Die folgenden Richtlinien und Verfahren sind für dieses Dokument relevant:
- Datenschutz-Folgenabschätzungsverfahren,
- Verfahren zur Kartierung personenbezogener Daten,
- Verfahren zur Bewertung berechtigter Interessen,
- Verfahren zur Reaktion auf Informationssicherheitsvorfälle,
- DSGVO-Rollen und -Verantwortlichkeiten und
- Richtlinie zur Aufbewahrung und zum Schutz von Aufzeichnungen.
Die Datenschutz-Grundverordnung
Die Datenschutz-Grundverordnung 2016 (DSGVO) ist eines der bedeutendsten Gesetze, das die Art und Weise beeinflusst, wie SKU Tracker seine Datenverarbeitungsaktivitäten durchführt. Bei Verstößen gegen die DSGVO, die zum Schutz der personenbezogenen Daten von Bürgern der Europäischen Union konzipiert wurde, drohen erhebliche Geldstrafen.
Definitionen
In der DSGVO sind insgesamt 26 Definitionen aufgeführt, und es wäre nicht angemessen, sie hier alle wiederzugeben. Die grundlegendsten Definitionen in Bezug auf diese Richtlinie sind jedoch wie folgt:
Personenbezogene Daten sind definiert als: alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person ("betroffene Person") beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;
"Verarbeitung" bedeutet: jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
"Verantwortlicher" bedeutet: die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so können der Verantwortliche beziehungsweise die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;
Grundsätze für die Verarbeitung personenbezogener Daten
Es gibt mehrere grundlegende Prinzipien, auf denen die DSGVO basiert. Diese sind wie folgt:
Personenbezogene Daten müssen:
a. auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden ("Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz");
b. für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken ("Zweckbindung");
c. dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein ("Datenminimierung");
d. sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden ("Richtigkeit");
e. in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden ("Speicherbegrenzung");
f. in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen ("Integrität und Vertraulichkeit").
g. Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können ("Rechenschaftspflicht"). SKU Tracker wird sicherstellen, dass es alle diese Grundsätze sowohl bei der aktuellen Verarbeitung als auch bei der Einführung neuer Verarbeitungsmethoden wie neuer IT-Systeme einhält.
Rechte des Einzelnen
Die betroffene Person hat auch Rechte gemäß der DSGVO. Diese bestehen aus:
- Das Recht auf Information
- Das Recht auf Auskunft
- Das Recht auf Berichtigung
- Das Recht auf Löschung
- Das Recht auf Einschränkung der Verarbeitung
- Das Recht auf Datenübertragbarkeit
- Das Widerspruchsrecht
- Rechte in Bezug auf automatisierte Entscheidungsfindung und Profiling.
Jedes dieser Rechte wird durch entsprechende Verfahren innerhalb von SKU Tracker unterstützt, die es ermöglichen, die erforderlichen Maßnahmen innerhalb der in der DSGVO festgelegten Fristen zu ergreifen.
Rechtmäßigkeit der Verarbeitung
Es gibt sechs alternative Möglichkeiten, wie die Rechtmäßigkeit eines spezifischen Falls der Verarbeitung personenbezogener Daten gemäß der DSGVO festgestellt werden kann. Es ist die Politik von SKU Tracker, die geeignete Grundlage für die Verarbeitung zu identifizieren und gemäß der Verordnung zu dokumentieren. Die Optionen werden in den folgenden Abschnitten kurz beschrieben.
Einwilligung
Sofern es nicht aus einem in der DSGVO zulässigen Grund erforderlich ist, wird SKU Tracker immer die ausdrückliche Einwilligung einer betroffenen Person einholen, um ihre Daten zu erheben und zu verarbeiten. Bei Kindern unter 16 Jahren (in bestimmten EU-Mitgliedstaaten kann ein niedrigeres Alter zulässig sein) wird die elterliche Einwilligung eingeholt. Zum Zeitpunkt der Einholung der Einwilligung werden den betroffenen Personen transparente Informationen über unsere Verwendung ihrer personenbezogenen Daten und ihre Rechte in Bezug auf ihre Daten zur Verfügung gestellt, wie z.B. das Recht, die Einwilligung zu widerrufen. Diese Informationen werden in einer zugänglichen Form, in klarer Sprache und kostenlos bereitgestellt. Wenn die personenbezogenen Daten nicht direkt von der betroffenen Person erhalten werden, werden diese Informationen der betroffenen Person innerhalb einer angemessenen Frist nach Erhalt der Daten und auf jeden Fall innerhalb eines Monats zur Verfügung gestellt.
