Organisationen auf der ganzen Welt werden bald kollektiv aufatmen, wenn die bevorstehende GDPR-Frist endlich in Kraft tritt. In diesem Beitrag haben wir eine GDPR-Checkliste für die
Nach all den Planungen und Vorbereitungen, die in den letzten zwei Jahren stattgefunden haben, wird die Datenschutz-Grundverordnung am 25. Mai offiziell in Kraft treten und die derzeitigen Datenschutzvorschriften vollständig überarbeiten, wodurch die EU-Bürger mehr Kontrolle über ihre Daten erhalten.
In letzter Minute haben sich viele Unternehmen beeilt, um sicherzustellen, dass sie die neue Verordnung einhalten und nicht für die hohen Geldstrafen haften, die bei Nichteinhaltung verhängt werden. Es wird eine Reihe von Unternehmen geben, die sich die Zeit genommen haben, ihre GDPR-Planung methodisch durchzuarbeiten, und andere, die alles bis zur letzten Minute aufgeschoben haben.
Unabhängig davon, in welchem Stadium Sie sich auf Ihrem Weg zur DSGVO befinden, gibt Ihnen unsere abschließende Checkliste einige Leitlinien an die Hand, was Sie tun müssen, um sicherzustellen, dass Sie auf die bevorstehenden Änderungen vorbereitet sind, und welche Schritte Sie unternehmen müssen, um die Einhaltung der Vorschriften in Zukunft nachzuweisen.
1. Identifizieren Sie alle personenbezogenen Daten, über die Sie verfügen
Die EU definiert "personenbezogene Daten" als alle Informationen, die zur direkten oder indirekten Identifizierung einer Person (der betroffenen Person) verwendet werden können. Dazu gehört alles von einem Namen, einer E-Mail-Adresse, einer IP-Adresse und Bildern. Dazu gehören auch sensible personenbezogene Daten wie biometrische Daten oder genetische Daten, die zur Identifizierung einer Person verarbeitet werden könnten.
Wenn Ihre Organisation Daten von europäischen Bürgern verarbeitet, müssen Sie ein Audit durchführen, um dies herauszufinden:
- Welche Daten werden gesammelt?
- Woher werden die Daten bezogen?
- Warum werden die Daten gesammelt?
- Wie wird es verarbeitet?
- Wer hat Zugang?
- Wie lange werden die Daten gespeichert?
- Wohin werden die Daten übertragen?
- Werden alle Daten benötigt?
2. Informieren Sie Ihre persönlichen Datenbearbeiter
Ein Verantwortlicher für personenbezogene Daten ist jede Person innerhalb Ihrer Organisation, die befugt ist, personenbezogene Daten zu verarbeiten und zu nutzen. Die Zuständigkeiten werden oft auf Abteilungsbasis zugewiesen. Im Idealfall hat jeder Geschäftsbereich einen Datenschutzbeauftragten, der sich mit dem Umgang mit personenbezogenen Daten, deren Verarbeitung und den Datenschutzpraktiken auskennt. Die Ernennung eines Beauftragten für den Umgang mit personenbezogenen Daten wird die Einhaltung der Vorschriften in Ihrem Unternehmen erleichtern.
3. Die Einwilligung der betroffenen Person verstehen
Die DSGVO schreibt vor, dass die ausdrückliche Zustimmung des Nutzers vorliegen muss. Diese Einwilligung muss für Berichts- und Prüfverfahren aufgezeichnet werden. Beruht die Verarbeitung auf der Einwilligung einer betroffenen Person, kann sie diese Einwilligung jederzeit widerrufen. Sie haben auch das Recht zu erfahren, wie lange ihre personenbezogenen Daten für eine künftige Verarbeitung aufbewahrt werden. Wenn Ihre Organisation Daten von minderjährigen Personen verarbeitet, müssen Sie sicherstellen, dass Sie über geeignete Systeme verfügen, um das Alter der Personen zu überprüfen und die Zustimmung der Erziehungsberechtigten einzuholen.
Die betroffenen Personen sollten klare und leicht verständliche Mitteilungen erhalten. Sie sollten auch das Recht haben, zu erfahren, welche Garantien zum Schutz ihrer personenbezogenen Daten vorhanden sind und ob Dritte an der Verarbeitung ihrer Daten beteiligt sind.
4. Aktualisierung der Verfahren für die Bearbeitung von Anträgen der betroffenen Personen
Organisationen müssen über Verfahren verfügen, um Anfragen von Betroffenen zu bearbeiten. Die betroffenen Personen müssen die Möglichkeit haben, ihre Rechte kostenlos wahrzunehmen, und die Organisationen müssen dem Antrag innerhalb eines Monats nach Eingang des Antrags nachkommen, wobei je nach Komplexität und Anzahl der Anträge eine Verlängerung von maximal zwei Monaten möglich ist.
