DATENSCHUTZ DIE WORKSHOP-REIHE

Transkript

1 DATENSCHUTZ DIE WORKSHOP-REIHE

2 Die Europäische Union verankert den Schutz, natürlicher Personen betreffende, personenbezogene Daten auf Grundrechtsebene

3 Die EU-Datenschutzgrundverordnung gilt sowohl für Große, als auch Kleine und Mittlere Unternehmen!

4 Sanktionen bis 10 Mio. bzw. 2% des weltweiten Vorjahresumsatzes Bei Verletzung technischer und organisatorischer Schutzmaßnahmen Fehlender Nachweis der Verarbeitungstätigkeit, Datenschutz- Folgenabschätzung

5 Sanktionen bis 20 Mio. bzw. 4% des weltweiten Vorjahresumsatzes Verletzung der Rechtmäßigkeit, mangelnde oder nicht vorhandene Einwilligung Verletzung der Rechte Betroffener Drittlandübermittlung Fehlende Zusammenarbeit mit der Aufsichtsbehörde

6 Die Maßnahmen müssen bis zum 25. Mai 2018 bereits umgesetzt sein

7 Wann dürfen personenbezogene Daten verarbeitet werden? Die Verarbeitung darf nur unter bestimmten Voraussetzungen, wie beispielsweise zur Erfüllung eines Vertrages, auf Basis einer Einwilligung, einer gesetzlichen Anforderung oder einem berechtigten Interesse erfolgen. Die Rechtmäßigkeit der Verarbeitung muss sichergestellt werden. Jede Verarbeitung darf nur zu einem eindeutig spezifizierten, leicht verständlichem Zweck durchgeführt werden. Es darf keine Koppelung von Zwecken stattfinden. Es dürfen nur jene Daten verarbeitet werden, die für den spezifizierten Zweck zwingend notwendig sind.

8 Grundsätze der Datenverarbeitung Personenbezogene Daten dürfen nur solange aufbewahrt werden, wie es für den ursprünglichen Zweck, für welchen sie erhoben wurden, unbedingt erforderlich ist. Anschließend müssen die Daten gelöscht werden. Die Daten sind vor missbräuchlicher Verwendung, Manipulation sowie Verlust zu schützen. Die Haftung liegt beim Verantwortlichen.

9 Auskunft Korrektur Übertragung Widerruf Löschung Einschränkung Rechte der betroffenen Personen Notwendigkeit zur Planung für die Abarbeitung

10 Verzeichnis der Verarbeitungstätigkeiten Jeder Verantwortliche führt ein Verzeichnis aller Verarbeitungstätigkeiten. Name und Kontaktdaten des Verantwortlichen Zweck der Verarbeitung Kategorien betroffener Personen, Daten und Empfänger Beschreibung der getroffenen technischen und organisatorischen Maßnahmen Wenn möglich, Fristen für die Löschung der Daten nach Kategorien Übermittlung personenbezogener Daten in ein Drittland

11 Dokumentations- und Meldepflicht Die Beweislastumkehr führt zu erheblichen Nachweispflichten bei Tätigkeiten zum Thema Datenschutz. Das resultiert in der Notwendigkeit umfassender Dokumentation zu technischen und organisatorischen Maßnahmen, den Verarbeitungsvorgängen, den Betroffenenrechten und Sicherheitsvorfällen. Sicherheitsvorfälle die personenbezogene Daten betreffen sind innerhalb von 72 Stunden an die Datenschutzbehörde zu melden. Das inkludiert unter anderem eine Beschreibung des Vorfalls, getroffener Maßnahmen zur Eindämmung und Behebung sowie eine Beschreibung der betroffenen Daten- und Personenkategorien.

12 Privacy by Design / Default Datenschutzvorschriften sind bereits bei der Entwicklung neuer Applikationen/Prozesse/ Technologien zu berücksichtigen. Das inkludiert Aspekte wie Datensparsamkeit, Löschfristen, Korrekturen und die Auskunftspflicht. Bei der Konfiguration oder Verwendung von Technologien sind möglichst datenschutzfreundliche Voreinstellungen zu verwenden.

13 lebt das!

