Das EU-Datenschutzgrundverordnung (DSGVO) ist die wichtigste Änderung der Datenschutzbestimmungen in 20 Jahren - bei XcooBee haben wir sehr hart daran gearbeitet, Systeme zu entwickeln, die den neuen Bestimmungen entsprechen. Noch wichtiger ist, dass wir hart gearbeitet haben, damit Sie XcooBee selbst verwenden können, um die Konformität zu gewährleisten.
XcooBee ist ein Netzwerk für Datenschutz und digitale Rechte, das Benutzern und Unternehmen gleichermaßen hilft. Die DSGVO macht die Bedenken geltend, dass XcooBee einen Teil des rechtlichen Rahmens in der EU anspricht.
Wir möchten sicherstellen, dass Unternehmen die Landschaft und die Änderungen verstehen, die auch ohne den Einsatz von XcooBee erforderlich sind, um bei der Implementierung von Datenschutzkontrollen und Prozessmanagement erfolgreich zu sein.
Laut eugdpr.org ersetzt die DSGVO der EU die Datenschutzrichtlinie 95/46 / EG und wurde entwickelt, um die Datenschutzgesetze in ganz Europa zu harmonisieren, den Datenschutz aller EU-Bürger zu schützen und zu stärken und die Art und Weise, wie Organisationen in der gesamten Region mit Daten umgehen, neu zu gestalten Privatsphäre. Anstatt viele verschiedene Datenschutzbestimmungen zu haben, gibt es jetzt einen Standard für Unternehmen in der gesamten EU.
Ziel der DSGVO ist es, alle EU-Bürger vor Datenschutz und Datenschutzverletzungen in einer zunehmend datengetriebenen Welt zu schützen, die sich stark von der Zeit unterscheidet, in der die Richtlinie von 1995 erlassen wurde. Die Auswirkungen der Verordnung erstrecken sich jedoch über die EU hinaus und umfassen auch alle Unternehmen, die mit EU-Bürgern Geschäfte tätigen, auch wenn sie sich außerhalb der EU befinden.
Erhöhter territorialer Geltungsbereich (extraterritoriale Anwendbarkeit)
Die größte Änderung in der regulatorischen Landschaft des Datenschutzes ergibt sich aus der erweiterten Zuständigkeit der DSGVO. Sie gilt für alle Unternehmen, die personenbezogene Daten von in der Union ansässigen betroffenen Personen verarbeiten, unabhängig vom Standort des Unternehmens. GPDR gilt für die Verarbeitung personenbezogener Daten durch für die Verarbeitung Verantwortliche und Verarbeiter in der EU, unabhängig davon, ob die Verarbeitung in der EU erfolgt oder nicht. Die DSGVO gilt auch für die Verarbeitung personenbezogener Daten betroffener Personen in der EU durch einen für die Verarbeitung Verantwortlichen oder Verarbeiter, der nicht in der EU ansässig ist, wenn sich die Tätigkeiten auf Folgendes beziehen: Angebot von Waren oder Dienstleistungen an EU-Bürger (unabhängig davon, ob eine Zahlung erforderlich ist) und die Überwachung des Verhaltens innerhalb der EU. Nicht-EU-Unternehmen, die Daten von EU-Bürgern verarbeiten, müssen ebenfalls einen Vertreter in der EU ernennen.
Zustimmung
Die Bedingungen für die Einwilligung wurden verschärft, und Unternehmen werden nicht länger in der Lage sein, lange unleserliche Geschäftsbedingungen voller Rechtsprechung zu verwenden. Der Antrag auf Einwilligung muss in verständlicher und leicht zugänglicher Form gestellt werden, wobei der Zweck der Datenverarbeitung mit dieser Einwilligung verbunden ist. Die Zustimmung muss klar und unterscheidbar von anderen Angelegenheiten sein und in einer verständlichen und leicht zugänglichen Form unter Verwendung einer klaren und einfachen Sprache bereitgestellt werden. Es muss so einfach sein, die Zustimmung zu widerrufen wie sie zu erteilen.
Strafen
Im Rahmen der DSGVO können Organisationen, die gegen die DSGVO verstoßen, mit einer Geldstrafe belegt werden 4% des weltweiten Jahresumsatzes oder 20 Millionen Euro(der größere Wert gilt). Dies ist die Höchststrafe, die für die schwerwiegendsten Verstöße verhängt werden kann, z. B. wenn die Zustimmung des Kunden zur Verarbeitung von Daten nicht ausreicht oder der Kern der Konzepte von Privacy by Design verletzt wird. Es gibt einen abgestuften Ansatz für Geldbußen. Zum Beispiel kann ein Unternehmen mit einer Geldstrafe von 2% belegt werden, wenn es seine Unterlagen nicht in Ordnung hat, die Aufsichtsbehörde und die betroffene Person nicht über einen Verstoß informiert oder keine Folgenabschätzung durchführt. Es ist wichtig zu beachten, dass diese Regeln sowohl für Controller als auch für Prozessoren gelten. Dies bedeutet, dass „Clouds“ nicht von der Durchsetzung der DSGVO ausgenommen sind.
Rechte der betroffenen Person
Die Rechte der betroffenen Person (Ihre Rechte) werden auch in der DSGVO erörtert und in mehreren Bereichen gefördert.
