Die neue EU-Datenschutz- Grundverordnung Die wichtigsten Neuerungen im Überblick und wie diese in der Raiffeisen Informatik umgesetzt werden.

Transkript

1 Die neue EU-Datenschutz- Grundverordnung Die wichtigsten Neuerungen im Überblick und wie diese in der Raiffeisen Informatik umgesetzt werden

2 Übersicht Wesentliche Neuerungen Die Umsetzung in der Raiffeisen Informatik BITT

3 Wesentliche Neuerungen BITT

4 Datenschutzgrundverordnung Die Datenschutzgrundverordnung bringt eine Neuordnung des europäischen Datenschutzrechts. Eine Vielzahl an neuen Anforderungen (DSB-Bestellung, VvV, DS-Folgenabschätzungen, Datensparsamkeit, Informationspflichten, Datenübertragbarkeit) müssen umgesetzt werden. Verantwortung für DS verlagerte sich maßgeblich zum Unternehmen. Strafen von EUR. 20 Mio. oder 4% des weltweiten Konzernumsatzes drohen. BITT

5 Begriffe der DSGVO Personenbezogene Daten: alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen Betroffener: natürliche Person, deren Daten verarbeitet werden Verarbeitungstätigkeit: jeden Vorgang im Zusammenhang mit personenbezogenen Daten - wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, etc. BITT

6 Datenschutzbeauftragter Bestellung des DSB für RB verpflichtend! Benennung eines DSB und Mitteilung an die Aufsichtsbehörde Zur Erfüllung der in Artikel 39 genannten Aufgaben befähigt: Unterstützung bei der Einhaltung des DS im Unternehmen Unterrichtung und Beratung Überwachung der Einhaltung der Datenschutzvorschriften Sensibilisierung und Schulung der Mitarbeiter Beratung bzgl. Datenschutz- Folgenabschätzung (DSFA) Zusammenarbeit mit Behörden Bewertung von Risiken und Gegenmaßnahmen Dies kann durch eigene DSB geschehen oder durch ausgelagerte Dienstleistungen BITT

7 Verzeichnis von Verarbeitungstätigkeiten Eintrag ist für bestehende Datenverarbeitungen sowie für jedes neue Datum vor Verarbeitungsbeginn anzulegen. Grundlage für interne Maßnahmen & behördliche Prüfungen Es enthält verpflichtend Angaben über: Name und Kontakt des Verarbeiters (und des DSB) Verarbeitungszweck und Rechtsgrundlage Beschreibung der Kategorien betroffener Personen & der Kategorien personenbezogener Daten Speicherdauer/ Löschfristen Herkunft der Daten (bei Auftragsverarbeitern) Empfänger der Daten & ob Übermittlung ins Ausland oder zu internationalen Organisationen stattfindet. BITT

8 Datenschutz-Folgenabschätzungen Der Verantwortliche entscheidet, ob diese durchgeführt wird, der DSB berät. Selbstevaluierung der Prozesse, in denen personenbezogene Daten verarbeitet werden, die ihrer Art oder ihres Umfanges nach ein hohes Risiko für die Freiheiten der Betroffenen haben. Konsultation der Aufsichtsbehörde (White-list, Black-list) Schulungen für den Umgang mit sensiblen Daten durchführen und nachweisen. BITT

9 Neue Vereinbarungen Einwilligungserklärungen Vom Betroffenen ist vor Verarbeitung seiner Daten dessen Einwilligung einzuholen, wobei ein aktives Tun des Betroffenen und Information über dessen Widerrufsrecht erforderlich ist. Alte Einwilligungen bleiben Aufrecht sofern DSGVO-konform. Dienstleistungsvereinbarungen Bei Beauftragung von Auftragsverarbeitern muss dieser mittels schriftlichem Vertrag, der den Anforderungen des Art. 28 entspricht, zur Einhaltung des Datenschutzes verpflichtet werden. Neue Musterverträge werden in der ArGru Datenschutz erarbeitet. BITT

10 Betroffenenrechte und Informationspflichten Es sind Vorkehrungen zu treffen, die gewährleisten, dass: der Betroffene Kontakt zum DSB aufnehmen kann der DSB der Auskunftsverpflichtung nachkommen kann die Übertragung von Betroffenen-Daten ermöglicht wird Daten des Betroffenen richtig sind/richtig gestellt werden Informationen über Verarbeitung und Herkunft der Daten bestehen bei Data Breaches der Betroffene und die Behörde binnen 72 Stunden informiert werden. RBen müssen damit rechnen, dass Kunden ihre Rechte in der Bank ausüben wollen. BITT

11 Neurungen für die Raiffeisen Informatik Welche Änderungen sind absehbar? BITT

12 R-IT- internes Umsetzungsprojekt Neuerungen wurden in einem Analyseprojekt erhoben Schrittweise Umsetzung durch Arbeitspakete! Verzeichnis von Verarbeitungstätigkeiten Security-Policy Datenminimierung Umsetzung Betroffenenrechte Implementierung des DS-Management-Systems in der R-IT (mit dazugehörigen Prozessen und Workflows) BITT

13 R-IT- internes Umsetzungsprojekt Auswirkungen auf die Raiffeisen Informatik: Systeme Aufbau eines internen Datenverarbeitungsverzeichnisses (VvV) inkl. Workflow für neue Datenverarbeitungsanfragen Grundsatz der Datenminimierung und Zugriffsprotokollierung Datenbereinigung in SAP, ITSM, RIT-COP und der QUAMA Analyse der bestehenden Reports Prozesse Neuer Prozess Compliance & Datenschutz Bestellung des Datenschutzbeauftragten Implementierung der Datenschutz-Folgenabschätzung Erweiterung der HR-Prozesse (Bsp: Auskunftsrecht) Organisation Erstellung von Policys (Security- & Aufbewahrungsfristen) Abschluss bzw. Anpassungen von Betriebsvereinbarungen Datenschutzrelevante Hinweise auf der Homepage und im Intranet Schulungen BITT

14 Verzeichnis von Verarbeitungstätigkeiten Einführung des Verzeichnis von Verarbeitungstätigen (VvV): Implementierung des VvV und der Risikoanamnese für die Datenschutzfolgenabschätzung über ein eigenes Tool (Workflow). Bei kritischen Datenanwendungen wird der Datenschutzbeauftragte automatisch verständigt und eingebunden. Wird die Bearbeitung genehmigt, werden die Informationen in einem editierbaren und als PDF exportierbaren Report dargestellt. Diese bilden in ihrer Gesamtheit das verpflichtende zu führende VvV. BITT

15 DSGVO Security-Policy / Anpassung von Verträgen Die R-IT implementiert eine DSGVO Security-Policy, die: technische und organisatorische Maßnahmen zur Einhaltung der DSGVO beschreibt Zugangsberechtigungen für Daten, Auswertungen und Systeme festsetzt Löschfristen implementiert Datenschutz by Design und Datenschutz by Default verwirklicht Die R-IT passt sämtliche Standardvertragsdokumente (AGB Rahmen EV etc.) an um die DSGVO zu erfüllen BITT

16