Datenschutz und Einhaltung der europäischen Datenschutzgrundverordnung (DSGVO)

Transkript

1 Datenschutz und Einhaltung der europäischen Datenschutzgrundverordnung (DSGVO) Interchange (Austria) GmbH Stephansplatz 9, 1010 Wien, Austria FN: y UID: ATU

2 INHALTSVERZEICHNIS 1 Grundlegendes zur EU-Datenschutzgrundverordnung Ziele der DSGVO Was bedeutet Datenschutz? Was sind personenbezogene Daten? Was sind sensible Daten? Erweiterte Dokumentations- und Nachweispflichten Was bedeutet Datenschutzverletzung Akteure im Datenschutz Allgemeine Grundsätze zur Datenverarbeitung Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz Zweckbindung Datenminimierung Richtigkeit Speicherbegrenzung Integrität und Vertraulichkeit Rechenschaftspflicht Informationspflicht gegenüber Kunden Welche Rechte hat der Kunde Was muss ich tun wenn jemand Auskunft über seine Daten verlangt? Maßnahmen und Schritte um Datensicherheit gewährleisten zu können Zugangs- bzw. Zutrittskontrolle Zugriffskontrolle Weitergabekontrolle Verfügbarkeitskontrolle, Wiederherstellung/Datenintegrität Angepasste KYC Formulare Western Union

3 1 Grundlegendes zur EU-Datenschutzgrundverordnung Der erste Entwurf der europäischen Datenschutz-Grundverordnung (DSGVO) wurde schon 2012 eingereicht, im Mai 2016 ist sie in Kraft getreten. Nach der 2-jährigen Übergangsfrist ist sie nun auch seit 25. Mai 2018 zu befolgen. Datenschutzrecht wird EU-weit vereinheitlicht: Bis jetzt war es so, dass jeder europäische Mitgliedsstaat sein eigenes Datenschutzgesetz hatte. Das hat dazu geführt, dass das Niveau der Datensicherheit von Land zu Land verschieden war, und Unternehmen zur Datenverarbeitung Standorte in den Ländern gewählt haben in denen die Gesetze am lockersten waren. Die meisten dieser Gesetze sind außerdem veraltet und schließen unter anderem die neuheitlichen technischen Möglichkeiten nicht mit ein. Durch die Einführung der DSGVO ist das nicht mehr möglich, jetzt herrscht überall der gleiche Standard und auch Firmen die Ihren Sitz außerhalb der EU haben müssen sich anpassen wenn sie Standorte in der EU haben, oder Kunden aus der EU ansprechen möchten. 2 Ziele der DSGVO Wirksamerer Schutz und mehr Kontrolle durch Betroffene über ihre Daten Anpassung an die digitale Welt Konkretisierung bzw. Präzision der Rechte der betroffenen Personen und Verschärfung der Auflagen für die Verarbeitung personenbezogener Daten Europaweite einheitliche Standards: gleiche Überwachung, Sanktionierung in allen Staaten Verhinderung dass Anbieter sich dem EU-Recht durch Sitz im EU-Ausland entziehen Eine zuständige Aufsichtsbehörde in der EU, Kooperation der nationalen Aufsichtsbehörden. 2

4 3 Was bedeutet Datenschutz? Datenschutz umfasst nicht nur den Schutz der Daten an sich durch die zu treffenden technischen und organisatorischen Sicherheitsmaßnahmen, sondern vielmehr den Schutz der Privatsphäre der Menschen. Genauer gesagt, das Recht jedes Einzelnen, selbst darüber zu entscheiden wer was wann über ihn weiß. Beim Umgang mit personenbezogenen Daten ist besondere Sorgfalt geboten. Nicht nur unsere Kunden und Geschäftspartner, sondern auch ihr als Mitarbeiter vertraut darauf, dass persönliche Daten in guten Händen und vor Missbrauch geschützt sind. 4 Was sind personenbezogene Daten? Personenbezogene Daten sind ALLE INFORMATIONEN, die sich auf eine identifizierte oder identifizierbare (natürliche) Person beziehen. Personenbezogene Daten sind Angaben über eine bestimmte oder bestimmbare natürliche Person (Betroffener). Typische personenbezogene Daten sind unter anderem: Name, Geburtsdatum, Adresse, Adresse, Telefonnummer, Fotos. Dazu zählen auch Daten die in Kombination mit zusätzlichen Informationen Rückschlüsse auf eine bestimmte Person ziehen lassen. Dazu zählen beispielsweise Daten wie Kfz-Kennzeichen, IP-Adressen oder Kontonummern. 5 Was sind sensible Daten? Es gibt besondere Kategorien personenbezogener Daten die besonders geschützt werden müssen. Darunter fallen Daten über: rassische und ethnische Herkunft politische Meinung religiöse oder weltanschauliche Überzeugung Gewerkschaftszugehörigkeit genetischen Daten biometrischen Daten Gesundheitsdaten Sexuelle Orientierung Beispiele: Fingerabdruck, Krankengeschichte, Sozialversicherungsnummer, Leumundszeugnisse, 3

