Grafik Umsatzerlöse. Datenschutztag Datenschutz-Managementsystem zur Sicherstellung der DSGVO

Transkript

1 Datenschutztag 2016 Datenschutz-Managementsystem zur Sicherstellung der DSGVO

2 Agenda Vorstellung der Datenschutzorganisation Zertifizierung Datenschutz-Folgeabeschätzung Dokumentationspflichten / Berichtswesen Prozessmanagement Offene To-Do s Klassifikation: ÖFFENTLICH - Seite: 2

3 Responsible Gaming Klassifikation: ÖFFENTLICH - Seite: 3 Informationssicherheit Worum geht s? Compliance-Management Corporate Social Responsibility Geldwäschereibekämpfung Datenschutz Antikorruption

4 Vorstellung der Datenschutzorganisation Klassifikation: ÖFFENTLICH - Seite: 4

5 Casinos Austria Unternehmensgruppe Klassifikation: ÖFFENTLICH - Seite: 5

6 Casinos Austria Hardfacts Klassifikation: ÖFFENTLICH - Seite: 6

7 Organisation Die Business Units entwickeln in Abstimmung mit dem jeweils hauptverantwortlichen Vorstandsmitglied die strategische Ausrichtung und führen eigenverantwortlich das operative Tagesgeschäft. Benötigt eine Business Unit Spezialisten, etwa in Rechtsfragen oder im Einkauf, findet sie diese in den Corporate Functions (Gruppenfunktionen), deren Dienste auch in Anspruch genommen werden müssen. Zentrale Steuerungsprozesse (z.b. Compliance) werden ebenfalls in den Corporate Functions vorangetrieben. Klassifikation: ÖFFENTLICH - Seite: 7

8 Unsere Datenschutzorganisation Klassifikation: ÖFFENTLICH - Seite: 8

9 Die Datenschutzverantwortlichen Datenschutzverantwortlicher ist grundsätzlich jeder Bereichsleiter / Direktor, die Rolle kann aber an geeignete Mitarbeiter delegiert werden und wird in den Casinos vom GRM wahrgenommen Die DSV s sind für die Sicherstellung des Datenschutzes in ihrem Unternehmensbereich verantwortlich und werden dabei von den Führungskräften unterstützt Die Datenschutz-Verantwortlichen erfassen und verwalten die datenschutzrelevante Objekte (DRO s) in ihrem Bereich Klassifikation: ÖFFENTLICH - Seite: 9

10 Die Data-Owner und Führungskräfte Data-Owner sind verantwortlich für: - Definition von Schutzbedarf & Sicherheitsanforderungen - Sicherstellung der Datenklassifizierung - Festlegung der Aufbewahrung und Sicherung - Genehmigung und Kontrolle der Zugriffsberechtigungen Führungskräfte sowie alle Mitarbeiter - unterstützen die Datenschutzverantwortlichen - müssen Datenschutzverletzungen umgehend dem Data-Owner und dem Datenschutzbeauftragten melden Klassifikation: ÖFFENTLICH - Seite: 10

11 Der Datenschutzbeauftragte sorgt für die Einhaltung der gesetzlichen und innerbetrieblichen Rahmenbedingungen berät die Unternehmensleitung und das Management entwickelt datenschutzrechtliche Vorgaben und Konzepte in Abstimmung mit der Geschäftsleitung Klassifikation: ÖFFENTLICH - Seite: 11

12 Zertifizierung Klassifikation: ÖFFENTLICH - Seite: 12

13 Zertifizierung Datenschutzmanagementsystem-Zertifizierung von Organisationen, die Personendaten bearbeiten Zertifizierung eines Datenschutzmanagementsystems unter Berücksichtigung der nationalen gesetzlichen Anforderungen sowie internen und vertraglichen Vereinbarungen Erzwingt eine Systematik in der Bearbeitung von Personendaten Sensibilisierung bezüglich Datenschutz- und Informationssicherheitsrisiken Mittel zur Vertrauensbildung bei Konsumenten, Behörden und öffentlichen Stellen Best practise-ansatz für gesetzeskonformes Verhalten Klassifikation: ÖFFENTLICH - Seite: 13

14 Zertifizierung Gültigkeitsdauer des Zertifikats: 3 Jahre Jährliche Aufrechterhaltungsaudits verpflichtend Kombination mit ISO 9001 und ISO/IEC 27001

15 Datenschutz-Folgeabeschätzung (Privacy Impact Assessment) und Dokumentationspflichten / Berichtswesen Klassifikation: ÖFFENTLICH - Seite: 15

16 Was ist die Datenschutz-Folgeabeschätzung? Die Datenschutz-Folgeabschätzung (DSFA) ist grundsätzlich eigentlich nichts anderes, als die bisher im deutschen Datenschutzrecht schon bekannte Vorabkontrolle Im österreichischen Datenschutzgesetz kommt die DSFA in dieser Form noch nicht vor Die DSFA ist immer dann durchzuführen, wenn besonders sensible Daten verarbeitet werden oder die Datenverarbeitung dazu bestimmt ist, die Persönlichkeit des Betroffenen, einschließlich seiner Fähigkeiten, Leistungen oder seines Verhaltens zu bewerten Klassifikation: ÖFFENTLICH - Seite: 16

17 Was ist die Datenschutz-Folgeabeschätzung? Darüber hinaus werden in Art. 35 Abs. 3 DSGVO Regelbeispiele genannt, bei denen eine Durchführungspflicht besteht: systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlicher Weise erheblich beeinträchtigen; umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10; systematische weiträumige Überwachung öffentlich zugänglicher Bereiche Klassifikation: ÖFFENTLICH - Seite: 17

