Datenschutzerklärung: Unterschied zwischen den Versionen
Ripper (Diskussion | Beiträge) K (Schützte „Datenschutzerklärung“ ([Bearbeiten=Nur Administratoren erlauben] (unbeschränkt) [Verschieben=Nur Administratoren erlauben] (unbeschränkt))) |
Keine Bearbeitungszusammenfassung |
||
Zeile 1: | Zeile 1: | ||
Zum Schutz der personenbezogenen Daten steht hier nichts. | Zum Schutz der personenbezogenen Daten steht hier nichts. | ||
Datenverarbeitungsverzeichnis nach Art 30 Abs 1 EU-Datenschutz-Grundverordnung (DSGVO) - Verein Metalab | |||
Inhalt | |||
1. Stammdatenblatt: Allgemeine Angaben | |||
2. Datenverarbeitungen/Datenverarbeitungszwecke | |||
3. Detailangaben zu den einzelnen Datenverarbeitungszwecken | |||
4. Allgemeine Beschreibung organisatorisch-technischer Maßnahmen | |||
Stammdatenblatt | |||
Name und Kontaktdaten des für die Verarbeitung Verantwortlichen | |||
1. Name und Anschrift: | |||
„Verein zur Förderung der Erforschung und Bildung sozialer und technischer Innovationen – metalab“ | |||
Rathausstraße 6, 1010 Wien | |||
2. E-Mail-Adresse core@metalab.at | |||
3. Tel.Nr.: +43 72000232 | |||
Datenverarbeitungen/Datenverarbeitungszwecke | |||
1. Zwecke und Beschreibung der Datenverarbeitung[3]: | |||
1. Personenverwaltung | |||
2. Kassenverwaltung | |||
3. Verwaltung Bankkonten | |||
4. Bereitstellung „mailman“ | |||
5. metalab.at Homepage | |||
6. Metalab Wiki | |||
7. | |||
8. | |||
9. | |||
usw. | |||
2. Wurde eine Datenschutz-Folgenabschätzung durchgeführt?[4] | |||
1. Ja , Mai 2018 | |||
Detailangaben zu ….. | |||
(Einfügung der konkreten Datenverarbeitung aus dem B-Blatt, zB des Datenverarbeitungszweckes „Rechnungswesen“; das C-Blatt kann dann für jede der im B-Blatt angegebenen Datenverarbeitungszwecke verwendet werden, ohne dass die allgemeinen Angaben aus dem A- und B-Blatt wiederholt werden müssen) | |||
1. Attribute der Personenverwaltung (betroffenen Personen) | |||
1. handle (frei gewähltes Pseudonym) | |||
2. Name (sofern von der Person bekannt gegeben) | |||
3. Mitgliedsstatus (prospect/Interessent, Mitgliedstatus/Kategorie, Leferantenstatus, ...) | |||
4. Eintritts/Austrittsdatum | |||
5. Einzahlungen/Auszahlungen | |||
6. mail-Adresse | |||
7. Postanschrift | |||
8. | |||
9. | |||
2. Verwaltung Kassa | |||
1. Ein/Auszahlungsbeträge, | |||
2. Buchungsdatum | |||
3. Zahlender/Zahlungsempfänger | |||
4. Zahlungsgrund | |||
5. ev. besondere Bemerkungen | |||
6. | |||
7. | |||
8. | |||
3. Verwaltung Bankkonten | |||
1. Kontoauszüge/Buchnungsbestätigungen | |||
2. Zusammenfassungen | |||
3. | |||
4. Rechtsgrundlagen[6] | |||
1. Erbringung der Vereinsleistungen entsprechend Statut | |||
5. Verträge , Beitrittserklärungen, Zustimmungserklärungen und sonstige Unterlagen (zB Erledigung der Informationspflichten[7]) sind abgelegt:[8] entsprechend Entscheidung und in Verantwortung des Vereinsvostandes | |||
6. Kategorien der verarbeiteten Daten und Löschungs- bzw. Aufbewahrungsfristen[9] | |||
1. Kategorien der verarbeiteten Daten und ankreuzen, ob sie an Empfänger[10] übermittelt werden | |||
2. Löschungs- und Aufbewahrungsfristen (wenn möglich) | |||
Daten aus 4.a. (Lfd. Nr.) | |||
Angabe bzw. Beschreibung der Löschungs- bzw. Aufbewahrungsfristen | |||
7. Kategorien von Empfängern[13], an die personenbezogene Daten offengelegt werden (inkl. Auftragsverarbeitung), speziell bei Empfängern in Drittländern[14] | |||
1. Kategorien der Empfänger sowie Übermittlungsort (Drittstaat, Internationale Organisation wie z.B. UNO, OSZE) | |||
