DSGVO - Datenschutz-Grundverordnung
Am 25. Mai 2018 tritt DSGVO (Datenschutz-Grundverordnung) in Kraft. Dieser normative Rechtsakt ist auf den Schutz personenbezogenen Daten gerichtet. Er umfasst eine Reihe von Besonderheiten in Bezug darauf, dass seine Wirkung die Geschäftstätigkeit in der Ukraine mit den Staatsangehörigen der EU völlig oder teilweise berühren kann.
Neue Gesetzgebung ersetzt die Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.
In den Materialien zu diesem Kommentar helfen wir Ihre Unternehmenstätigkeit an neue Gesetzgebung anzupassen.
Begriffe und Termine
Geltungsbereich
Gesetzliche Datenverarbeitung
Verbot der Verarbeitung von einzelner Datengruppe
Verantwortung im Fall der Verbotsverletzung
Handlungen im Fall der Nichtbeachtung von DSGVO durch eine Partei
Informationsverschlüsselung
Begrenzung von Datenspeicherung
Rechte der betroffenen Person
Zertifizierung
Vorbereitung zur DSGVO
Schlussfolgerungen
Begriffe und Termine
DSGVO definiert die Verarbeitung personenbezogener Daten als einen Vorgang, der automatisch oder auf andere Weise mit personenbezogenen Daten durchgeführt wird, einschließlich Sammlung, Aufnahme, Ermittlung, Prüfung, Nutzung, Offenlegung, Verbreitung oder jeder anderer Art von Veröffentlichung, Zerstörung usw.
Datenschutz-Grundverordnung ist ein neues Verfahren zur Verarbeitung personenbezogener Daten. Neu ist, dass sie nicht nur in EU-Ländern verbreitet wird, sondern auch extraterritorial für alle Personen gilt, die der EU-Gesetzgebung unterliegen. Dies wird in folgenden Fällen verwendet, wenn das Unternehmen personenbezogene Daten der in der EU ansässigen Personen verarbeitet oder wenn ukrainisches Unternehmen in der EU gegründet wurde oder wenn es dort eine Niederlassung hat.
Es ist notwendig die Begriffe von DSGVO sofort zu definieren, um nachfolgend besser zu verstehen, wer zu den betroffenen Personen gehört:
Der Verantwortliche ist derjenige, der die Daten sammelt, den Zweck und die Ziele eines solchen Vorgangs bestimmt.
Der Verarbeiter - eine natürliche oder juristische Person, die personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet.
Personenbezogene Daten – alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen.
Geltungsbereich
Die Verordnung wurde nur zum Datenschutz aller in Europa lebenden Personen erstellt. Dies gilt also für die Ukraine nur im Falle des vollständigen Beitritts zur EU oder bei der Datenverarbeitung von EU-Benutzern. Wenn die Dienstleistungen oder Waren eines Unternehmens potenziell von europäischen Benutzern verwendet werden können (die Webseite auf Englisch, das Unternehmen liefert seine Waren in die EU oder verarbeitet die Daten von europäischen Benutzern), muss solches Unternehmen den DSGVO-Anforderungen entsprechen.
Gesetzliche Datenverarbeitung
Die Verarbeitung personenbezogener Daten gilt als gesetzlich nur unter folgenden Bedingungen:
- die betroffene Person hat die Einwilligung zur Verarbeitung personenbezogener Daten erteilt;
- solche Handlungen sind für die Vertragserfüllung erforderlich;
- existenzielle Interessen der Person werden geschützt;
- die Datenverarbeitung ist notwendig für die Befriedigung der Bedürfnisse und im Interesse der Gemeinschaft;
- die Datenverarbeitung ist zum Zwecke des Schutzes der gesetzlichen Interessen des Verantwortlichen oder des Dritten erforderlich, insbesondere wenn es sich um ein Kind handelt.
