Verarbeitungsverzeichnis für BerufsfotografInnen Die GELB hinterlegten Texte sind anzupassen, bzw. zu löschen, wenn keine Mitarbeiter, somit Bewerber oder kein externer Datenschutzbeauftragter bestellt ist. Die BLAU hinterlegten Texte betreffen die sogenannte, wo die Kontaktmöglichkeiten und auch der Newsletter z.b. erfasst sind, diese ist dem Verarbeitungsverzeichnis von gestern hinzuzufügen Verzeichnis von Verarbeitungstätigkeiten (1) Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Dieses Verzeichnis enthält sämtliche folgenden Angaben: a) den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten; b) die Zwecke der Verarbeitung; c) eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten; d) die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen; e) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien; f) wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien; g) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1. 1a. Verantwortliche(r) Fotograf Mustermann Testgasse 1 1010 Wien Tel: +43/1/555-12345 Mail: office@fotomustermann.at UID: ATU123335252 FN 11111x (HG Wien)
Wer ist mitverantwortlich? Welche Vereinbarung/Vertrag habe ich mit diesem Unternehmen? Wer ist Auftragsverarbeiter? Fotoentwicklung Musterfrau Auftragsverarbeitungsvertrag wurde am 15.5. abgeschlossen MYCLOUDProgramm.com Email-Provider Hosting-Provider Auftragsverarbeitungsvertrag ist abzuschließen und dem bisherigen Vertrag oder zumindest EU-US Privacy Shield und der EU-Standardvertragsklauseln Auftragsverarbeitungsvertrag ist abzuschließen und dem bisherigen Vertrag oder zumindest EU-US Privacy Shield und der EU-Standardvertragsklauseln Auftragsverarbeitungsvertrag ist abzuschließen und dem bisherigen Vertrag oder zumindest EU-US Privacy Shield und der EU-Standardvertragsklauseln Frau Mag. XXXXXX / Steuerberaterin Art 14 Abs 5 lit d DSGVO (Berufsgeheimnis / Verschwiegenheitsverpflichtung) Wird ein Datenschutzbeauftragter benötigt? Nein, weil der Betrieb weniger als 250 Mitarbeiter hat, keine sensiblen oder strafrechtlich relevanten Daten bzw. keine umfangreiche Datenverarbeitung von personenbezogene Daten vorliegt. Wurde ein externer Datenschutzbeauftragter bestellt? Nein / Ja All-In Paket von office@fpph.at Ein Auftragsverarbeitungsvertrag bzgl. des s ist abzuschließen. Der Datenschutzbeauftragte ist der Datenschutzbehörde und in der Datenschutzerklärung der Homepage und den Mitarbeitern zu nennen. Welche Verarbeitungen führt der Verantwortliche durch? Sie machen Fotos Sie haben Kunden und Lieferanten! Sie haben Geschäftskontakte oder Newsletter Haben sie Mitarbeiter? Sie haben Bewerber? Sie haben eine Webseite? Sie arbeiten DSGVO konform Bildverarbeitung Rechnungswesen und Logistik Personalverwaltung für privatrechtliche Dienstverhältnisse Bewerberordner Webseite mit Datenschutzerklärung und Impressum
Sie machen ein und Datensicherheit 1b. Zweck der Verarbeitungen Zu welchem Zweck wird die Verarbeitung im Betrieb durchgeführt? Welche Rechtsgrundlage berechtigt mich zur Verarbeitung? Verarbeitung Zweck Rechtsgrundlage Bildverarbeitung Bildaufnahme, Bildmanipulation und Bildspeicherung für die kommerzielle Verwertung von selbst erstellten Bildern Vertragserfüllung mit Auftraggebern, Einwilligung der betroffenen Person oder zumindest überwiegende berechtigtes Interesse des Verantwortlichen oder eines Rechnungswesen und Logistik Personalverwaltung für privatrechtliche Dienstverhältnisse Verarbeitung und Übermittlung von Daten in Rahmen einer Geschäftsbeziehung mit Kunden und Lieferanten einschließlich Korrespondenz (Briefe, Mail) Verwaltung der Geschäftskontakte und der Möglichkeiten, mit diesen Kontakten zu kommunizieren (z.b. Newsletter) Verarbeitung und Übermittlung von Daten für Lohn-, Gehalts-, Entgeltsverrechnung und Einhaltung von Aufzeichnungs-, Auskunfts- und Meldepflichten, soweit dies auf Grund von Gesetzen oder Normen kollektiver Rechtsgestaltung oder arbeitsvertraglicher Verpflichtungen jeweils erforderlich ist, einschließlich automationsunterstützt erstellter und archivierter Textdokumente (wie z. B. Korrespondenz) in diesen Angelegenheiten. Dritten bestehen Berechtigtes Interesse, gesetzliche Auflagen Berechtigtes Interesse, Einwilligung des Kontaktes Vertragserfüllung, gesetzliche Auflagen Verwendung und Evidenzhaltung von personenbezogenen Daten von Bewerbern, wenn diese Daten vom Betroffenen angegeben wurden und der Aufbewahrung für 6 Monate vom Betroffenen zugestimmt wurde. Bewerberordner Zusammenfassung der Bewerber. Bewerberdaten werden entweder in den Personalordner übernommen oder nach der Bewerbung 6.