Recht auf Zugang
Teil der von der DSGVO festgelegten erweiterten Rechte betroffener Personen ist das Recht der betroffenen Personen, vom für die Verarbeitung Verantwortlichen eine Bestätigung darüber zu erhalten, ob und zu welchem Zweck personenbezogene Daten über sie verarbeitet werden oder nicht. Ferner stellt der für die Verarbeitung Verantwortliche kostenlos eine Kopie der personenbezogenen Daten in elektronischer Form zur Verfügung. Diese Änderung ist eine dramatische Verschiebung in Richtung Datentransparenz und Befähigung der betroffenen Personen.
Benachrichtigung über Verstöße
Nach der DSGVO wird die Meldung von Verstößen in allen Mitgliedstaaten obligatorisch, in denen ein Datenverstoß wahrscheinlich „ein Risiko für die Rechte und Freiheiten von Einzelpersonen darstellt“. Dies muss innerhalb erfolgen 72 Stunden zuerst auf den Verstoß aufmerksam geworden zu sein. Datenverarbeiter müssen ihre Kunden, die für die Verarbeitung Verantwortlichen, „unverzüglich“ benachrichtigen, nachdem sie zum ersten Mal Kenntnis von einem Datenverstoß erlangt haben.
Recht, vergessen zu werden
Das Recht auf Vergessen, auch als Datenlöschung bezeichnet, berechtigt die betroffene Person dazu, dass der für die Datenverarbeitung Verantwortliche seine persönlichen Daten löscht, die weitere Verbreitung der Daten einstellt und möglicherweise die Verarbeitung der Daten durch Dritte einstellt. Die in Artikel 17 dargelegten Löschbedingungen umfassen, dass die Daten für die ursprünglichen Verarbeitungszwecke nicht mehr relevant sind oder dass eine betroffene Person die Einwilligung widerruft. Es sollte jedoch auch beachtet werden, dass dieses Recht erfordert, dass die für die Verarbeitung Verantwortlichen die Rechte der Probanden mit dem „öffentlichen Interesse an der Verfügbarkeit der Daten“ vergleichen, wenn sie solche Anfragen prüfen.
Datenportabilität
Die DSGVO führt die Datenübertragbarkeit ein - das Recht einer betroffenen Person, die sie betreffenden personenbezogenen Daten zu empfangen, die sie zuvor in einem „allgemein verwendeten und maschinenlesbaren Format“ bereitgestellt haben, und das Recht, diese Daten an einen anderen für die Verarbeitung Verantwortlichen zu übertragen.
Datenschutz durch Design
Privacy by Design als Konzept gab es schon früher, aber mit der DSGVO wird es Teil der gesetzlichen Anforderungen. Im Kern erfordert Privacy by Design die Einbeziehung des Datenschutzes ab dem Beginn des Entwurfs von Systemen und nicht eine Ergänzung. Genauer gesagt: „Der für die Verarbeitung Verantwortliche muss geeignete technische und organisatorische Maßnahmen auf wirksame Weise umsetzen, um die Anforderungen dieser Verordnung zu erfüllen und die Rechte der betroffenen Personen zu schützen.“ Darüber hinaus fordert Artikel 23, dass Steuerungen gehalten und verarbeitet werden nur die Daten unbedingt notwendig zur Erfüllung seiner Aufgaben (Datenminimierung) sowie zur Beschränkung des Zugangs zu personenbezogenen Daten auf diejenigen, die die Verarbeitung durchführen müssen.
Datenschutzbeauftragte
Derzeit müssen die für die Verarbeitung Verantwortlichen ihre Datenverarbeitungsaktivitäten bei lokalen Datenschutzbehörden melden. Dies kann für multinationale Unternehmen ein bürokratischer Albtraum sein, da die meisten Mitgliedstaaten unterschiedliche Meldepflichten haben. Nach der DSGVO ist es nicht erforderlich, jeder lokalen Datenschutzbehörde Benachrichtigungen / Registrierungen über Datenverarbeitungsaktivitäten zu übermitteln, und es ist auch nicht erforderlich, eine Genehmigung für Übertragungen auf der Grundlage der Mustervertragsklauseln (MCCs) zu melden / einzuholen. Stattdessen werden interne Aufzeichnungen erforderlich sein, wie weiter unten erläutert wird, und die Ernennung zum Datenschutzbeauftragten ist nur für diejenigen Controller und Verarbeiter obligatorisch, deren Kernaktivitäten aus Verarbeitungsvorgängen bestehen, die eine regelmäßige und systematische Überwachung der betroffenen Personen in großem Umfang oder von besonderer Bedeutung erfordern Kategorien von Daten oder Daten in Bezug auf strafrechtliche Verurteilungen und Straftaten. Wichtig ist, dass der Datenschutzbeauftragte:
- Muss auf der Grundlage von beruflichen Qualitäten und insbesondere von Expertenwissen zu Datenschutzgesetzen und -praktiken ernannt werden
- Kann ein Mitarbeiter oder ein externer Dienstleister sein
- Die Kontaktdaten müssen der zuständigen Datenschutzbehörde mitgeteilt werden
- Muss mit geeigneten Ressourcen ausgestattet sein, um ihre Aufgaben zu erfüllen und ihr Expertenwissen aufrechtzuerhalten
- Muss direkt an die höchste Führungsebene berichten
- Darf keine anderen Aufgaben ausführen, die zu einem Interessenkonflikt führen könnten.
Bei XcooBee bieten wir Lösungen an, um Unternehmen mit vielen Facetten zu helfen, die bei der Einhaltung der DSGVO helfen. In unseren ausführlichen Beiträgen erfahren Sie, wie wir Unternehmen bei der Bewältigung der Herausforderungen der DSGVO unterstützen können.