14 IT-Security ~ 40% Technische IT-Security bildet die Grundlage für die Umsetzung VACE Datenschutz Paket Organisation ~ 40% Prozesse, Workflows, Dokumentationen, Nachweise, Recht ~ 20% Juristische Absicherung Zielsetzung unserer Lösung ist es, alle Säulen der Europäischen Datenschutz-Grundverordnung abzubilden.

15 VACE Datenschutz KMU Package Die Lösung für alle kleineren Unternehmen bis ca. 30 Mitarbeiter

16 Verzeichnis der Verarbeitungstätigkeiten Betroffenenrechte Technische und Organisatorische Maßnahmen (TOMs) Datenschutzbeauftragter & weitere Pflichten Die DSGVO - Seminarreihe

17 BASIC 2 BASIC 1 Erarbeiten des Verzeichnisses der Verarbeitungstätigkeiten Einführung in die Europäische Datenschutzgrundverordnung und das Österreichische Anpassungsgesetz inkl. Vorstellung der wesentlichen rechtlichen Anforderungen Erläuterung des VACE Vorgehensmodell und Vorstellung der Agenda Bilden einer gemeinsamen inhaltlichen Grundlage als Basis für die Definition von Prozessen und der Identifikation von Verarbeitungsvorgängen. Erarbeitung eines ersten Verzeichnis der Verarbeitungstätigkeiten auf Basis der Geschäftsprozesse Ergebnis: Erster Entwurf eines Verzeichnisses inkl. Bereitstellung eines Template Betroffenenrechte Einführung in die Betroffenenrechte und damit verbundene Informationspflichten Konkrete Definition der Anforderungen an die Verantwortlichen Erarbeitung eines ersten Entwurfes des Prozesses zum Nachkommen der Betroffenenrechte Durchführung eines Planspieles zum Test des erarbeiteten Prozesses Ergebnis: Erstentwurf eines Prozesses zum Nachkommen der Betroffenenrechte

18 BASIC 4 BASIC 3 Technische und organisatorische Maßnahmen (TOMs) Identifikation des Handlungsbedarfs in Bezug auf Informationssicherheits- und Datenschutzmaßnahmen auf Basis des VACE Datenschutzkataloges Konkrete Definition von Maßnahmen und Planung von Arbeitspaketen Ergebnis: Maßnahmenplan inkl. Umsetzungsschritte in einem Template Datenschutzbeauftragter (DSB) und weitere Pflichten Verifikation der Notwendigkeit zur Erhebung eines Datenschutzbeauftragten. Definition eines Prozesses zum Umgang mit und der Meldung von Sicherheitsvorfällen. Identifikation relevanter und notwendiger Übermittlungen im Sinne der EU-DSGVO sowie Planung dieser. Datenschutz-Folgeabschätzung Notwendigkeit Fragestunde Recht gemeinsam mit Dr. Thomas Schweiger, Rechtsanwalt Weiterführende Maßnahmen Ergebnis: Prozessvorlagen für Sicherheitsvorfälle und Übermittlung sowie ggf. Benennung eines DSB

19 Seminarreihe DSGVO BASIC 1 - Erarbeiten des Verzeichnisses der Verarbeitungstätigkeiten 290,- BASIC 2 - Betroffenenrechte 290,- BASIC 3 - Technische und organisatorische Maßnahmen TOMs 290,- BASIC 4 - Datenschutzbeauftragter (DSB) und rechtliche Pflichten 290,- Paketpreis (Workshops BASIC 1 4) 1000,- Mindestteilnehmerzahl je Seminar: 6 Personen

20 BASIC BASIC BASIC :30 13:00 Uhr BASIC Seminarreihen nächste Termine - Linz BASIC BASIC BASIC :00 17:30 Uhr BASIC

21 Unsere DSGVO Seminare verhelfen dem zarten Datenschutz-Pflänzchen zum Durchbruch Arnold Redhammer

22 Um es weiterentwickeln zu können bedarf es natürlich der richtigen Pflege!

23 Das Angebot an Dienstleistern für Human Resources, Engineering, Training und Education, Netzwerk- und IT-Security ist groß, wir vereinen all diese Kompetenzen zum einzigartigen Nutzen für Sie!