Empfänger-Kategorien bzw. Empfänger in Drittstaaten oder Internationalen Organisationen (aus 4.a) | |||
Drittstaat (Angabe des Drittstaats, d.h. Staaten außerhalb der EU) | |||
Internationale Organisation (Angabe der intern. Organisation) | |||
2. Dokumentation der getroffenen geeigneten Garantien im Falle einer Übermittlung in Drittstaaten die nicht auf Art 45, 46, 47 oder 49 Abs 1 Unterabsatz 1 DSGVO erfolgt (vor allem wenn kein Angemessenheitsbeschluss der Europäischen Kommission vorliegt, keine Standardvertragsklauseln der Europäischen Kommission oder der nationalen Datenschutzbehörde verwendet werden oder genehmigte Zertifizierungsmechanismen in Anspruch genommen werden, keine Corporate binding rules zur Anwendung kommen (genehmigte verbindliche konzerninterne Datenschutzvorschriften), die Übermittlung nicht für Vertragserfüllungszwecke erforderlich ist oder keine ausdrückliche Einwilligung vorliegt): | |||
Allgemeine Beschreibung der technisch-organisatorischen Maßnahmen | |||
1. Vertraulichkeit:[15] | |||
2. Integrität:[16] | |||
3. Verfügbarkeit und Belastbarkeit: | |||
4. Pseudonymisierung und Verschlüsselung: | |||
5. Evaluierungsmaßnahmen: | |||
[1] Sofern ein Datenschutzbeauftragter verpflichtend oder auf freiwilliger Basis bestellt wurde. | |||
Hinweis: Wenn keine Verpflichtung zur Bestellung eines Datenschutzbeauftragten besteht, der Verantwortliche aber freiwillig einen bestellen möchte, müssen trotzdem alle den Datenschutzbeauftragten betreffenden Bestimmungen der DSGVO eingehalten werden; möchte man das nicht, darf die bestellte Person nicht „Datenschutzbeauftragter“ genannt werden, sondern sollte eine andere Bezeichnung gewählt werden (z.B. „Datenschutzkoordinator“). Dieser kann, muss aber nicht ins Verarbeitungsverzeichnis aufgenommen werden. Siehe dazu das WKO-Merkblatt „Datenschutzbeauftragter“. | |||
[2] Darunter sind Vertreter von nicht in der EU niedergelassenen Verantwortlichen zu verstehen. | |||
[3] Zum Begriff „Verarbeitung“ siehe das Merkblatt „Wichtige Begriffsbestimmungen“; sollten Daten auch an „Dritte“ oder an Auftragsverarbeiter übermittelt werden, sind auch die Zwecke dieser Datenübermittlungen im Verarbeitungsverzeichnis zu dokumentieren. | |||
[4] Zur Datenschutz-Folgenabschätzung siehe das Merkblatt „Datenschutz-Folgenabschätzung“. Im Verarbeitungsverzeichnis sind zwar Angaben zur Datenschutz-Folgenabschätzung nicht zwingend vorgesehen. Aus Gründen der Rechenschaftspflicht empfehlen sich aber grundsätzliche Angaben darüber auch ins Verarbeitungsverzeichnis aufzunehmen. | |||
[5] Eine Datenschutz-Folgenabschätzung ist nicht durchzuführen, wenn durch die Datenverarbeitung voraussichtlich kein hohes Risiko für die Rechte der Betroffenen besteht oder die Datenverarbeitungsart in der sogenannten „white list“ der Datenschutzbehörde gelistet ist (derzeit besteht noch keine „white list“); Näheres dazu siehe auch das Merkblatt „Datenschutz-Folgenabschätzung“. | |||
[6] Die Rechtsgrundlagen (z.B. rechtliche Verpflichtung, Einwilligung, Vertragserfüllung, lebenswichtige Interessen des Betroffenen, kein überwiegendes berechtigtes Interesse des Betroffenen) sind nach der DSGVO zwar nicht verpflichtend ins Verarbeitungsverzeichnis aufzunehmen. Allerdings unterliegt der verantwortliche Verarbeiter einer sogenannten Rechenschaftspflicht. Diese besagt eine Nachweispflicht bzgl. der Einhaltung der Pflichten nach der DSGVO. Dazu gehört unter anderem auch der Nachweis, dass die Datenverarbeitung nach den in der DSGVO normierten Rechtmäßigkeitsgrundlagen erfolgt. Siehe das Merkblatt „Grundsätze und Rechtmäßigkeit der Verarbeitung“. | |||