Verbot der Verarbeitung von einzelner Datengruppe
Die Verordnung erlaubt keine Verarbeitung von Daten, die die Person direkt oder indirekt identifizieren können, wie z. B. biologischer oder genetischer Kode, Hautfarbe, Haarfarbe, Augenfarbe, Schuhgröße, Kleidung, körperlicher und moralischer Stand, etc.
Es gibt jedoch eine Reihe von Ausnahmen der Datenverarbeitung im Rahmen der gesetzlichen Bestimmungen. Zum Beispiel, wenn diese Daten von einer Person veröffentlicht wurden oder wenn individuelle Einwilligung zur Verarbeitung von solcher Daten durch diese Person erteilt wurde.
Handlungen im Fall der Nichtbeachtung von DSGVO
Bei einem Verstoß gegen die Anforderungen können solche Folgen auftreten:
- Verwarnung, wenn der Verstoß zum ersten Mal und unabsichtlich durchgeführt wurde;
- Durchführung von Untersuchungen im Zusammenhang mit der Qualität des Datenschutzes;
- Auferlegung einer Strafe bis zu 10 Millionen Euro oder bis zu 2 % des gesamten Jahresumsatzes des Unternehmens (im Vorjahr);
- Auferlegung einer Strafe bis zu 20 Millionen Euro oder bis zu 4% des gesamten Jahresumsatzes des Unternehmens, abhängig davon, welcher Wert höher ist.
Informationsverschlüsselung
Die Verordnung empfiehlt ordnungsmäßigen Schutz personenbezogener Daten mit der Anwendung von technischen und organisatorischen Mitteln, wie z.B. Verschlüsselung, sicherzustellen.
In der DSGVO wird ein Begriff wie Pseudonimisierung verwendet, das bedeutet, dass die Informationen so geändert oder transformiert werden, dass im Falle eines Informationsverlustes die Person vollständig oder teilweise nicht identifiziert werden kann.
Begrenzung von Datenspeicherung
Eines der Prinzipien der DSGVO ist das Prinzip der Begrenzung von Datenspeicherung – die Speicherung in einer Form, die ermöglicht betroffene Personen nicht länger zu identifizieren, als es für die Zwecke ihrer Bearbeitung erforderlich ist; vertrauliche Informationen können für einen längeren Zeitraum gespeichert werden, wenn sie ausschließlich zu den Zwecken der öffentlichen Interesse, der wissenschaftlichen oder historischen Forschung oder zu mathematischen Zwecken verarbeitet werden.
Rechte der betroffenen Person
Jeder hat:
- Recht auf "Vergessenwerden"
- Recht auf Korrektur
- Widerspruchsrecht
- Zugangsrecht
- Recht auf Einschränkung
Zertifizierung
Die Zertifizierung ist freiwillig, sie verringert nicht die Verantwortung des Verantwortlichen oder des Verarbeiters, und begrenzt die Aufgaben und Befugnisse der Aufsichtsbehörden nicht.
Die Zertifizierung wird einem Verantwortlichen oder einem Verarbeiter für eine Dauer bis zu drei Jahren ausgestellt und kann zu denselben Bedingungen verlängert werden, wenn entsprechende Anforderungen weiterhin erfüllt sind. Die Zertifizierung wird gegebenenfalls von den im Artikel 43 genannten Zertifizierungsstellen oder von der zuständigen Aufsichtsbehörde widerrufen, wenn die Anforderungen für die Zertifizierung nicht erfüllt wurden oder nicht mehr erfüllt werden.
Vorbereitung zur DSGVO
Um sich zu den Regeln der neuen Verordnung vorzubereiten, sind drei Komponenten Ihres Unternehmens aufeinander abzustimmen:
Äußere
Beinhaltet die Entwicklung einer neuen, entsprechenden Datenschutzrichtlinie, Benutzereinwilligung, Cookie-Richtlinie und Zertifizierung.
Innere
Enthält einige Anweisungen für Mitarbeiter. Dazu gehört auch die sogenannte "Datenkarte", das Verfahren zur Erhebung, Verarbeitung, Übermittlung, Speicherung und Löschung personenbezogener Daten. Es sollte nicht nur für die Mitarbeiter, sondern auch für die Benutzer relevant und zugänglich sein, da sie wissen müssen, was mit den von ihnen bereitgestellten Daten geschehen wird.
