X d Z } u ^ Z ] P U D ~ l X X W ... d Z } u ^ Z ] P U D ~ l X X W } o ]

  • View
    222

  • Download
    7

Embed Size (px)

Transcript

  • Dr. Thomas Schweiger, LLM (Duke) 25.10.2017 18:57 Folie 1

  • Dr. Thomas Schweiger, LLM (Duke) 25.10.2017 18:57 Folie 2

    RA Dr. Thomas Schweiger, LL.M. (Duke) Rechtsanwalt in Linz seit 09.09.1999 vorwiegend im Bereich Beratung ttig diverse Publikationen im Bereich

    Informationstechnologierecht Spezialgebiet: Datenschutz www.dataprotect.at

  • Dr. Thomas Schweiger, LLM (Duke) 25.10.2017 18:57 Folie 3

    3

  • Dr. Thomas Schweiger, LLM (Duke) 25.10.2017 18:58 Folie 4

    Verzeichnis von Verarbeitungsttigkeiten

    (VV/VdV/VVT/ROPA)

  • Dr. Thomas Schweiger, LLM (Duke) 25.10.2017 18:58 Folie 5

  • Dr. Thomas Schweiger, LLM (Duke) 25.10.2017 18:58 Folie 6

    VVT - WER Verantwortlicher Abs 1 Auftragsverarbeiter Abs 2 Unternehmen / Einrichtungen < 250 MA - Abs. 5keine Art 9/10 Datenkein Risiko fr die Rechte und Freiheiten

    natrlicher Personengelegentlich

    Um der besonderen Situation der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen Rechnung zu tragen, enthlt diese Verordnung eine abweichende Regelung hinsichtlich des Fhrens eines Verzeichnisses fr Einrichtungen, die weniger als 250 Mitarbeiter beschftigen

  • Dr. Thomas Schweiger, LLM (Duke) 25.10.2017 18:58 Folie 7

    < 250 Mitarbeiter

    keine Art 9 / 10 Daten

    kein Risiko

    nur gelegentlich

  • Dr. Thomas Schweiger, LLM (Duke) 25.10.2017 18:58 Folie 8

  • Dr. Thomas Schweiger, LLM (Duke) 25.10.2017 18:58 Folie 9

    9

    Leitfaden DSGVO der Datenschutzbehrde

    39 Seiten

    2 Seiten ber VVT

  • Dr. Thomas Schweiger, LLM (Duke) 25.10.2017 18:58 Folie 10

    VVT - WIE schriftlich elektronisch Sprache? keine sonstige VorgabenMindestinhalt (ffentlich) Zusatzinhalt (intern)

  • Dr. Thomas Schweiger, LLM (Duke) 25.10.2017 18:58 Folie 11

  • Dr. Thomas Schweiger, LLM (Duke) 25.10.2017 18:58 Folie 12

    VVT WAS / Verantwortlicher Namen und Kontaktdaten des Verantwortlichen / Vertreter Datenschutzbeauftragte/r Zweck(e) der Verarbeitung Kategorien der betroffenen Personen Kategorien der personenbezogenen Daten Kategorien der (potentiellen) Empfnger Drittlandempfnger / Grundlage Lschungsfrist technische u organisatorische Manahmen (TOMs)

  • Dr. Thomas Schweiger, LLM (Duke) 25.10.2017 18:58 Folie 13

    VVT WAS / Auftragsverarbeiter zu allen Kategorien von im Auftrag eines Verantwortlichen

    durchgefhrten Ttigkeiten der Verarbeitung Namen und Kontaktdaten des Auftragsverarbeiters Namen und Kontaktdaten jedes Verantwortlichen Datenschutzbeauftragte/r Kategorie von Verarbeitungen pro Verantwortlichen Drittlandempfnger / Grundlage Lschungsfrist technische u organisatorische Manahmen (TOMs)

  • Dr. Thomas Schweiger, LLM (Duke) 25.10.2017 18:58 Folie 14

    VVT WAS Verantwortlicher / Auftragsverarbeiter Namen Kontaktdaten

    DSB (wenn notwendigerweise bestellt) Namen Kontaktdaten

  • Dr. Thomas Schweiger, LLM (Duke) 25.10.2017 18:58 Folie 15

    VVT Kategorien der betroffenen Personen Beschreibung der Kategorien der betroffenen Personen

    Gruppenzugehrigkeit von Personen ist beachtlich

    Rechtmigkeitskontrolle

    Informationspflicht (notwendig)

  • Dr. Thomas Schweiger, LLM (Duke) 25.10.2017 18:59 Folie 16

    VVT Kategorien der pb Daten (Art 30 (1) c) Zweck der Verarbeitungsttigkeit (inhaltliche Vorgabe) Verarbeitungsttigkeit = Ausgangspunkt Verarbeitung (Art 4 Z 2): Definition Verarbeitungsttigkeit: keine Definition Einteilungskriterien?