Vertragserfüllung
Wenn die erhobenen und verarbeiteten personenbezogenen Daten zur Erfüllung eines Vertrags mit der betroffenen Person erforderlich sind, ist keine ausdrückliche Einwilligung erforderlich. Dies ist oft der Fall, wenn der Vertrag ohne die betreffenden personenbezogenen Daten nicht abgeschlossen werden kann, z.B. kann eine Lieferung nicht ohne eine Adresse erfolgen, an die geliefert werden soll.
Rechtliche Verpflichtung
Wenn die personenbezogenen Daten erhoben und verarbeitet werden müssen, um gesetzliche Vorschriften einzuhalten, ist keine ausdrückliche Einwilligung erforderlich. Dies kann beispielsweise für einige Daten im Zusammenhang mit Beschäftigung und Besteuerung gelten und für viele Bereiche, die den öffentlichen Sektor betreffen.
Lebenswichtige Interessen der betroffenen Person
In einem Fall, in dem die personenbezogenen Daten erforderlich sind, um die lebenswichtigen Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen, kann dies als rechtmäßige Grundlage für die Verarbeitung verwendet werden. SKU Tracker wird angemessene, dokumentierte Nachweise aufbewahren, dass dies der Fall ist, wann immer dieser Grund als rechtmäßige Grundlage für die Verarbeitung personenbezogener Daten verwendet wird. Als Beispiel kann dies in Aspekten der Sozialfürsorge verwendet werden, insbesondere im öffentlichen Sektor.
Im öffentlichen Interesse durchgeführte Aufgabe
Wenn SKU Tracker eine Aufgabe durchführen muss, von der es glaubt, dass sie im öffentlichen Interesse liegt oder Teil einer offiziellen Pflicht ist, wird die Einwilligung der betroffenen Person nicht eingeholt. Die Beurteilung des öffentlichen Interesses oder der offiziellen Pflicht wird dokumentiert und bei Bedarf als Nachweis zur Verfügung gestellt.
Berechtigte Interessen
Wenn die Verarbeitung bestimmter personenbezogener Daten im berechtigten Interesse von SKU Tracker liegt und beurteilt wird, dass sie die Rechte und Freiheiten der betroffenen Person nicht erheblich beeinträchtigt, kann dies als rechtmäßiger Grund für die Verarbeitung definiert werden. Auch hier wird die Begründung für diese Ansicht dokumentiert.
Datenschutz durch Technikgestaltung
SKU Tracker hat den Grundsatz des Datenschutzes durch Technikgestaltung übernommen und wird sicherstellen, dass die Definition und Planung aller neuen oder wesentlich geänderten Systeme, die personenbezogene Daten erheben oder verarbeiten, einer angemessenen Berücksichtigung von Datenschutzfragen unterliegen, einschließlich der Durchführung einer oder mehrerer Datenschutz-Folgenabschätzungen.
Die Datenschutz-Folgenabschätzung wird Folgendes umfassen:
- Berücksichtigung, wie personenbezogene Daten verarbeitet und für welche Zwecke verwendet werden
- Bewertung, ob die vorgeschlagene Verarbeitung personenbezogener Daten sowohl notwendig als auch verhältnismäßig zum Zweck/zu den Zwecken ist
- Bewertung der Risiken für Einzelpersonen bei der Verarbeitung der personenbezogenen Daten
- Welche Kontrollen erforderlich sind, um die identifizierten Risiken anzugehen und die Einhaltung der Gesetzgebung nachzuweisen
- Verwendung von Techniken wie Datenminimierung und Pseudonymisierung werden gegebenenfalls und angemessen in Betracht gezogen.
Verträge, die die Verarbeitung personenbezogener Daten beinhalten
SKU Tracker wird sicherstellen, dass alle Beziehungen, die es eingeht und die die Verarbeitung personenbezogener Daten beinhalten, einem dokumentierten Vertrag unterliegen, der die spezifischen Informationen und Bedingungen enthält, die von der DSGVO gefordert werden. Weitere Informationen finden Sie in der DSGVO-Vereinbarung zwischen Verantwortlichem und Auftragsverarbeiter.