[7] Siehe zu den Informationspflichten das Merkblatt „Informationspflichten“. | |||
[8] Die Angabe, wo die Unterlagen innerhalb der Organisation abgelegt wurden, ist nicht verpflichtend im Verarbeitungsverzeichnis zu dokumentieren, erleichtert aber vor allem in größeren, arbeitsteilig organisierten Organisationen das Auffinden der entscheidenden Unterlagen (dient also lediglich der innerbetrieblichen Arbeitserleichterung). | |||
[9] Nach der DSGVO sind die Löschfristen bzw. Aufbewahrungsfristen nach Möglichkeit ins Verarbeitungsverzeichnis aufzunehmen. Beispielsweise kann bei unbefristeten Verträgen keine konkrete Löschfrist angegeben werden, da der konkrete Vertragsablauf unbestimmt ist. Es empfiehlt sich hier allerdings eine abstrakte Frist anzugeben (z.B. „nach Ablauf des Vertrages“). | |||
[10] In der Rubrik „Empfänger“ sind nur die „Empfängerkategorien“ (z.B. „Gerichte“, „Banken“ oder „Sozialversicherungsträger“) einzutragen. Bei der Umschreibung der Empfängerkategorien ist darauf zu achten, dass eine Überprüfung der Rechtmäßigkeit ermöglicht wird (so wird z.B. die bloße Angabe von „Konzern“ als Empfänger nicht ausreichen, weil daraus nicht eruierbar sein wird, ob die Daten rechtmäßig an die Muttergesellschaft und/oder an Schwestergesellschaften übertragen werden). | |||
[11] Daten nach Art 9 DSGVO sind besondere Datenkategorien („sensible Daten): rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische und biometrische Daten zur Identifizierung einer natürlichen Person, Gesundheitsdaten, Daten zum Sexualleben oder der sexuellen Orientierung. | |||
[12] Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln unter behördlicher Aufsicht. | |||
[13] Es sind vor allem Übermittlungsempfänger („Dritte“) als auch Auftragsverarbeiter hier zu dokumentieren. Bei der Umschreibung der Empfängerkategorien ist darauf zu achten, dass eine Überprüfung der Rechtmäßigkeit ermöglicht wird (so wird zB die bloße Angabe von „Konzern“ als Empfänger nicht ausreichen, weil daraus nicht eruierbar sein wird, ob die Daten rechtmäßig an die Muttergesellschaft und/oder an Schwestergesellschaften übertragen werden). | |||
[14] Siehe dazu das Merkblatt „Internationaler Datenverkehr“. Bei Empfängern in Drittstaaten (speziell in den USA wegen dem „Privacy Shield“-System) empfiehlt sich eine namentliche Nennung des Empfängers. | |||
[15) Verhinderung von (unbeabsichtigter) Offenlegung oder unbefugten Zugang zu personenbezogenen Daten. | |||
[16] Verhinderung von (unbeabsichtigter) Zerstörung/Vernichtung, (unbeabsichtigter) Schädigung, (unbeabsichtigtem) Verlust, (unbeabsichtigter) Veränderung von personenbezogenen Daten. | |||
Wirtschaftskammer Kontakt | |||
Für den Ansprechpartner in Ihrer Wirtschaftskammer wählen Sie bitte oben Ihr Bundesland aus. | |||
Österreichweite Inhalte | |||
• EU-Datenschutz-Grundverordnung (DSGVO): Dokumentationspflicht - Verzeichnis von Verarbeitungstätigkeiten | |||
Pflicht und Umfang von Verzeichnissen von Verarbeitungstätigkeiten | |||
Downloads | |||
• Muster Verarbeitungsverzeichnis für Verantwortliche DOCX | |||
• Anwendungsbeispiel für Verantwortliche PDF | |||
Das könnte Sie auch interessieren | |||
• EU-Datenschutz-Grundverordnung (DSGVO) | |||
• EU-Datenschutz-Grundverordnung (DSGVO): Wichtige Begriffsbestimmungen |
Version vom 17. Mai 2018, 20:53 Uhr
Zum Schutz der personenbezogenen Daten steht hier nichts.
