Wer ist von der DSGVO, also den neuen Bestimmungen zum Schutz personenbezogener Daten, betroffen?

Service

Aktuell gibt es wohl keine Person, die nicht mit dem Begriff DSGVO in Berührung kommen würde. Aber weiß jeder, was sie wirklich ist, wann sie in Kraft ist, welche Pflichten sie auferlegt und für wen die DSGVO gilt?

Was ist DSGVO?

Die DSGVO ist eine Verordnung zum Schutz personenbezogener Daten. Es handelt sich um eine EU-Verordnung, daher ist jeder Mitgliedstaat verpflichtet, diese Vorschriften einzuhalten.

Die DSGVO klärt einige Fragen, führt manchmal neue Konzepte ein und ersetzt vor allem die bisher in Polen verbindlichen Bestimmungen des Gesetzes über den Schutz personenbezogener Daten von 1997.

Die DSGVO enthält allgemeine Richtlinien zum angemessenen Schutz personenbezogener Daten, sie sagt auch, dass Datenverarbeiter geeignete Sicherheitsvorkehrungen treffen sollten – weist jedoch nicht auf spezifische Sicherheitsvorkehrungen hin – diese Aufgabe liegt bereits in der Verantwortung bestimmter Auftragsverarbeiter. Es ist sinnlos, in der Verordnung auf konkrete Sicherheitsmaßnahmen hinzuweisen, da verschiedene Unternehmen der DSGVO unterliegen – vom kleinen Einzelunternehmen bis zum Großkonzern. Was in einem kleinen Unternehmen Anwendung findet, nützt im anderen überhaupt nichts.

Wer ist von der DSGVO betroffen?

Die DSGVO gilt für jedes Unternehmen, sowohl Einzelunternehmen als auch Unternehmen - die in der Europäischen Union tätig sind und personenbezogene Daten verarbeiten. Die Nationalität der Personen, deren Daten verarbeitet werden, wo die Verarbeitung stattfindet oder wo sich die Server befinden, spielt keine Rolle.

Beispiele für Unternehmen, die unter die DSGVO fallen:

  • ein Unternehmer mit Sitz außerhalb der EU, der jedoch in seinem Hoheitsgebiet tätig ist,

  • Einrichtungen, die ihre Dienstleistungen Kunden außerhalb der Union anbieten, ihren Sitz jedoch im Hoheitsgebiet der Union haben,

  • Unternehmen, die Daten über Cloud Computing verarbeiten - egal, wo sich die Server befinden,

  • ein Unternehmer, der eine Buchhaltung führt, deren Tätigkeit in der Abrechnung mit anderen Unternehmen besteht,

  • ein Unternehmer, der keine Organisationseinheiten in der EU hat, aber Waren und Dienstleistungen für Bürger in der EU anbietet (z. B. einen Online-Shop).

Die DSGVO gilt nicht für Personen, die personenbezogene Daten für den privaten Gebrauch verarbeiten, z.B. Weihnachtskarten an private Empfänger versenden.
Der Unternehmer ist daher verpflichtet, die Bestimmungen der DSGVO gegenüber seinen Auftraggebern, Auftragnehmern einzuhalten, muss diese jedoch beim Versand von Weihnachtskarten an Personen aus der privaten Kontaktliste nicht anwenden.

Welche Tätigkeiten unterliegen der DSGVO?

Die Verarbeitung personenbezogener Daten unterliegt der DSGVO. Um sagen zu können, was die Verarbeitung personenbezogener Daten ist, sollte zunächst gut erklärt werden, was personenbezogene Daten sind.

Personenbezogene Daten sind Informationen, mit denen eine bestimmte Person identifiziert werden kann. Manchmal reicht eine einzige Information, um sie zu identifizieren (z. B. die höchste Person im Team), manchmal müssen mehrere dieser Informationen vorhanden sein (z. B. Vorname, Nachname und Geburtsdatum). Es kommt vor, dass dieselben Daten an einer Stelle die Identifizierung einer bestimmten Person ermöglichen (z. B. PESEL-Nummer in einem Gemeindeamt), an einer anderen nichts bedeuten (z.

Personenbezogene Daten können unterteilt werden in allgemeine Daten – das sind „harte“ oder „trockene“ Basisdaten, wie Name, Nachname, PESEL-Nummer – und sensible Daten (sensible Daten), wie Religion, ethnische Zugehörigkeit, Orientierung etc. Personenbezogene Daten beziehen sich auf die Person, nicht auf das Unternehmen. Firma ABC - hier gibt es keine personenbezogenen Daten, Marek Nowicki von Firma ABC - solche Informationen sind bereits personenbezogene Daten. Die Verarbeitung personenbezogener Daten ist die Durchführung aller Vorgänge an den oben genannten Daten, z.