5. Plan zur Identifizierung von Datenschutzverletzungen und zur Reaktion darauf
Sobald Organisationen wissen, dass eine Verletzung des Datenschutzes im Gange ist, besteht das unmittelbare Anliegen darin, die Fortsetzung der Verletzung zu verhindern. Die Datenschutz-Grundverordnung schreibt vor, dass Organisationen jede Verletzung des Schutzes personenbezogener Daten innerhalb von 72 Stunden nach ihrer Entdeckung der zuständigen Aufsichtsbehörde melden müssen.
Besteht aufgrund der Verletzung ein hohes Risiko, dass die Rechte und Freiheiten einer Person beeinträchtigt werden, so muss diese Person unverzüglich benachrichtigt werden.
Unternehmen sollten über einen Plan zur Reaktion auf Vorfälle verfügen, in dem beschrieben wird, wie Vorfälle erkannt werden, wer eingeschaltet wird, wie die Bedrohung eingedämmt und beseitigt wird und wie das Unternehmen den Verstoß dokumentiert und darüber berichtet.
6. Nachweis des Verständnisses des Datenschutzes
Unternehmen müssen nachweisen, dass ihre Mitarbeiter die GDPR-Richtlinien sowohl gelesen als auch verstanden haben. Wenn sie in der Lage sind, diesen Nachweis zu erbringen, sind sie in einer starken Position, um zu zeigen, dass "Datenschutz" zu einem integralen Bestandteil ihrer täglichen Arbeit geworden ist. eLearning ist eine der besten Möglichkeiten, um sicherzustellen, dass die Mitarbeiter die GDPR-Richtlinien vollständig verstehen.
Ein eLearning-Programm gewährleistet nicht nur die Effektivität der Lernerfahrung, sondern ermöglicht es den Organisationen auch, die ordnungsgemäße Verbreitung von Maßnahmen auf sinnvolle und messbare Weise nachzuweisen.
7. Bericht über laufende Compliance-Bemühungen
Die Datenschutz-Grundverordnung verlangt, dass Unternehmen die Wirksamkeit personenbezogener Daten im Zusammenhang mit betrieblichen Verfahren bewerten. Regelmäßige Bewertungen der Compliance-Bemühungen und eine Berichtsstruktur ermöglichen es den Unternehmen, gegenüber der Geschäftsleitung, den Interessengruppen und den Aufsichtsbehörden Rechenschaft abzulegen, falls dies erforderlich ist. Die Wirksamkeit eines laufenden Compliance-Programms erfordert die Verfolgung messbarer Kennzahlen und die Anpassung von Prozessen, wenn Unstimmigkeiten festgestellt werden.
8. Überprüfung der Cybersicherheit durchführen
Die Computerkriminalität entwickelt sich weiter und nimmt rasant zu. Sie stellt für Unternehmen in aller Welt eine echte Gefahr dar. Unternehmen müssen prüfen, wie sicher ihr Netzwerk ist, wie leicht es angegriffen werden kann, ob die Daten verschlüsselt sind und ob die Mitarbeiter geschult sind, die Risiken zu erkennen.
Die meisten Datenschutzverletzungen beginnen mit einer einfachen Phishing-E-Mail. Daher ist es wichtig, dass Unternehmen in die Schulung ihrer Mitarbeiter investieren, damit sie diese Bedrohungen erkennen und angemessen darauf reagieren können.
Die bevorstehende GDPR-Frist ist keineswegs ein Endpunkt für die Einhaltung der Vorschriften. Die DSGVO wird sich im Laufe der Zeit weiterentwickeln, und die Unternehmen müssen ihre Prozesse und Systeme ständig aktualisieren, um die Verordnung einzuhalten.
Wenn Sie mehr darüber erfahren möchten, wie Ihr Unternehmen die Einhaltung der DSGVO verbessern kann, klicken Sie hier, um herauszufinden, wie MetaCompliance Ihnen helfen kann.
GDPR für Dummies
Wenn Sie ein Exemplar unseres Leitfadens "GDPR für Dummies" absolut KOSTENLOS erhalten möchten, klicken Sie bitte auf das folgende Bild
Leicht verständliche GDPR-Mitarbeiterschulung
In Kombination mit dem Leitfaden GDPR für Dummies ermöglichen unsere mundgerechten Nano-Videos Ihren Mitarbeitern, die wichtigsten Aspekte der GDPR zu verstehen. Dies ist das hochwertigste GDPR-Schulungsprogramm auf dem Markt. Finden Sie heraus, warum unsere Kunden bei ihren GDPR-Projekten Fortschritte machen.
HAFTUNGSAUSSCHLUSS: Der Inhalt und die Meinungen in diesem Blog dienen nur zu Informationszwecken. Sie stellen keine Rechtsberatung oder sonstige professionelle Beratung dar und sollten nicht als Ersatz für eine spezifische Beratung in Bezug auf bestimmte Umstände, das Datenschutzgesetz oder andere aktuelle oder künftige Rechtsvorschriften betrachtet werden. MetaCompliance übernimmt keine Verantwortung für etwaige Fehler, Auslassungen oder irreführende Aussagen oder für Verluste, die sich aus dem Vertrauen auf die in diesem Blog enthaltenen Materialien ergeben könnten.
