei der Erfüllung ihrer Aufgaben zu unterstützen, indem Sie mit ihnen zusammenarbeiten, z Büro des Informationskommissars (ICO).
Datenverantwortliche müssen sicherstellen, dass sie mit Datenverarbeitern zusammenarbeiten, die Garantien hinsichtlich ihrer Fähigkeit zur Verarbeitung personenbezogener Daten und zur Einhaltung der DSGVO sowie zum Schutz der Rechte der betroffenen Person bieten.
Die britische DSGVO gilt für die Datenverarbeitung durch Organisationen im Vereinigten Königreich. Sie gilt für Organisationen außerhalb des Vereinigten Königreichs, die Waren oder Dienstleistungen für Einzelpersonen im Vereinigten Königreich anbieten.
Nach der DSGVO unterliegen bestimmte Aktivitäten nicht dem Datenschutzrecht, einschließlich der Verarbeitung für Zwecke der nationalen Sicherheit, der Verarbeitung durch Einzelpersonen ausschließlich für persönliche/haushaltsbezogene Aktivitäten und der Verarbeitung, die unter die DSGVO fällt Richtlinie zur Strafverfolgung.
Die Brexit-Übergangsfrist endete im Dezember 2020. Britische Organisationen, die personenbezogene Daten verarbeiten, müssen Folgendes einhalten:
Es gibt minimale Unterschiede zwischen der britischen DSGVO und dem EU-Äquivalent. Die Struktur der EU wurde vom Vereinigten Königreich aufgehoben und in die Gesetze des Landes übernommen.
Eine maßgeschneiderte praktische Sitzung, basierend auf Ihren Bedürfnissen und Zielen
Auftragsverarbeiter haben weniger Verpflichtungen, müssen jedoch darauf achten, personenbezogene Daten nur gemäß den Anweisungen des Verantwortlichen zu verarbeiten.
Die Datenschutz Der vom Unternehmen benannte Beauftragte ist für die Überwachung der Verarbeitung personenbezogener Daten sowie für die Benachrichtigung und Beratung der Mitarbeiter, die personenbezogene Daten verarbeiten, verantwortlich.
Der DSB kommuniziert und kooperiert auch mit dem Datenschutz Behörde (DPA).
Ihr Unternehmen muss einen DSB ernennen, wenn:
Der Datenschutzbeauftragte kann ein Mitglied Ihrer Organisation sein oder auf der Grundlage eines Dienstleistungsvertrags unter Vertrag stehen.
Ein Datenverarbeiter ist eine natürliche Person, Agentur, Behörde oder andere Stelle, die personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet.
Ihre Mitarbeiter verarbeiten die Daten gemäß Ihren Anweisungen. Ihr Team gilt nicht als Dritter im rechtlichen Sinne und daher ist jede von ihm durchgeführte Verarbeitung Teil der Tätigkeit eines Datenverantwortlichen.
Wenn Sie Personal einsetzen, haben Sie keinen direkten Arbeitsvertrag mit z. B. Leiharbeitskräften, die von der Agentur bezahlt werden. Die Agentur fungiert als Datenverarbeiter.
Die folgende Liste erläutert die typischen Aufgaben eines Datenverarbeiters:
Ihr Marketingteam sammelt personenbezogene Daten potenzieller und bestehender Kunden. Wenn Ihre Organisation mit einem E-Mail-Marketing-Unternehmen oder einer E-Mail-Marketing-Agentur zusammenarbeitet, die diese Daten verwendet, handelt es sich bei letzteren um Auftragsverarbeiter.
ISMS.online macht die Einrichtung und Verwaltung Ihres ISMS so einfach wie möglich.
Artikel 5 der DSGVO-Grundsätze legt klar dar, was eine betroffene Person bei der Verarbeitung ihrer personenbezogenen Daten erwarten würde.
Persönlich identifizierbare Daten sind alle Informationen, die zur Identifizierung einer Person genutzt werden können. Dazu gehören Namen, Adressen, Telefonnummern, Kreditkartendaten und Ähnliches.
Was eine Person identifiziert, kann ein einfacher Name oder eine Nummer sein oder andere Faktoren wie eine Internetprotokolladresse oder eine Cookie-ID umfassen.
Wenn Sie eine Person direkt anhand der von Ihnen verarbeiteten Informationen identifizieren können, kann es sich bei diesen Informationen um personenbezogene Daten handeln.
Sie müssen darüber nachdenken, ob die Person noch identifizierbar ist, wenn Sie sie nicht direkt identifizieren können. Es sollten alle Ressourcen berücksichtigt werden, die mit hinreichender Wahrscheinlichkeit zur Identifizierung dieser Person verwendet werden können, zusammen mit den Informationen, die Sie verarbeiten.
Bei der Überlegung, ob sich Informationen auf eine Person „beziehen“, müssen Sie eine Vielzahl von Faktoren berücksichtigen, darunter den Inhalt der Daten, den Zweck oder die Zwecke, zu denen Sie sie verarbeiten, und die wahrscheinlichen Auswirkungen dieser Verarbeitung auf die Person .
Es ist möglich, dass dieselben Informationen für die Zwecke eines Verantwortlichen persönlich identifizierbar sind, für die Zwecke eines anderen Verantwortlichen jedoch nicht persönlich identifizierbar sind.
Informationen, die entfernt oder ersetzt wurden, um die Daten zu verbergen, sind weiterhin personenbezogene Daten im Sinne der britischen DSGVO.
Wirklich anonyme Informationen fallen nicht unter die Datenschutz-Grundverordnung des Vereinigten Königreichs.
Informationen, die sich scheinbar auf eine bestimmte Person beziehen, sind immer noch personenbezogene Daten, da sie sich auf diese Person beziehen, auch wenn sie nicht korrekt sind.
Es ist von entscheidender Bedeutung, sicherzustellen, dass Ihr Unternehmen DSGVO-konform ist. Ein hervorragender Einstieg hierfür ist die Durchführung einer Informationsprüfung und/oder Datenkartierung, um sicherzustellen, dass Sie wissen, welche personenbezogenen Daten Ihr Unternehmen wo speichert.
Dem Unternehmen drohen Bußgelder, wenn es keine Aufzeichnungen über die Verarbeitungstätigkeiten führt oder den Behörden kein vollständiges Verzeichnis vorlegt. Dies entspricht Artikel 83.4.a der DSGVO-Verordnung.
Laden Sie Ihren kostenlosen Leitfaden herunter
um Ihre Infosec zu optimieren