DPIA
DATENSCHUTZ-FOLGENABSCHÄTZUNG
Systematische Beschreibung Zweck der Verarbeitung
Die CISO AG ist in der Lage, Ihrem Unternehmen eine detaillierte Datenschutz-Folgenabschätzung (DPIA) zu erstellen, die eine wichtige Anforderung im Rahmen der GDPR darstellt. Wir bieten einen schnellen Bewertungsdienst, der das Risikoprofil und die anfälligen Vermögenswerte Ihres Unternehmens bewertet. Wir sind sehr erfahren in der Unterstützung von Organisationen bei der Erfüllung der Anforderungen von Artikel 35 GDPR.
In Artikel 35 ist festgelegt, dass der für die Verarbeitung Verantwortliche vor der Verarbeitung eine Abschätzung der Folgen der geplanten Verarbeitungen für den Schutz personenbezogener Daten vornimmt, wenn die Verarbeitung - insbesondere unter Einsatz neuer Technologien - unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt.
EINE DATENSCHUTZ-FOLGENABSCHÄTZUNG
Ist insbesondere erforderlich im Falle von:
- eine systematische und umfassende Auswertung personenbezogener Aspekte natürlicher Personen, die auf einer automatisierten Verarbeitung, einschließlich Profiling, beruht und auf der Entscheidungen beruhen, die für die natürliche Person rechtliche Folgen nach sich ziehen oder die natürliche Person in ähnlicher Weise erheblich beeinträchtigen;
- die Verarbeitung besonderer Datenkategorien im Sinne von Artikel 9 Absatz 1 oder personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten im Sinne von Artikel 10 in großem Umfang; oder
- eine systematische Überwachung eines öffentlich zugänglichen Bereichs in großem Maßstab.
WAS DPIA MINDESTENS ENTHALTEN SOLLTE
Gemäß Artikel 35 der Datenschutzgrundverordnung:
Systematische Beschreibung der geplanten Verarbeitungsvorgänge
Vom für die Verarbeitung Verantwortlichen verfolgtes berechtigtes Interesse (falls zutreffend)
Beurteilung der Notwendigkeit in Bezug auf den Zweck
Bewertung der Verhältnismäßigkeit in Bezug auf den Zweck
Bewertung der Risiken für die Rechte und Freiheiten
Geplante Maßnahmen zur Bewältigung der Risiken
Geplante Maßnahmen zum Nachweis der Einhaltung
WAS DPIA MINDESTENS ENTHALTEN SOLLTE
Gemäß Artikel 35 der Datenschutzgrundverordnung:
Systematische Beschreibung Zweck der Verarbeitung
Systematische Beschreibung der geplanten Verarbeitungsvorgänge
Vom für die Verarbeitung Verantwortlichen verfolgtes berechtigtes Interesse (falls zutreffend)
Beurteilung der Notwendigkeit in Bezug auf den Zweck
Bewertung der Verhältnismäßigkeit in Bezug auf den Zweck
Bewertung der Risiken für die Rechte und Freiheiten
Geplante Maßnahmen zur Bewältigung der Risiken
Geplante Maßnahmen zum Nachweis der Einhaltung
Gemäß Artikel 35 Absatz 4 der Verordnung und im Anschluss an die Stellungnahme des Europäischen Datenschutzausschusses (EDPB) hat das Amt die folgenden Verarbeitungen festgelegt, bei denen die für die Verarbeitung Verantwortlichen vor der Verarbeitung eine Datenschutz-Folgenabschätzung (DPIA") durchführen müssen.
Um die Einheitlichkeit in der gesamten Union zu gewährleisten, wurde die Liste der Arten von Verarbeitungen unter Berücksichtigung der von der WP29 angenommenen und anschließend vom EDPB gebilligten Leitlinien für Datenschutzfolgenabschätzungen erstellt.
Die Liste ist nicht erschöpfend und soll diese Leitlinien ergänzen und präzisieren.
ÜBERBLICK
Systematische Überwachung
KRITERIUM 3 VON WP248
Verarbeitung personenbezogener Daten, die Folgendes beinhaltet:
- Beobachtung, Überwachung oder Kontrolle des Verhaltens der betroffenen Personen, insbesondere in der Online-Umgebung;
- besondere Umstände, unter denen der für die Verarbeitung Verantwortliche gesetzlich verpflichtet ist, personenbezogene Daten über betroffene Personen ohne deren Wissen zu verarbeiten;
- Vorgänge im Zusammenhang mit der Verwendung von Geolokalisierungsdaten, einschließlich, aber nicht beschränkt auf die Zwecke des Direktmarketings; oder
- großflächige Überwachung von öffentlichen Räumen oder privaten, der Öffentlichkeit zugänglichen Bereichen.
Automatisierte Entscheidungen
KRITERIUM 2 VON WP248
Vollständig oder teilweise automatisierte Verarbeitungen, einschließlich Profiling, die rechtliche Auswirkungen auf die betroffenen Personen haben oder sie in ähnlicher Weise erheblich beeinträchtigen.
Einsatz von innovativen Technologien
KRITERIEN 4 & 7 VON WP248
Jegliche Verarbeitung besonderer Kategorien personenbezogener Daten und von Daten über schutzbedürftige Personen durch den Einsatz innovativer Technologien oder die Anwendung neuer Methoden in bestehenden Technologien.
Besondere Kategorien von Daten
KRITERIUM 4 VON WP248
Verarbeitung besonderer Kategorien von Daten in großem Umfang, einschließlich personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten.
Biometrische Daten
KRITERIEN 4, 3 UND 7 VON WP248
Jede Verarbeitung biometrischer Daten zur eindeutigen Identifizierung der betroffenen Personen:
- wenn sich die betroffenen Personen in einem öffentlichen Raum oder in einem der Öffentlichkeit zugänglichen privaten Bereich befinden;
- wenn die biometrischen Daten in Verbindung mit personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten verarbeitet werden;
- wenn sich die biometrischen Daten auf Personen beziehen, die eines hohen Schutzes bedürfen, wie Minderjährige, Arbeitnehmer, Patienten, psychisch Kranke und Asylbewerber.
Genetische Daten
KRITERIEN 4 UND 6 VON WP248
Jegliche Verarbeitung genetischer Daten, mit Ausnahme derjenigen, die von einem einzelnen Angehörigen der Gesundheitsberufe bei der Erbringung einer damit zusammenhängenden Dienstleistung direkt für die betroffenen Personen verarbeitet werden, zum Zwecke des Abgleichs oder der Kombination von Datensätzen in einer Weise, die die berechtigten Erwartungen der betroffenen Person übersteigen würde.
Daten über schutzbedürftige Personen
KRITERIUM 7 VON WP248
Verarbeitung personenbezogener Daten schutzbedürftiger natürlicher Personen, insbesondere in Bezug auf Kinder, Arbeitnehmer und Personen, die irgendeine Form von Sozialhilfe erhalten.
Überwachung der Mitarbeiter
KRITERIEN 1 & 7 VON WP248
Verarbeitung personenbezogener Daten zum Zweck der Bewertung oder Beurteilung von Aspekten der Arbeitsleistung des Arbeitnehmers oder wenn die Verarbeitung das Machtungleichgewicht zwischen den betroffenen Personen und dem für die Verarbeitung Verantwortlichen verstärkt, insbesondere wenn die Arbeitnehmer nicht ohne weiteres in die Verarbeitung ihrer Daten einwilligen oder sich ihr widersetzen oder ihre Rechte ausüben können.