Technische
Sie ist von innerer und äußerer Komponente getrennt, aber gleichzeitig mit ihnen verbunden.
Beinhaltet sogenannte "Eisen" und "Software". Das heißt die Entwicklung von entsprechenden Verschlüsselungsalgorithmen, Möglichkeiten der Webseite, der Server, die Erstellung entsprechender Speicherbasen und Server für die Übertragung, Löschung und Bearbeitung von Informationen.
Außenbild und Struktur der Webseite
Um zu verstehen, wie eine Webseite aussehen soll, haben wir 15 klare Punkte für jedes Unternehmen vorbereitet, das über eine eigene Internet-Ressource verfügt.
Den Umfang von Datensammlung durchführen und sich fragen, ob Sie diese Daten wirklich benötigen? Solche Daten, wie der Familienstand des Kunden, der Lieblingssport, der Gesundheitszustand.
Es wird empfohlen, die von Ihnen verarbeiteten Daten zu verschlüsseln, um die Folgen eines möglichen Datenverlustes in der Zukunft zu verringern (siehe Abschnitt über Pseudonyme). Es gibt auch ein spezielles „End-to-End-Verfahren“.
Führen Sie verbindlich HTTPs. Dies ist eine elementare Form der Datenverschlüsselung, die ebenfalls von entscheidender Bedeutung sein kann.
Verzichten Sie auf die Annahme einer Einwilligung „als Standard-Einstellung“, das bedeutet, dass frühzeitig gestellten Anzeichen für eine Einwilligung fehlen sollen.
Bekommen Sie die Einwilligung teilweise. Wenn Sie ein E-Mail benötigen, brauchen Sie nur die Einwilligung des Benutzers zum E-Mail-Versand. Andere Informationen, wie Telefonnummer und Standort müssen gesondert angefordert werden.
Stellen Sie sicher, dass Sie alle Dritten, an die Sie Daten übermitteln werden oder übermitteln können, ins „Einwilligungsformular“ aufnehmen.
Trennen Sie das "Einwilligungsformular" für die Datenverarbeitung von anderen Einwilligungsformen. Keine Ansammlungen von großen Textteilen mehr!
Stellen Sie sicher, dass Ihre Benutzer Ihr Einwilligungsformular sehen und nicht danach suchen.
Ermöglichen Sie Benutzern ihre Einwilligung „zurückzunehmen“.
Ändern Sie Ihre Cookie-Politik. Wenn der Benutzer die Seite zum ersten Mal besucht, haben Sie kein Recht ihn betreffende Informationen zu sammeln, auch wenn Ihre Webseite den Satz „Durch den Zugriff dieser Seite haben Sie automatisch in die Datensammlung von Cookies eingewilligt“ hat. Bei der Abmeldung des Benutzers sind Sie verpflichtet, alle ihn betreffenden Daten zu löschen, auch wenn er der Sammlung von Cookies zugestimmt hat.
Vermeiden Sie die Sicherheitsfragen, die mit personenbezogenen Daten zusammenhängen können. Keine Mädchennamen der Mutter mehr, keine Vornamen der Katzen usw. Dies ist durch neue Verordnung verboten.
Bei der Verwendung von mit der IP-Adresse gebundenen Informationen sind Sie verpflichtet, die Benutzer über die Dauer und Weise der Datenspeicherung zu benachrichtigen.
Bei der Nutzung der „Zahlungsformen“ verpflichten Sie sich nach der Durchführung solcher Zahlung die Zahlungsdaten und alle damit gebundenen Informationen zu löschen.
Wenn Sie das Verhalten eines Benutzers auf Ihrer Webseite verfolgen, um ihm dann bessere Vorschläge anzubieten, müssen Sie jetzt eine Einwilligung zu solchen Handlungen bekommen.
