Einleitung
Die EU-Datenschutz-Grundverordnung (DSGVO) tritt am 25. Mai 2018 in der gesamten Europäischen Union in Kraft und bringt die wichtigsten Änderungen des Datenschutzrechts seit zwei Jahrzehnten mit sich. Basierend auf der Privatsphäre durch Design und einem risikobasierten Ansatz wurde die DSGVO entwickelt, um den Anforderungen des digitalen Zeitalters gerecht zu werden.
Das 21. Jahrhundert bringt einen breiteren Einsatz von Technologie, neue Definitionen dessen, was personenbezogene Daten ausmacht, und eine enorme Zunahme der grenzüberschreitenden Verarbeitung mit sich. Die neue Verordnung zielt darauf ab, die Datenschutzgesetze und die Verarbeitung in der gesamten EU zu vereinheitlichen; den Einzelnen ein stärkeres, konsequenteres Recht auf Zugang und Kontrolle ihrer personenbezogenen Daten zu gewähren.
Unser Comittment
CEMPaC (“wir” oder “uns” oder “unser”) verpflichtet sich, die Sicherheit und den Schutz der von uns verarbeiteten personenbezogenen Daten zu gewährleisten und einen konformen und konsistenten Ansatz für den Datenschutz zu bieten. Wir haben immer ein robustes und effektives Datenschutzprogramm, das den geltenden Gesetzen und den Datenschutzgrundsätzen entspricht. Wir erkennen jedoch unsere Verpflichtungen an, dieses Programm zu aktualisieren und zu erweitern, um den Anforderungen der Datenschutz-Grundverordnung (DSGVO) 2018 sowie der Datenschutzgesetze 1988 und 2003 in Bezug auf die Erhebung und Nutzung personenbezogener Daten gerecht zu werden.
CEMPaC hat es sich zur Aufgabe gemacht, die personenbezogenen Daten im Rahmen unserer Aufgaben zu schützen und ein Datenschutzsystem zu entwickeln, das wirksam, zweckdienlich und ein Verständnis und eine Wertschätzung für die neue Verordnung ist. Unsere Vorbereitung und Ziele für die Einhaltung der DSGVO wurden in dieser Erklärung zusammengefasst und umfassen die Entwicklung und Umsetzung neuer Datenschutzrollen, Richtlinien, Verfahren, Kontrollen und Maßnahmen, um eine maximale und kontinuierliche Einhaltung zu gewährleisten.
Wie wir uns auf die DSGVO vorbereiten
CEMPaC verfügt bereits über ein einheitliches Datenschutz- und Sicherheitsniveau in unserer gesamten Organisation, aber unser Ziel ist es, bis zum 25. Mai 2018 vollständig mit der DSGVO konform zu sein. Unsere Vorbereitung umfasst: –
- Informationsaudit – Durchführung eines unternehmensweiten Informationsaudits, um zu ermitteln und zu bewerten, welche personenbezogenen Daten wir besitzen, woher sie stammen, wie und warum sie verarbeitet werden und ob und an wen sie weitergegeben werden.
- Richtlinien und Verfahren – Umsetzung neuer Datenschutzrichtlinien und -verfahren zur Erfüllung der Anforderungen und Standards der DSGVO und aller einschlägigen Datenschutzgesetze, einschließlich:
- Datenschutz – unser wichtigstes Richtlinien- und Verfahrensdokument für den Datenschutz wurde überarbeitet, um die Standards und Anforderungen der DSGVO zu erfüllen. Rechenschaftspflicht und Governance-Maßnahmen sind vorhanden, um sicherzustellen, dass wir unsere Verpflichtungen und Verantwortlichkeiten verstehen und angemessen verbreiten und nachweisen; mit einem speziellen Fokus auf Privatsphäre durch Design und die Rechte des Einzelnen.
- Vorratsdatenspeicherung & -erasure – Wir haben unsere Aufbewahrungsrichtlinien und unseren Zeitplan aktualisiert, um sicherzustellen, dass wir die Grundsätze der “Datenminimierung” und “Speicherbeschränkung” erfüllen und dass personenbezogene Daten konform und ethisch korrekt gespeichert, archiviert und vernichtet werden. Wir haben spezielle Löschungsverfahren eingerichtet, um der neuen Verpflichtung zum “Recht auf Löschung” nachzukommen, und sind uns bewusst, wann die Rechte dieser und anderer betroffener Personen gelten; sowie Ausnahmen, Reaktionsfristen und Benachrichtigungspflichten.
- Datenschutzverletzungen – Unsere Verletzungsverfahren stellen sicher, dass wir über Sicherheitsvorkehrungen und Maßnahmen zur Identifizierung, Bewertung, Untersuchung und Meldung von Verletzungen personenbezogener Daten zum frühestmöglichen Zeitpunkt verfügen.
- Internationale Datenübertragungen & Offenlegungen Dritter – wenn CEMPaC personenbezogene Daten außerhalb der EU speichert oder überträgt, verfügen wir über robuste Verfahren und Schutzmaßnahmen zur Sicherung, Verschlüsselung und Aufrechterhaltung der Integrität der Daten.