Datenverarbeitungsverzeichnis nach Art 30 Abs 1 EU-Datenschutz-Grundverordnung (DSGVO) - Verein Metalab
Inhalt
1. Stammdatenblatt: Allgemeine Angaben 2. Datenverarbeitungen/Datenverarbeitungszwecke 3. Detailangaben zu den einzelnen Datenverarbeitungszwecken 4. Allgemeine Beschreibung organisatorisch-technischer Maßnahmen
Stammdatenblatt Name und Kontaktdaten des für die Verarbeitung Verantwortlichen
1. Name und Anschrift: „Verein zur Förderung der Erforschung und Bildung sozialer und technischer Innovationen – metalab“
Rathausstraße 6, 1010 Wien
2. E-Mail-Adresse core@metalab.at 3. Tel.Nr.: +43 72000232
Datenverarbeitungen/Datenverarbeitungszwecke
1. Zwecke und Beschreibung der Datenverarbeitung[3]: 1. Personenverwaltung 2. Kassenverwaltung 3. Verwaltung Bankkonten 4. Bereitstellung „mailman“ 5. metalab.at Homepage 6. Metalab Wiki 7. 8. 9.
usw.
2. Wurde eine Datenschutz-Folgenabschätzung durchgeführt?[4] 1. Ja , Mai 2018
Detailangaben zu ….. (Einfügung der konkreten Datenverarbeitung aus dem B-Blatt, zB des Datenverarbeitungszweckes „Rechnungswesen“; das C-Blatt kann dann für jede der im B-Blatt angegebenen Datenverarbeitungszwecke verwendet werden, ohne dass die allgemeinen Angaben aus dem A- und B-Blatt wiederholt werden müssen)
1. Attribute der Personenverwaltung (betroffenen Personen) 1. handle (frei gewähltes Pseudonym) 2. Name (sofern von der Person bekannt gegeben) 3. Mitgliedsstatus (prospect/Interessent, Mitgliedstatus/Kategorie, Leferantenstatus, ...) 4. Eintritts/Austrittsdatum 5. Einzahlungen/Auszahlungen 6. mail-Adresse 7. Postanschrift 8. 9. 2. Verwaltung Kassa 1. Ein/Auszahlungsbeträge, 2. Buchungsdatum 3. Zahlender/Zahlungsempfänger 4. Zahlungsgrund 5. ev. besondere Bemerkungen 6. 7. 8. 3. Verwaltung Bankkonten 1. Kontoauszüge/Buchnungsbestätigungen 2. Zusammenfassungen 3. 4. Rechtsgrundlagen[6] 1. Erbringung der Vereinsleistungen entsprechend Statut 5. Verträge , Beitrittserklärungen, Zustimmungserklärungen und sonstige Unterlagen (zB Erledigung der Informationspflichten[7]) sind abgelegt:[8] entsprechend Entscheidung und in Verantwortung des Vereinsvostandes 6. Kategorien der verarbeiteten Daten und Löschungs- bzw. Aufbewahrungsfristen[9] 1. Kategorien der verarbeiteten Daten und ankreuzen, ob sie an Empfänger[10] übermittelt werden 2. Löschungs- und Aufbewahrungsfristen (wenn möglich)
Daten aus 4.a. (Lfd. Nr.) Angabe bzw. Beschreibung der Löschungs- bzw. Aufbewahrungsfristen
7. Kategorien von Empfängern[13], an die personenbezogene Daten offengelegt werden (inkl. Auftragsverarbeitung), speziell bei Empfängern in Drittländern[14] 1. Kategorien der Empfänger sowie Übermittlungsort (Drittstaat, Internationale Organisation wie z.B. UNO, OSZE)
Empfänger-Kategorien bzw. Empfänger in Drittstaaten oder Internationalen Organisationen (aus 4.a) Drittstaat (Angabe des Drittstaats, d.h. Staaten außerhalb der EU) Internationale Organisation (Angabe der intern. Organisation)