Internationale Übermittlungen personenbezogener Daten
Übermittlungen personenbezogener Daten außerhalb der Europäischen Union werden sorgfältig überprüft, bevor sie stattfinden, um sicherzustellen, dass sie innerhalb der von der DSGVO auferlegten Grenzen fallen. Dies hängt teilweise von der Beurteilung der Europäischen Kommission über die Angemessenheit der Schutzmaßnahmen für personenbezogene Daten ab, die im Empfängerland gelten, und dies kann sich im Laufe der Zeit ändern. Internationale Datenübermittlungen innerhalb der Gruppe unterliegen rechtsverbindlichen Vereinbarungen, die als verbindliche interne Datenschutzvorschriften (BCR) bezeichnet werden und durchsetzbare Rechte für betroffene Personen vorsehen.
Datenschutzbeauftragter
Eine definierte Rolle des Datenschutzbeauftragten (DSB) ist gemäß der DSGVO erforderlich, wenn eine Organisation eine Behörde ist, wenn sie eine umfangreiche Überwachung durchführt oder wenn sie besonders sensible Arten von Daten in großem Umfang verarbeitet. Der DSB muss über ein angemessenes Maß an Wissen verfügen und kann entweder eine interne Ressource oder an einen geeigneten Dienstleister ausgelagert sein. Basierend auf diesen Kriterien ist es für SKU Tracker nicht erforderlich, einen Datenschutzbeauftragten zu ernennen.
Meldung von Verstößen
Es ist die Politik von SKU Tracker, fair und verhältnismäßig zu sein, wenn es darum geht, die zu ergreifenden Maßnahmen zur Information betroffener Parteien über Verstöße gegen personenbezogene Daten zu erwägen. In Übereinstimmung mit der DSGVO wird, wenn bekannt ist, dass ein Verstoß aufgetreten ist, der wahrscheinlich zu einem Risiko für die Rechte und Freiheiten von Einzelpersonen führt, die zuständige Aufsichtsbehörde innerhalb von 72 Stunden informiert. Dies wird gemäß unserem Verfahren zur Reaktion auf Informationssicherheitsvorfälle gehandhabt, das den gesamten Prozess der Handhabung von Informationssicherheitsvorfällen festlegt. Gemäß der DSGVO hat die zuständige Datenschutzbehörde die Befugnis, eine Reihe von Geldbußen von bis zu vier Prozent des weltweiten Jahresumsatzes oder zwanzig Millionen Euro, je nachdem, welcher Betrag höher ist, für Verstöße gegen die Verordnung zu verhängen.
Einhaltung der DSGVO
Die folgenden Maßnahmen werden ergriffen, um sicherzustellen, dass SKU Tracker stets den Rechenschaftsgrundsatz der DSGVO einhält:
- Die Rechtsgrundlage für die Verarbeitung personenbezogener Daten ist klar und eindeutig
- Ein Datenschutzbeauftragter wird mit spezifischer Verantwortung für den Datenschutz in der Organisation ernannt (falls erforderlich)
- Alle Mitarbeiter, die mit der Verarbeitung personenbezogener Daten befasst sind, verstehen ihre Verantwortlichkeiten für die Einhaltung guter Datenschutzpraktiken
- Schulungen zum Datenschutz wurden allen Mitarbeitern angeboten
- Regeln bezüglich der Einwilligung werden eingehalten
- Es stehen Wege für betroffene Personen zur Verfügung, die ihre Rechte in Bezug auf personenbezogene Daten ausüben möchten, und solche Anfragen werden effektiv bearbeitet
- Regelmäßige Überprüfungen von Verfahren, die personenbezogene Daten betreffen, werden durchgeführt
- Datenschutz durch Technikgestaltung wird für alle neuen oder geänderten Systeme und Prozesse übernommen
- Die folgende Dokumentation von Verarbeitungsaktivitäten wird aufgezeichnet:
- Name der Organisation und relevante Details
- Zwecke der Verarbeitung personenbezogener Daten
- Kategorien von Personen und personenbezogenen Daten, die verarbeitet werden
- Kategorien von Empfängern personenbezogener Daten
- Vereinbarungen und Mechanismen für Übermittlungen personenbezogener Daten in Nicht-EU-Länder einschließlich Details zu den vorhandenen Kontrollen
- Aufbewahrungsfristen für personenbezogene Daten
- Relevante technische und organisatorische Kontrollen, die vorhanden sind
Diese Maßnahmen werden im Rahmen des Managementprozesses zum Datenschutz regelmäßig überprüft.
Diese Richtlinie ist ab dem 27. August 2019 gültig.