Webseite mit Datenschutzerklärung und Impressum Internetpräsenz der Firma. Zusammenfassung der Anfragen und Beantwortungen von Betroffenenrechten in einer Kartei zum Zweck der fristgerechten Beantwortung dieser Rechte gemäß DSGVO und zum Nachweis der Bearbeitung zur Strafabwendung. Protokollierung Explizite Datensicherung aller Bildund Geschäftsdaten im Unternehmen. Monate (gesetzliche Aufbewahrungsfrist lt. Gleichbehandlungsvorgaben) bzw. mit Einwilligung des Bewerber in Evidenz gehalten Mitarbeiterdaten und Personendaten insbesondere Bilder sind nur mit Einwilligung veröffentlicht. Die Webseite wird um eine Datenschutzerklärung lt. Anhang erweitert. DSGVO und Datenschutzgesetz. Wird auf Anfrage der Datenschutzbehörde ausgehändigt. Gesetzliche Bestimmungen zur Datensicherheit 1c. Betroffene Personengruppen (Datenarten) Welche Personengruppe und welche Datenarten werden in der Verarbeitung gespeichert? Woher stammen die personenbezogenen Daten? Wer hat sie erfasst? Verarbeitung Datenarten Erfasst durch wen? Rechnungswesen und Logistik Personalverwaltung für privatrechtliche Dienstverhältnisse Privat- und Firmenkunde, Lieferantenansprechpartner (Name, Vorname, Emailadresse, Adresse, UID Nummer, Firma,.) Kundendaten und Daten von Ansprechpartner von Privatpersonen, Firmen und öffentlichen Stellen, sowie gegebenenfalls die Einwilligung Kommunikationsmöglichkeiten mit diesen Kontakten (Email, Newsletter, Telefonnummern, Messagedienste, SMS, Whatapp, Facebook,.) Mitarbeiterdaten (lt. Anhang: Datenartenliste Mitarbeiter) Erfasst durch Verantwortlichen (Visitenkarte, Kundengespräch) Erfasst durch den Verantwortlichen, oder in einem Kontaktformular durch den Kunden, Visitenkarte, Einwilligungsformular, oder durch den Kontakt veröffentlicht oder zugekauft Die Mitarbeiterdaten werden entsprechend den gesetzlichen Vorgaben in einem Personalordner gesammelt. Diese
Bewerberordner Webseite mit Datenschutzerklärung und Impressum Es werden Bewerberdaten, Name, Lebenslauf und Adresse, sowie Fotos gespeichert und nur mit Einwilligung des Bewerbers länger als 6 Monate zum Zwecke der Evidenz gespeichert Es werden derzeit keine Mitarbeiterdaten auf der Webseite gespeichert. Personendaten, insbesondere Bilder auf der Homepage sind auf Basis einer Einwilligung oder einem Vertrag mit den abgebildeten Personen Emails und Korrespondenz von und mit Betroffenen, sowie eine Ausweiskopie, Adresse, sowie personenbezogene Daten im Verfahrensverzeichnis und in der Datenschutzerklärung, sowie in den Auftragsverarbeitungsverträgen Gesamtdatenabzug von Geschäftsdaten und Bilddaten. Das ist derzeit nicht verschlüsselt, jedoch durch technische und organisatorische Maßnahmen wird sichergestellt, dass eine ausreichende Datensicherheit gewährleistet ist Mitarbeiterdaten werden zum Zweck der Lohnbuchhaltung an eine Steuerberaterin übergeben. Bewerber und Emails Wenn Sie per Formular auf der Website oder per E- Mail Kontakt mit uns aufnehmen, werden Ihre angegebenen Daten zwecks Bearbeitung der Anfrage und für den Fall von Anschlussfragen sechs Monate bei uns gespeichert. Diese Daten geben wir nicht ohne Ihre Einwilligung weiter. Betroffenen, durch den Verantwortlichen Automatisches, tägliches bei Netzwerkverbindung