- Subject Access Request (SAR) – Wir haben unsere SAR-Verfahren überarbeitet, um den überarbeiteten 30-Tage-Zeitrahmen für die Bereitstellung der angeforderten Informationen und für die kostenlose Bereitstellung dieser Bestimmung zu berücksichtigen. In unseren neuen Verfahren wird detailliert beschrieben, wie die betroffene Person überprüft werden kann, welche Schritte für die Bearbeitung einer Zugriffsanforderung zu unternehmen sind, welche Ausnahmen gelten und welche Antwortvorlagen es sich erstellt, um sicherzustellen, dass die Kommunikation mit den betroffenen Personen konform, konsistent und angemessen ist.
- Rechtsgrundlage für die Verarbeitung – Wir überprüfen alle Verarbeitungsaktivitäten, um die Rechtsgrundlage für die Verarbeitung zu ermitteln und sicherzustellen, dass jede Grundlage für die Tätigkeit, auf die sie sich bezieht, geeignet ist. Gegebenenfalls führen wir auch Aufzeichnungen über unsere Verarbeitungsaktivitäten, um sicherzustellen, dass unsere Verpflichtungen nach Artikel 30 dSGVO und Zeitplan 1 des Datenschutzgesetzes erfüllt werden.
- Datenschutzerklärung/-richtlinie – Wir überarbeiten unsere Datenschutzhinweise, um die DSGVO einzuhalten, und stellen sicher, dass alle Personen, deren personenbezogene Daten wir verarbeiten, darüber informiert wurden, warum wir sie benötigen, wie sie verwendet werden, welche Rechte sie haben, an wen die Informationen weitergegeben werden und welche Schutzmaßnahmen zum Schutz ihrer Informationen getroffen werden.
- Einholen der Einwilligung – wir haben unsere Zustimmungsmechanismen für die Beschaffung personenbezogener Daten überarbeitet, um sicherzustellen, dass Einzelpersonen verstehen, was sie bereitstellen, warum und wie wir sie verwenden, und klare, definierte Möglichkeiten gegeben, der Verarbeitung ihrer Daten zuzustimmen. Wir haben strenge Verfahren zur Erfassung der Einwilligung entwickelt, um sicherzustellen, dass wir ein positives Opt-in sowie Zeit- und Datumsaufzeichnungen nachweisen können; und eine leicht zu erkennende und zugängliche Möglichkeit, die Einwilligung jederzeit zu widerrufen.
Rechte der Betroffenen
Zusätzlich zu den oben genannten Richtlinien und Verfahren, die sicherstellen, dass Einzelpersonen ihre Datenschutzrechte durchsetzen können, bieten wir über unsere Website leicht zugängliche Informationen über das Recht einer Person auf Zugang zu allen personenbezogenen Daten, die CEMPaC über sie verarbeitet, und informationen über : –
- Welche personenbezogenen Daten wir über sie halten
- Die Zwecke der Verarbeitung
- Die betroffenen Kategorien personenbezogener Daten
- Die Empfänger, an die die personenbezogenen Daten weitergegeben werden sollen/werden
- Wie lange beabsichtigen wir, Ihre personenbezogenen Daten für
- Wenn wir die Daten nicht direkt von ihnen erhoben haben,
- Das Recht auf Berichtigung oder Vervollständigung unvollständiger oder unrichtiger Daten über sie und der Prozess zur Beantragung dieser
- Das Recht, die Löschung personenbezogener Daten (sofern zutreffend) zu verlangen oder die Verarbeitung in Übereinstimmung mit den Datenschutzgesetzen einzuschränken, sowie Widerspruch gegen jegliches Direktmarketing von uns einzuwenden und über jede automatisierte Entscheidungsfindung, die wir verwenden, informiert zu werden
- Das Recht, eine Beschwerde einzureichen oder gerichtlichen Rechtsbehelf einzulegen und an wen in solchen Fällen Kontakt zu setzen
Informationssicherheit & technische und organisatorische Maßnahmen
CEMPaC nimmt die Privatsphäre und Sicherheit von Personen und ihren personenbezogenen Daten sehr ernst und nimmt alle angemessenen Maßnahmen und Vorsichtsmaßnahmen, um die von uns verarbeiteten personenbezogenen Daten zu schützen und zu sichern. Wir verfügen über robuste Richtlinien und Verfahren zur Informationssicherheit, um personenbezogene Daten vor unbefugtem Zugriff, Veränderung, Offenlegung oder Zerstörung zu schützen, und verfügen über mehrere Ebenen von Sicherheitsmaßnahmen, einschließlich SSL, Zugriffskontrollen, Kennwortrichtlinien, Verschlüsselungen, Praktiken, Einschränkung, IT, Authentifizierung.
DSGVO-Rollen und Mitarbeiter
EHFF hat eine benannte Person als unseren Datenschutzbeauftragten, um unseren Fahrplan für die Einhaltung der neuen Datenschutzverordnung zu entwickeln und umzusetzen. Unser DSB verwaltet auch die gleichen Anforderungen an CEMPaC. Der DSB ist verantwortlich für die Sensibilisierung für die DSGVO in den beiden Organisationen, die Bewertung unserer DSGVO-Bereitschaft, die Ermittlung von Lückenbereichen und die Umsetzung der neuen Politiken, Verfahren und Maßnahmen.
Wir verstehen, dass ein kontinuierliches Bewusstsein und Verständnis der Mitglieder für die weitere Einhaltung der DSGVO von entscheidender Bedeutung ist und unsere Mitglieder in unsere Vorbereitungspläne einbeziehen werden.
Wenn Sie Fragen zu unserer Vorbereitung auf die DSGVO haben, wenden Sie sich bitte an c.somekh@ehff.eu.