2. Dokumentation der getroffenen geeigneten Garantien im Falle einer Übermittlung in Drittstaaten die nicht auf Art 45, 46, 47 oder 49 Abs 1 Unterabsatz 1 DSGVO erfolgt (vor allem wenn kein Angemessenheitsbeschluss der Europäischen Kommission vorliegt, keine Standardvertragsklauseln der Europäischen Kommission oder der nationalen Datenschutzbehörde verwendet werden oder genehmigte Zertifizierungsmechanismen in Anspruch genommen werden, keine Corporate binding rules zur Anwendung kommen (genehmigte verbindliche konzerninterne Datenschutzvorschriften), die Übermittlung nicht für Vertragserfüllungszwecke erforderlich ist oder keine ausdrückliche Einwilligung vorliegt):
Allgemeine Beschreibung der technisch-organisatorischen Maßnahmen
1. Vertraulichkeit:[15] 2. Integrität:[16] 3. Verfügbarkeit und Belastbarkeit: 4. Pseudonymisierung und Verschlüsselung: 5. Evaluierungsmaßnahmen:
[1] Sofern ein Datenschutzbeauftragter verpflichtend oder auf freiwilliger Basis bestellt wurde. Hinweis: Wenn keine Verpflichtung zur Bestellung eines Datenschutzbeauftragten besteht, der Verantwortliche aber freiwillig einen bestellen möchte, müssen trotzdem alle den Datenschutzbeauftragten betreffenden Bestimmungen der DSGVO eingehalten werden; möchte man das nicht, darf die bestellte Person nicht „Datenschutzbeauftragter“ genannt werden, sondern sollte eine andere Bezeichnung gewählt werden (z.B. „Datenschutzkoordinator“). Dieser kann, muss aber nicht ins Verarbeitungsverzeichnis aufgenommen werden. Siehe dazu das WKO-Merkblatt „Datenschutzbeauftragter“. [2] Darunter sind Vertreter von nicht in der EU niedergelassenen Verantwortlichen zu verstehen. [3] Zum Begriff „Verarbeitung“ siehe das Merkblatt „Wichtige Begriffsbestimmungen“; sollten Daten auch an „Dritte“ oder an Auftragsverarbeiter übermittelt werden, sind auch die Zwecke dieser Datenübermittlungen im Verarbeitungsverzeichnis zu dokumentieren. [4] Zur Datenschutz-Folgenabschätzung siehe das Merkblatt „Datenschutz-Folgenabschätzung“. Im Verarbeitungsverzeichnis sind zwar Angaben zur Datenschutz-Folgenabschätzung nicht zwingend vorgesehen. Aus Gründen der Rechenschaftspflicht empfehlen sich aber grundsätzliche Angaben darüber auch ins Verarbeitungsverzeichnis aufzunehmen. [5] Eine Datenschutz-Folgenabschätzung ist nicht durchzuführen, wenn durch die Datenverarbeitung voraussichtlich kein hohes Risiko für die Rechte der Betroffenen besteht oder die Datenverarbeitungsart in der sogenannten „white list“ der Datenschutzbehörde gelistet ist (derzeit besteht noch keine „white list“); Näheres dazu siehe auch das Merkblatt „Datenschutz-Folgenabschätzung“. [6] Die Rechtsgrundlagen (z.B. rechtliche Verpflichtung, Einwilligung, Vertragserfüllung, lebenswichtige Interessen des Betroffenen, kein überwiegendes berechtigtes Interesse des Betroffenen) sind nach der DSGVO zwar nicht verpflichtend ins Verarbeitungsverzeichnis aufzunehmen. Allerdings unterliegt der verantwortliche Verarbeiter einer sogenannten Rechenschaftspflicht. Diese besagt eine Nachweispflicht bzgl. der Einhaltung der Pflichten nach der DSGVO. Dazu gehört unter anderem auch der Nachweis, dass die Datenverarbeitung nach den in der DSGVO normierten Rechtmäßigkeitsgrundlagen erfolgt. Siehe das Merkblatt „Grundsätze und Rechtmäßigkeit der Verarbeitung“. [7] Siehe zu den Informationspflichten