1d. Empfänger der Daten Gegenüber wem werden die personenbezogenen Daten offengelegt? Werden online Applikationen verwendet? Wo sind diese gehostet? Gesetzliche Empfänger? Wem gebe ich die Daten zur Verarbeitung weiter? Rechnungswesen und Logistik Steuerberater, Finanzamt, Sozialversicherung Bildverarbeitung Kunden, Fotoagenturen, Fotolabor, externer IT-Dienstleister Online, Mitarbeiter, externer IT-Dienstleister, Zahlungsdienstleister, Steuerberater, Handy Personalverwaltung für privatrechtliche Dienstverhältnisse Steuerberater, Standardempfänger von Mitarbeiterdaten lt. Datenschutzerklärung Mitarbeiter siehe Anhang Die fpph GmbH. ist als externer Datenschutzbeauftragter beauftragt, sämtliche Datenschutzfragen zu beantworten und professionell gemeinsam mit dem Verantwortlichen zu lösen Emails Auf Anfrage der Datenschutzbehörde Email-Provider = Auftragsverarbeiter Webseite Hosting-Provider = Auftragsverarbeiter 1e. Drittland oder internationale Organisationen Gebe ich Daten an ein Nicht-EU Land oder eine internationale Organisation weiter? Rechnungswesen und Logistik Personaldaten / Bewerberdaten Webseite Emails Bilddatenbank
1f. Löschfristen Wie lange darf ich / muss ich die Daten behalten? Rechnungswesen und Logistik Personalverwaltung Bewerber Sonstige 7 Jahre bzw. solange Geschäftsziehung aufrecht 30 Jahre (Dienstzeugnis), 6 Monate 6 Monate lt. Datenschutzerklärung 3 Jahre (Beschwerdefrist) Auf Widerruf 1g. Technische, organisatorische Maßnahmen zur Datensicherheit Daten müssen gegen unbefugten Zugriff durch technische (z.b. Passwortschutz, Verschlüsselung, Virenschutz, SSL-Verschlüsselung,.) und organisatorische Maßnahmen (Zugangskontrolle, versperrbare Ordner, Auftragsverarbeitungsvertrag mit Dienstleistern) geschützt sein. Technische Maßnahmen: Rechnungswesen und Logistik Webseite Personalverwaltung Bewerber Email Rechnungsprogramm MeineFakturenProgramm mit Passwortschutz Keine personenbezogene Daten von Mitarbeitern gespeichert. Auftragsverarbeitervertrag mit Hostingprovider wurde abgeschlossen. Datenschutzerklärung wurde angepasst. Getrennte Kontaktdatenbanken zwischen aufrechter Geschäftsbeziehung und Newsletterdatenbank und Synchronisation nur notwendiger Geschäftskontakte aufs Handy Zentraler Ordner bzw. Steuerberater, versperrbarer Personalordner im Büro PDF von Emails in Geschäftsordnern, zentral Zentraler Ordner. Jede Anfrage wird an unseren externen Datenschutzbeauftragten weitergeleitet. Dieser beantwortet im Auftrag als Ansprechpartner in Datenschutzfragen fristgerecht die Anfragen und legt diese zentral in der Cloud ab. Zentrales, verschlüsselte Festplatte, Diebstahlsicherung PDF von Emails in Geschäftsordnern, zentral, Archivordner von Outlook auf zentrales gespeichert.
Organisatorische Maßnahmen: Büroräumlichkeiten Papierordner Versperrbar mit Alarmanlage und Sicherheitsschloss. Zentrale Schlüsselliste und Anwesenheitskontrolle Durch den Verantwortlichen geführt, versperrbare Büroschränke Zentrales ist nur dem Verantwortlichen zugänglich, klimatisiert und externes wird verschlüsselt. Dieses wird an einem vom Büro getrennten, Ort aufbewahrt.