  • Dr. Thomas Schweiger, LLM (Duke) 25.10.2017 18:59 Folie 17

    allgemein / Art 9 / 10

    Risiko nach DSGVO

    Schutzbedarf

    Empfnger

    Einteilungsmglichkeiten

  • Dr. Thomas Schweiger, LLM (Duke) 25.10.2017 18:59 Folie 18

    VVT Kategorien der Empfnger (Art 30 (1) d) an wen werden die Daten bermittelt keine Unterscheidung zwischen berlassung und

    bermittlung (wie im DSG 2000) Offenlegung aktuell / potentiell keine namentliche Nennung notwendig auf Kategorien-Ebene fr die pb Daten

  • Dr. Thomas Schweiger, LLM (Duke) 25.10.2017 18:59 Folie 19

    VVT Drittlandempfnger (Art 30 (1) lit e) [] JA [] NEIN Name des Drittlandes / der intern Organisation anerkannter Drittstaat / Angemessenheitsbeschluss EU-Standardvertragsklausel (C/C, C/P) aufsichtsbehrdl. genehmigter Vertrag Binding Corporate Rules

  • Dr. Thomas Schweiger, LLM (Duke) 25.10.2017 18:59 Folie 20

    VVT Lschfristen zur Zweckerfllung nicht mehr erforderlich -> lschen Aufbewahrungsfristen /-pflichten ermglichen weitere

    Speicherung der Daten (z.B. 7 Jahre gem 132 BAO) kein konkretes Datum allgemein Bezugnahme ist nicht ausreichend Angaben: Fristdauer Fristbeginn

  • Dr. Thomas Schweiger, LLM (Duke) 25.10.2017 18:59 Folie 21

    Zugang Datentrger Speicher Benutzer

    Zugriff bertragung Eingabe Transport

    Wiederher-stellung Integritt

    VVT TOMs

  • Dr. Thomas Schweiger, LLM (Duke) 25.10.2017 18:59 Folie 22

  • Dr. Thomas Schweiger, LLM (Duke) 25.10.2017 18:59 Folie 23

    VVT - WARUM kein Dokument fr die betroffenen Personen! internes Dokument fr DSMS ErwG 82 Zum Nachweis der Einhaltung dieser Verordnung sollte der

    Verantwortliche oder der Auftragsverarbeiter ein Verzeichnis der Verarbeitungsttigkeiten, die seiner Zustndigkeit unterliegen, fhren. Jeder Verantwortliche und jeder Auftragsverarbeiter sollte verpflichtet sein, mit der Aufsichtsbehrde zusammenzuarbeiten und dieser auf Anfrage das entsprechende Verzeichnis vorzulegen, damit die betreffenden Verarbeitungsvorgnge anhand dieser Verzeichnisse kontrolliert werden knnen.

  • Dr. Thomas Schweiger, LLM (Duke) 25.10.2017 18:59 Folie 24

    Nachweis

    Kooperation

    Vorlage

    Kontrolle

  • Dr. Thomas Schweiger, LLM (Duke) 25.10.2017 19:00 Folie 25

  • Dr. Thomas Schweiger, LLM (Duke) 25.10.2017 19:00 Folie 26

    VVT - Konsequenzen keine Verzeichnis Verletzung der datenschutzrechtlichen

    Dokumentations- und Nachweispflicht Art. 83 (4) DSGVO EUR 10.000.000 2 % des Jahresumsatzes

    Sanktion gem. Art 58 DSGVO ?

  • Dr. Thomas Schweiger, LLM (Duke) 25.10.2017 19:00 Folie 27

  • Dr. Thomas Schweiger, LLM (Duke) 25.10.2017 19:00 Folie 28

    Herkunft

    Rechtsgrundlage

    Rechte d betr P

    Ablageorte

    Applikationen

    AuftragsVerar

  • Dr. Thomas Schweiger, LLM (Duke) 25.10.2017 19:00 Folie 29

    Danke fr die Aufmerksamkeitnchster Termin: 23.11.2017 (8.15 Uhr)

    voraussichtliches Thema: Der / Die Datenschutzbeauftragte

    notwendig oder sinnvoll?Aufgaben und Stellung in der Organisation