Wer darf personenbezogene Daten verarbeiten?

Personenbezogene Daten können vom Unternehmer als Datenverantwortlicher oder als Auftragsverarbeiter verarbeitet werden.

Der Verwalter personenbezogener Daten (ADO) ist eine Einrichtung, die unabhängig oder gemeinsam mit anderen die Zwecke und Methoden der Verarbeitung personenbezogener Daten festlegt. Es ist immer ein Unternehmen, eine Organisation, keine Person.

Beispiele, wenn der Unternehmer der Administrator personenbezogener Daten ist:

  • Arbeitgeber gegenüber Arbeitnehmern,

  • der Inhaber des Online-Shops gegenüber den Kunden,

  • der Inhaber der Website in Bezug auf Personen, die den Newsletter abonniert haben.

Der Auftragsverarbeiter ist eine Person, die aufgrund eines mit PDC geschlossenen Vertrages handelt. Die ADO entscheidet nach wie vor über die Zwecke und Methoden der Datenverarbeitung, überträgt jedoch bestimmte Tätigkeiten in Bezug auf diese Daten einer separaten Instanz. Es kann sich sowohl um eine natürliche Person als auch um ein anderes Unternehmen handeln. Beispiele für Datenverarbeiter:

  • eine Buchhaltungsstelle, die personenbezogene Daten verarbeitet, die ihr von Kunden zu diesem Zweck auf Anfrage zur Verfügung gestellt werden,

  • eine Einrichtung, die sich beruflich mit der Vernichtung personenbezogener Daten befasst und in diesem Zusammenhang personenbezogene Daten auf Anfrage ihrer Kunden verarbeitet,

  • eine Person, die die Einstellung im Auftrag des Arbeitgebers durchführt.

Der Auftragsverarbeiter sollte auf Anfrage einen entsprechenden Vertrag mit dem Verantwortlichen abschließen, dem sog einen Betrauungsvertrag, der die Regeln der Datenverarbeitung festlegt. In einer bestimmten Organisation werden personenbezogene Daten tatsächlich von bestimmten natürlichen Personen - Mitarbeitern oder Mitarbeitern des Verantwortlichen oder des Auftragsverarbeiters - verarbeitet. Diese Personen sollten befugt sein, personenbezogene Daten zu verarbeiten.

Wann können personenbezogene Daten verarbeitet werden?

Personenbezogene Daten dürfen nur verarbeitet werden, wenn ein sog Rechtsgrundlage für die Datenverarbeitung. Bei Unternehmern sind die typischen Gründe für eine ordentliche Datenverarbeitung:

  • Einwilligung der betroffenen Person,

  • die Datenverarbeitung zur Erfüllung des Vertrages mit der betroffenen Person erforderlich ist (z.B. ein Online-Shop, der Bestellungen durchführt),

  • die Verarbeitung ist zur Erfüllung der rechtlichen Verpflichtung des Administrators erforderlich (z. B. Führung von Büchern),

  • die Verarbeitung ist zur Wahrung berechtigter Interessen des Administrators oder eines Dritten erforderlich (z. B. ein Schreiben der Staatsanwaltschaft).

Bei besonderen Kategorien von Daten sind typische Verarbeitungsgründe:

  • ausdrückliche Einwilligung der betroffenen Person,

  • die Datenverarbeitung ist zur Erfüllung von Aufgaben im Zusammenhang mit Beschäftigung, Sozialversicherung der Arbeitnehmer,

  • die Verarbeitung für Zwecke der Gesundheitsvorsorge oder Arbeitsmedizin erforderlich ist, um die Arbeitsfähigkeit des Arbeitnehmers zu beurteilen,

  • die Datenverarbeitung ist zur gerichtlichen Durchsetzung von Rechten erforderlich.

Es ist immer der Verantwortliche, der nachweisen kann, dass er über eine angemessene Grundlage für die Datenverarbeitung verfügt. Es ist seine gesetzliche Verpflichtung, die sich aus dem sog Regeln zur Rechenschaftspflicht.

Die Phasen der Umsetzung der DSGVO im Unternehmen

Die DSGVO legt besonderen Wert auf den korrekten Schutz personenbezogener Daten bei der Verarbeitung durch eine bestimmte Stelle. Die Umsetzung der DSGVO ist eigentlich die Anwendung von Sicherheitsmaßnahmen, damit die Daten nicht unrechtmäßig verarbeitet werden, damit Unbefugte keinen Zugriff auf diese Daten haben.