5 6 Erweiterte Dokumentations- und Nachweispflichten Da bestimmte Datenverarbeitungen durch die Einführung der DSGVO nicht mehr an die Datenschutzbehörde gemeldet werden müssen, muss man die Verarbeitungen von personenbezogenen Daten dokumentieren. Das bedeutet, dass jede Tätigkeit bei der personenbezogene Daten verarbeitet werden (Datenerhebung beim Geldwechsel, Tax Refund, Western Union, Personalverwaltung, Online Ordering ) genau geprüft und die Abläufe beschrieben werden müssen. Dieses Dokument muss regelmäßig überarbeitet und bei Neuerungen und Veränderungen angepasst werden. Die Datenschutzbehörde kann jederzeit um Einsicht in dieses Verarbeitungsverzeichnis anfragen, welche auch gewährt werden muss. In diesem Verzeichnis werden außer von der ausfüllenden Person keine personenbezogenen Daten angeführt. Datenverarbeitung umfasst: Erheben, Erfassen, Organisation, Ordnen, Speicherung, Anpassung oder Veränderung, Auslesen, Abfragen, Verwendung, Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, Abgleich oder Verknüpfung, Einschränkung, Löschung oder Vernichtung. 7 Was bedeutet Datenschutzverletzung Die DSGVO definiert eine Datenschutzverletzung so: Die Verletzung des Schutzes personenbezogener Daten ist eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden. Darunter fällt unter anderem die unbefugte Weitergabe von Daten an Dritte sowie unzureichende technische und/oder organisatorische Schutzmaßnahmen die den Diebstahl oder Verlust von Daten verhindern sollen. Z.B.: Kundendaten ohne Erlaubnis weitergeben, Computer ohne ausreichenden Virenschutz Meldepflichten für Datenschutzverletzungen an die Behörde: 72 Stunden Erhöhung der Strafen: bis zu 4% des weltweiten Jahresumsatzes/20 Mio. EUR 4

6 8 Akteure im Datenschutz Verantwortlicher: natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Auftragsverarbeiter: natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Betroffene Person: jene natürliche Person, auf die sich die personenbezogenen Daten beziehen. Empfänger: eine natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, an die personenbezogene Daten weitergegeben werden. Ob jemand der Verantwortliche oder der Auftragsverarbeiter bei der Datenverarbeitung ist stellt sich heraus je nachdem zu welchem Zweck die Daten erhoben und verarbeitet werden. 9 Allgemeine Grundsätze zur Datenverarbeitung 5

7 9.1 Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz Die Verarbeitung der Daten muss auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise geschehen. 9.2 Zweckbindung Die Verarbeitung darf nur für im Vorhinein festgelegte Zwecke erfolgen und nicht in einer nicht mit diesem Zwecke zu vereinbarenden Weise weiterverarbeitet werden. Z.B. wenn jemand die Einwilligung erteilt dass seine Daten zum Zweck der Abwicklung einer Bestellung verarbeitet werden, darf man sie nicht zu Marketingzwecken nutzen. Dafür müsste es eine eigene Einwilligung geben. 9.3 Datenminimierung Verarbeitung muss dem Zweck angemessen sein und auf das notwendige Maß beschränkt werden. Es dürfen keine Daten verarbeitet werden die nicht der Zweckerfüllung dienen. 9.4 Richtigkeit Daten müssen richtig und auf dem aktuellen Stand sein. Unrichtige Daten müssen unverzüglich berichtigt oder gelöscht werden. 9.5 Speicherbegrenzung Daten dürfen nur so lange gespeichert werden, wie es für den betreffenden Zweck erforderlich ist. 9.6 Integrität und Vertraulichkeit Es muss für ausreichenden Schutz gegen unbefugte oder unrechtmäßige Verarbeitung, Zerstörung oder Schädigung gesorgt werden. 9.7 Rechenschaftspflicht Die Einhaltung der oben genannten Prinzipien muss durch den Verantwortlichen nachgewiesen werden. 6