18 Unser Datenschutzmanagementsystem Datenschutzrelevante Objekte identifizieren und bewerten Schutzmaßnahmen definieren Mitarbeiter sensibilisieren Vorfälle behandeln und daraus lernen Prozess überwachen und messen System regelmäßig kontrollieren Datenschutzprozesse aktuell halten Klassifikation: ÖFFENTLICH - Seite: 18

19 Datenschutzrelevante Objekte (DRO) Strukturierte, auf Dauer angelegte Sammlungen von personenbezogenen Daten, in Österreich auch (noch) Daten juristischer Personen, auf die im Zuge von betrieblichen Abläufen zugegriffen werden kann. Das sind DRO s: Kundendatenbanken Mitarbeiterverzeichnisse Namenslisten in Excel, Access etc. Telefonlisten Zutrittskontrollsysteme mit individuellen Zutrittskarten Videoüberwachung mit Aufzeichung Das sind keinedro s: Listenausdrucke Private Outlook Kontakte Reports aus Datenbank Steuerdatei für Serienbrief Klassifikation: ÖFFENTLICH - Seite: 19

20 Datenschutzrelevante Objekte Klassifikation: ÖFFENTLICH - Seite: 20

21 Datenschutzrelevante Objekte Klassifikation: ÖFFENTLICH - Seite: 21

22 Compliance Berichtswesen Vierteljährliches Berichtswesen Jährliche Risikoanalyse

23 Messung des Datenschutzes Messgrößen: 1. Bewusstsein und Kompetenz des Personals 2. Absolvierung der Datenschutzschulungen 3. Anzahl der Beauskunftungen in denen die Beauskunftung weniger als 49 Tage gedauert hat 4. Konformitätsbewertung der datenschutzrelevanten Objekte 5. Umsetzung des Standards und Reduzierung der im Zuge von Audits festgestellten Verbesserungs-potentiale Methoden: Definition von Zielwerten (z.b. Auskunftsdauer bei 90% kürzer als 49 Tage) Durchlauf des PDCA-Zyklus 1 x jährlich Klassifikation: ÖFFENTLICH - Seite: 23

24 Prozessmanagement Klassifikation: ÖFFENTLICH - Seite: 24

25 Datenschutz im Prozessmanagement Vorteile: Schaffung von Transparenz Nachvollziehbarkeit kann leichter sichergestellt werden Ein Bild sagt mehr als 1000 Worte Schnittstellen zu anderen Abläufen werden sichtbar Als einfaches Mittel zur Dokumentation von Abläufen ideal Nachteile: Administrativer Aufwand Aller Anfang ist schwer, unüberschaubar zu Beginn -> Tipp: Scope zu Beginn einschränken Klassifikation: ÖFFENTLICH - Seite: 25

26 Beispiel Compliance-Prozess

27 Beispiel Compliance-Prozess

28 Beispiel Compliance-Prozess Klassifikation: ÖFFENTLICH - Seite: 28

29 Beispiel Compliance-Prozess Legende: AKS.Antikorruptions-Management-System DSMS.Datenschutzmanagementsystem GWMS Geldwäschemanagementsystem ISMS Informationssicherheitsmanagementsystem QMS Qualitätsmanagementsystem RGMS.Responsible Gaming Management System

30 Beispiel Compliance-Prozess Legende: BUs/CFs Business Units und Corporate Functions DSB Datenschutzbeauftragter ISB..Informationssicherheitsbeauftragter SSC Strategisches Security Committee

31 Offene To-Do s Klassifikation: ÖFFENTLICH - Seite: 31

32 Offene To-Do s Wesentliche Anforderungen: Die DSGVO vereinheitlicht das Datenschutzrecht innerhalb Europas Stärkere Nutzerrechte als Kernelement:» Künftig sollen Nutzer leichteren Zugang zu ihren Daten haben.» Jeder hat damit das Recht zu erfahren, welche Daten über ihn gesammelt werden.» Nutzer hat Anspruch auf klare und leicht verständliche Informationen darüber, wer seine Daten zu welchem Zweck wie und wo verarbeitet» Nutzer muss ausführlich darüber informiert werden muss, wenn seine Daten gehackt wurden» Recht des Nutzers auf Vergessen Einwilligung in Datenverarbeitung erst ab 16 Höhere Bußgelder in Höhe von bis zu 4 Prozent des Jahresumsatzes Klassifikation: ÖFFENTLICH - Seite: 32

33 Offene To-Do s Wesentliche Anforderungen Beschäftigtendatenschutz keine konkrete Regelung in der DSGVO über Videoüberwachung außer bei Datenschutz-Folgenabschätzung» Erstellung und Pflege eines Verzeichnisses,» Bestimmung der Datenkategorien und ihrer Sensibilität,» Bestimmung des Zwecks der Datenverarbeitung,» Prüfung, ob eine Weitergabe der Daten vorgesehen ist, wenn ja, an wen und zu welchem Zweck,» Prüfung, wer auf die Daten zugreifen können soll und zu welchem Zweck,» Prüfung der geplanten Aufbewahrungsfrist,» Prüfung, ob die Daten wirklich erforderlich sind (Datensparsamkeit),» Bestimmung der erforderlichen Schutzmaßnahmen,» Dokumentation der durchgeführten Folgenabschätzung bzw. Vorabkontrolle. Klassifikation: ÖFFENTLICH - Seite: 33

34 Klassifikation: ÖFFENTLICH - Seite: 34

35 Danke für Ihre Aufmerksamkeit! Klassifikation: ÖFFENTLICH - Seite: 35