Welche Dokumentation muss in jedem Unternehmen ab dem 25.05.2018 sein / RODO

6. Mai 2018 | Andere

Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung).

Ab dem 25.05.2018 muss jede Stelle, die Administrator von personenbezogenen Daten ist, selbst bewerten, welche Risiken es gibt, die mit den verarbeiteten personenbezogenen Daten verbunden sind und welche Maßnahmen zu ergreifen sind. Unter anderem wird die Verordnung des Ministers für Inneres und Verwaltung vom 29.04.2004 über Dokumentation der Verarbeitung der personenbezogenen Daten und technische und organisatorische Anforderungen, welchen die Geräte und Computersystemen bei der Verarbeitung der personenbezogenen Daten entsprechen sollen, aufgehoben wird. Kraft der Verordnung werden die Unternehmen verpflichtet, Sicherheitsrichtlinien und IT-Systemverwaltungsanweisungen zu erstellen. Und aufgrund dieser Dokumente werden die Verpflichtungen im Bereich personenbezogener Daten durch viele Unternehmen bestimmt. Durch RODO wird eine wesentliche Änderung in diesem Bereich eingeführt: RODO bestimmt nicht, welche Dokumente wir haben sollen (mit kleinen Ausnahmen) und was für einen Inhalt sie haben sollen. Das bedeutet, dass jedes Unternehmen selbst entscheiden muss, welche Dokumente von ihm vorbereitet werden sollten und was für einen Inhalt sie haben sollten. Man muss aber in Anbetracht gezogen werden, dass RODO verlangt, dass der Inhalt der Dokumente ein Ergebnis der Bewertung von Risiken im Bereich der Verarbeitung personenbezogener Daten sein sollte, und diese Bewertung durch jedes Unternehmen durchgeführt werden soll.

Das bedeutet nicht, dass ab dem 25.05.2018 die Sicherheitsrichtlinien, Anweisungen zur Verwaltung des IT-Systems zur Verarbeitung personenbezogener Daten oder Aufzeichnungen von Personen, die zur Verarbeitung von Daten berechtigt sind, nicht verwendet werden können. Zur weiteren Verwendung der Dokumente sollten sie geprüft und entsprechend abgeändert werden, um den Anforderungen von RODO zu entsprechen, d.h. um den richtigen und der Risikoanalyse angepassten Schutz personenbezogener Daten darzustellen. Natürlich soll auch in Ihrem Unternehmen solche Analyse hinsichtlich der Verarbeitung personenbezogener Daten und Inventar der Daten durchgeführt werden. Man soll in Anbetracht ziehen, dass nach dem Inkrafttreten von RODO anzuerkennen ist, dass eine Organisation die gesetzlichen Anforderungen nicht erfüllt, wenn sie die Dokumente anwendet, die ihren individuellen Eigenschaften und den mit der Verarbeitung personenbezogener Daten durch die Organisation verbundenen Risiken nicht angepasst werden.

Darüber hinaus müssen neue Dokumente vorbereitet werden, die bisher nicht gesetzlich vorgeschrieben sind, darunter das Register für die Verarbeitung personenbezogener Daten (Artikel 30 DSGVO). Dieses Register sollte zum 25.05.2018 fertig sein, wobei zu beachten ist, dass die bis zum 25.05.2018 auf der Basis des UODO vorgeschriebenen Datenregister keine o.g. Register für die Verarbeitung personenbezogener Daten nach RODO werden. Es wird bereits betont, dass das Register der Verarbeitung personenbezogener Daten ein Dokument mit einem weiteren Geltungsbereich sein sollte, weil es alle Prozesse der Verarbeitung personenbezogener Daten umfassen sollte, die bei einem bestimmten Administrator persönlicher Daten auftreten.

Im Zusammenhang mit dem Obigen sollte jedes Unternehmen vor dem 25.05.2018 mindestens folgendes zu unternehmen:

  1. Analyse des Umfangs der Aktivitäten des Unternehmens in Bezug auf die Verarbeitung personenbezogener Daten, um die Zielstruktur der Dokumentation zu bestimmen, die bis zum 25/05/2018 vorbereitet werden muss. In diesem Bereich ist notwendig eine Zusammenarbeit von Rechtsanwälten, der IT-Abteilung und allen Personen, welche die Verarbeitung personenbezogener Daten überwachen, insbesondere der Personalabteilung.
  2. Analyse der bereist besessenen Dokumentation des Unternehmens in Bezug auf die persönlichen Daten und deren Schutz.
  3. Vorbereitung der Änderungen zu den bereits bestehenden Dokumenten, die unter Punkt 2 erwähnt sind, basierend auf der Bewertung von Risiken hinsichtlich der Verarbeitung von personenbezogenen Daten.
  4. Vorbereitung von neuen fehlenden Dokumente.

Kategorien:

Archiv:

Ta strona używa cookie. Korzystając ze strony wyrażasz zgodę na to, zgodnie z aktualnymi ustawieniami przeglądarki. Więcej informacji

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close