8 10 Informationspflicht gegenüber Kunden Wir unterliegen einer Informationspflicht. Das bedeutet dass wir unsere Kunden darüber informieren müssen was wir mit ihren Daten machen. In jeder Filiale und auf unserer Homepage gibt es eine Datenschutzerklärung. In dieser können Kunden unter anderem folgendes nachlesen: welche Daten wir von ihnen verarbeiten (Name, Adresse ) zu welchem Zweck wir diese Daten brauchen (Identifizierung ab 5000, Online Bestellungen ) welche Grundlagen es für die Verarbeitung gibt (Gesetz, Vertrag ) wer diese Daten verarbeitet und ob sie an außenstehende Personen oder Unternehmen weitergeleitet werden (nur Mitarbeiter der Firma Interchange, Tax Refund Anbieter ) wie lange diese Daten von uns aufbewahrt werden welche Rechte der Kunde hat Kontaktdaten des Unternehmens und eine Ansprechstelle bei Anfragen zum Thema Datenschutz 11 Welche Rechte hat der Kunde Recht auf Auskunft darüber ob und welche Daten verarbeitet und gespeichert werden Recht auf Berichtigung Recht auf Löschung ("Recht auf Vergessenwerden") Recht auf Einschränkung der Verarbeitung Recht auf Datenübertragbarkeit Widerspruchsrecht Recht auf Beschwerde bei der zuständigen Aufsichtsbehörde 12 Was muss ich tun wenn jemand Auskunft über seine Daten verlangt? Es gibt in jeder Filiale eine Datenschutzerklärung ausliegend die von Kunden auf Wunsch eingesehen werden kann. Wenn ein Kunde Auskunft darüber erhalten möchte welche seiner Daten bei uns gespeichert sind oder von uns verarbeitet werden, kann er seine Anfrage an die dafür eingerichtete E- Mail Adresse schicken. Auskunftsanfragen müssen binnen einem Monat bearbeitet und beantwortet werden. Sollte der Aufwand zu groß sein um die Anfrage in diesem Zeitraum bearbeiten zu können, kann die Frist auf drei Monate ausgeweitet werde, jedoch muss diese Verlängerung begründet werden. datenschutz@interchange.co.at 7

9 Sollte der Kunde die Anfrage per Post schicken wollen: Interchange (Austria) GmbH zh. Datenschutzmanagement Stephansplatz Wien 13 Maßnahmen und Schritte um Datensicherheit gewährleisten zu können Um den Grundsätzen der DSGVO Folge leisten zu können müssen geeignete technische und organisatorische Maßnahmen getroffen werden. Diese müssen regelmäßig überprüft und an den Stand der Technik angepasst werden. Diese Maßnahmen müssen auch im Arbeitsalltag gelebt werden Zugangs- bzw. Zutrittskontrolle Unbefugten den Zugang zu Verarbeitungsanlagen verwehren (versperrte Serverkästen; Zutrittsprotokoll...) Jegliche Dokumente die personenbezogene Daten enthalten (KYC; Tax Refund Belege ) dürfen nicht an öffentlich zugänglichen Orten gelagert werden (versperrbare Kästen ) Passwortgeschützte Programme 13.2 Zugriffskontrolle Gewährleisten, dass nur Berechtigte auf gewisse Daten zugreifen können und diese nicht unbefugt gelesen, verändert, kopiert oder entfernt werden können (Berechtigungskonzepte ) Passwörter müssen geheim gehalten werden, nicht mit Dritten teilen Weitergabekontrolle Gewährleisten, dass Daten bei der elektronischen Übertragung/Transport nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Verschlüsselungen, passwortgeschützte Dateien ) 13.4 Verfügbarkeitskontrolle, Wiederherstellung/Datenintegrität Gewährleisten, dass Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Back-ups, Firewall ) Es erfolgen die notwendigen Updates des Betriebssystems und der sonstigen Programme, es gibt einen ausreichenden Virenschutz. Keine verdächtigen s oder Links von Fremden öffnen 8

10 14 Angepasste KYC Formulare Wir identifizieren Kunden mittels PEP-Screening und KYC Formularen bei Geldwechseltransaktionen ab 5000 und bei Western Union Transaktionen ab Kunden müssen über die Verarbeitung informiert werden und ihr zustimmen bevor die Verarbeitung durchgeführt wird. Auf den KYC Formularen gibt es einen neuen Zusatz den Kunden lesen und akzeptieren müssen bevor die Transaktion abgeschlossen wird. 15 Western Union Western Union hat eigenes Papier zur Verfügung gestellt dass beim Ausdrucken der Sende- und Empfangsbestätigungen verwendet werden soll. Auf der Rückseite sind die Allgemeinen Geschäftsbedingungen sowie die Datenschutzrichtlinien angeführt. Wenn eine WU Transaktion durchgeführt wird bitte sichergehen, dass mit diesem Papier gearbeitet wird. Im WUPOS System gibt es die Möglichkeit ein Feld anzukreuzen, das WU ermöglicht den Kunden aus Marketingzwecken zu kontaktieren. Dieses Feld darf nur angekreuzt werden wenn der Kunde damit einverstanden ist. 9