Vor diesem Hintergrund ist die DSGVO die Umsetzung von Maßnahmen, die einen angemessenen Schutz personenbezogener Daten gewährleisten und das Risiko von Vorfällen (Ereignisse, die das Unternehmen beispielsweise dem Verlust von Informationen aussetzen) vermeiden.

Um das oben genannte Risiko zu vermeiden, wird empfohlen, die folgenden Schritte zu unternehmen:

  1. Zuallererst ist es am besten, die sogenannte Bestandsaufnahme der bisher verarbeiteten Daten, d.h. jeden Prozess im Unternehmen, jede Abteilung, jeden Computer, Schrank und andere Orte, an denen Daten gesammelt werden, betrachten. Eine solche Bestandsaufnahme hilft dabei, alle im Unternehmen verarbeiteten Daten an einem Ort zu sammeln und den Zweck ihrer Verarbeitung zu bestimmen. Wenn der Zweck der Verarbeitung bestimmter Daten bereits abgelaufen ist, sollten diese personenbezogenen Daten gelöscht oder vernichtet werden.

  2. Dann ist es sinnvoll, auf Basis der oben genannten Überprüfung eine Risikoanalyse durchzuführen, d. h. zu überlegen, wer Zugriff auf diese Daten hat und wer möglicherweise hat, welche Ereignisse den Datenverlust beeinflussen können (Bedrohungserkennung).

  3. Jetzt reicht es aus, für jedes identifizierte Risiko den Schweregrad und die Bedeutung zu bestimmen – wie hoch ist die Wahrscheinlichkeit des Eintretens einer bestimmten Gefahr und wie bedeutend sie ist.

  4. Der nächste Schritt besteht darin, Lösungen zu identifizieren, die das Auftreten von Risiken reduzieren, verhindern oder verhindern – dies ist die Definition von Sicherheitsmaßnahmen. Die DSGVO sieht keine konkreten Schutzmaßnahmen vor, es ist eine individuelle Angelegenheit für jedes Unternehmen - in einem kleinen Unternehmen funktionieren andere Lösungen, in der Schule anders. Es ist wichtig, effektiv zu sein.

Indem wir die Risiken im Voraus überlegen, können wir ihnen vorbeugen, da wir in unserer Risikoanalyse präventive Maßnahmen identifiziert haben. Und wenn ein bestimmtes Risiko auftritt, wissen wir genau, wie wir es beseitigen können. Wenn wir über solche Aktivitäten im Voraus nachdenken, wird unser Handeln hinterfragt und intelligenter.

Es ist jedoch zu beachten, dass der risikobasierte Ansatz eine kontinuierliche Überwachung des Risikoniveaus im Zusammenhang mit der Verarbeitung personenbezogener Daten erfordert. Daher reicht es nicht aus, das Risikoniveau für einen bestimmten Prozess einmalig zu bestimmen und Datensicherheitsmaßnahmen anzuwenden – das Risikoniveau sollte im Rahmen der laufenden Datenverarbeitungsprozesse ständig überwacht werden.

Starten Sie eine kostenlose 30-tägige Testphase ohne Bedingungen!

Wann tritt die DSGVO in Kraft?

Die DSGVO ist seit 2016 in Kraft, da die Verordnung vor zwei Jahren in der Europäischen Union verabschiedet wurde. Diese Verordnung gibt den Mitgliedstaaten die Frist, die neuen Vorschriften bis zum 25. Mai 2018 umzusetzen.

Am 25. Mai 2018 soll die DSGVO allgemein gelten. Wenn Unternehmen die Bestimmungen der DSGVO also schon vor diesem Zeitpunkt umsetzen wollen, steht nichts im Wege.

Die EU-Verordnung ähnelt dem polnischen Recht dadurch, dass sie für alle Mitgliedstaaten bindend und unmittelbar anwendbar ist, also nicht in nationales Recht umgesetzt werden muss - sie wird direkt angewendet.

Die Bestimmungen der DSGVO müssen nicht wie bei Richtlinien in polnisches Recht übernommen werden. Die DSGVO wird Vorrang haben und daher unmittelbar anwendbar und unmittelbar wirksam sein. Einzelne Länder dürfen Regelungen schaffen, die in einem bestimmten Umfang genauer spezifizieren, daher werden solche Regelungen natürlich auch in Polen geschaffen, müssen aber die übergeordneten Regelungen, also die DSGVO, einhalten.