das Merkblatt „Informationspflichten“. [8] Die Angabe, wo die Unterlagen innerhalb der Organisation abgelegt wurden, ist nicht verpflichtend im Verarbeitungsverzeichnis zu dokumentieren, erleichtert aber vor allem in größeren, arbeitsteilig organisierten Organisationen das Auffinden der entscheidenden Unterlagen (dient also lediglich der innerbetrieblichen Arbeitserleichterung). [9] Nach der DSGVO sind die Löschfristen bzw. Aufbewahrungsfristen nach Möglichkeit ins Verarbeitungsverzeichnis aufzunehmen. Beispielsweise kann bei unbefristeten Verträgen keine konkrete Löschfrist angegeben werden, da der konkrete Vertragsablauf unbestimmt ist. Es empfiehlt sich hier allerdings eine abstrakte Frist anzugeben (z.B. „nach Ablauf des Vertrages“). [10] In der Rubrik „Empfänger“ sind nur die „Empfängerkategorien“ (z.B. „Gerichte“, „Banken“ oder „Sozialversicherungsträger“) einzutragen. Bei der Umschreibung der Empfängerkategorien ist darauf zu achten, dass eine Überprüfung der Rechtmäßigkeit ermöglicht wird (so wird z.B. die bloße Angabe von „Konzern“ als Empfänger nicht ausreichen, weil daraus nicht eruierbar sein wird, ob die Daten rechtmäßig an die Muttergesellschaft und/oder an Schwestergesellschaften übertragen werden). [11] Daten nach Art 9 DSGVO sind besondere Datenkategorien („sensible Daten): rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische und biometrische Daten zur Identifizierung einer natürlichen Person, Gesundheitsdaten, Daten zum Sexualleben oder der sexuellen Orientierung. [12] Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln unter behördlicher Aufsicht. [13] Es sind vor allem Übermittlungsempfänger („Dritte“) als auch Auftragsverarbeiter hier zu dokumentieren. Bei der Umschreibung der Empfängerkategorien ist darauf zu achten, dass eine Überprüfung der Rechtmäßigkeit ermöglicht wird (so wird zB die bloße Angabe von „Konzern“ als Empfänger nicht ausreichen, weil daraus nicht eruierbar sein wird, ob die Daten rechtmäßig an die Muttergesellschaft und/oder an Schwestergesellschaften übertragen werden). [14] Siehe dazu das Merkblatt „Internationaler Datenverkehr“. Bei Empfängern in Drittstaaten (speziell in den USA wegen dem „Privacy Shield“-System) empfiehlt sich eine namentliche Nennung des Empfängers. [15) Verhinderung von (unbeabsichtigter) Offenlegung oder unbefugten Zugang zu personenbezogenen Daten. [16] Verhinderung von (unbeabsichtigter) Zerstörung/Vernichtung, (unbeabsichtigter) Schädigung, (unbeabsichtigtem) Verlust, (unbeabsichtigter) Veränderung von personenbezogenen Daten. Wirtschaftskammer Kontakt Für den Ansprechpartner in Ihrer Wirtschaftskammer wählen Sie bitte oben Ihr Bundesland aus. Österreichweite Inhalte
• EU-Datenschutz-Grundverordnung (DSGVO): Dokumentationspflicht - Verzeichnis von Verarbeitungstätigkeiten Pflicht und Umfang von Verzeichnissen von Verarbeitungstätigkeiten
Downloads
• Muster Verarbeitungsverzeichnis für Verantwortliche DOCX • Anwendungsbeispiel für Verantwortliche PDF
Das könnte Sie auch interessieren
• EU-Datenschutz-Grundverordnung (DSGVO) • EU-Datenschutz-Grundverordnung (DSGVO): Wichtige Begriffsbestimmungen