Wenn der Benutzer auf die Nutzung verzichtet hat - löschen Sie seine Daten. Die Benutzerdaten sind ausschließlich sein Eigentum.
Vorbereitung des Unternehmens zur DSGVO
Zuerst müssen Sie eine sogenannte „Karte“ mit personenbezogenen Daten erstellen.
Auf der „Karte“ ist anzugeben, woher die Daten stammen (Accountberechtigung, manuelle Sammlung und Eintragung, automatische Datensammlung im Internet usw.)
Die „Karte“ soll verdeutlichen, wohin diese Daten kommen, wer sie übernimmt, wie sie verarbeitet werden, von wem und wie sie übermittelt werden können.
Es ist auch zu beachten, welche Informationen gesammelt und wie lange sie verarbeitet und gespeichert werden.
Es soll auch angegeben werden, in welchen Fällen die Daten an Dritte weitergegeben werden.
Es muss eine neue Datenschutzrichtlinie erstellt werden, die klar und kurz ist und keine unnötigen Informationen enthält.
Der nächste Schritt für eine solche Prüfung ist die Durchführung einer Risikobewertung.
Sie müssen feststellen, ob Ihre Daten verschlüsselt sind, oder gibt es eine theoretische Möglichkeit, sie zu verlieren? Entspricht Ihre Datenschutzrichtlinie den Anforderungen? Haben Sie entsprechende Spezialisten auf diesem Gebiet?
Und das Letzte, was Sie tun müssen, ist alle Probleme und Lücken zu beseitigen, das bedeutet - die Einstellung des entsprechenden Spezialisten, die Datenverschlüsselung, die Erstellung der neuen Datenschutzrichtlinie.
Maßnahmen nach der Durchführung der Risikoanalyse und Risikobewertung
Sie müssen den richtigen Spezialisten finden, die Anweisungen für den Umgang der Mitarbeiter mit Speicher- und Datenverarbeitungssystemen entwickeln, entsprechende Vereinbarungen zur Verarbeitung personenbezogener Daten mit Partnern abschließen.
Es ist sehr wichtig zu verstehen, dass beim Datenverlust durch einen Ihrer Partner die Datenvertraulichkeit verletzt wird und Sie den DSGVO-Anforderungen nicht mehr entsprechen, weil die Kette der Informationsübermittlung und des Informationsschutzes unterbrochen wurde, das bedeutet, dass ein Informationsverlust passierte.
Schlussfolgerungen
Ziel der Verordnung ist es nicht nur das Niveau der „Datensicherheit“ und deren Verarbeitung zu erhöhen, sondern auch die Sammlung solcher Informationen zu verbessern. Das heißt, es soll keine Einwilligung „als Standard-Einstellung“ oder "Einwilligung zu allem" mehr geben. Für alle von der Person eingegebenen Informationen muss eine entsprechende, spezifische Einwilligung sein.
Wir glauben, dass die wichtigste Neuigkeit der Verordnung die Einführung von solchen Begriffen, wie der Verantwortliche, der Verarbeiter und der Datenschutzbeauftragte ist, die die Voraussetzungen für technische und organisatorische Unterstützung schaffen sollen, was die Entsprechung den Anforderungen für die Einhaltung der Rechte der betroffenen Person gewährleisten wird.
Nach einer Analyse der Einführung der DSGVO sind wir zum Schluss gekommen, dass diese Verordnung ermöglicht sichere Rechtsgrundlagen für den Schutz personenbezogener Daten von EU-Bürgern unabhängig von ihrem Wohnort zu schaffen, und infolgedessen wird dieser Schutz auf das globale Informationssicherheitssystem einen Einfluss haben.
Wenn wir diese Frage im Hinblick auf die Ukraine und ukrainische Organisationen untersuchen, können wir behaupten, dass die Einführung der Verordnung zweifellos die Stabilität bringt, eine neue Plattform und ein günstiges Klima für Geschäftsführung im Bereich der Zusammenarbeit mit ausländischen Bürgern schaffen wird.