Unsere neue IT Verantwortung im Rahmen der DSVGO.
|
Interventionen von LXCDM im Rahmen der Einhaltung der DSGVO Wenn wir als IT-Subunternehmer bei der Durchführung einer Problemlösung agieren, müssen wir unserem Kunden "hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet. (Artikel 28 DSGVO). Wir müssen unsere Kunden insbesondere bei der Einhaltung bestimmter Verpflichtungen unterstützen und beraten, die in den europäischen Vorschriften vorgesehen sind (Folgenabschätzungen, Benachrichtigung über Verstöße, Sicherheit, Zerstörung von Daten, Beitrag zu Audits).
|
Hierbei handelt es sich zunächst um eine Verpflichtung zur Transparenz und Rückverfolgbarkeit. Wir müssen: - mit Ihrem Kunden einen Vertrag oder einen anderen Rechtsakt abschließen, in dem die Verpflichtungen jeder Partei festgelegt und die Bestimmungen von Artikel 28 der europäischen Verordnung aufgenommen werden. - Führen Sie schriftlich die Anweisungen unseres Kunden bezüglich der Verarbeitung seiner Daten auf, um nachzuweisen, dass wir "nach den dokumentierten Anweisungen des für die Verarbeitung Verantwortlichen" handeln. - Bitten Sie Ihren Kunden um schriftliche Genehmigung, wenn wir als Subunternehmer selbst einen Subunternehmer einsetzen. - Stellen Sie unserem Kunden alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung Ihrer Verpflichtungen nachzuweisen und die Durchführung von Audits zu ermöglichen. - Führen Sie ein Datenbank, in der Ihre Kunden identifiziert und die Behandlungen beschrieben werden, die wir in deren Auftrag durchführen.
|
|
|
Dabei werden zweitens auch die Grundsätze des Standard-Datenschutzes berücksichtigt Wir müssen unseren Kunden die notwendigen Garantien bieten, damit die Verarbeitung, die wir in ihrem Namen durchführen, den Anforderungen der europäischen Vorschriften entspricht und die Rechte der betroffenen Personen schützt. Dies bedeutet insbesondere, dass: - Unsere Tools, Produkte, Anwendungen oder Dienstleistungen die wir unseren Kunden anbieten, integrieren von ihrer Konzeption her effektiv die Grundsätze des Datenschutzes und... - Unsere Tools, Produkte, Anwendungen oder Dienstleistungen garantieren standardmäßig, dass nur die zum Zwecke der Verarbeitung erforderlichen Daten hinsichtlich der Menge der gesammelten Daten, des Umfangs ihrer Verarbeitung, der Aufbewahrungsfrist und der Anzahl der Menschen, die Zugang dazu haben, verarbeitet werden.
|
Dies beinhaltet drittens die Verpflichtung, die Sicherheit der verarbeiteten Daten zu gewährleisten - Unsere Mitarbeiter, die die Daten unserer Kunden verarbeiten, sind zur Vertraulichkeit verpflichtet. - Wir müssen unseren Kunden über jegliche Verstöße gegen die Integrität seiner Daten informieren. - Wir müssen alle Maßnahmen ergreifen, um ein an die Risiken angepasstes Sicherheitsniveau zu gewährleisten. - Falls unsere Dienste nicht mehr gebraucht werden, müssen, gemäß den Anweisungen unseres Kunden, alle Daten gelöscht oder an unseren Kunden zurückgesendet werden, sowie die vorhandenen Kopien vernichtet werden, es sei denn, die Aufbewahrung der Daten ist gesetzlich vorgeschrieben.
|
|
|
Dies impliziert viertens eine Verpflichtung zur Unterstützung, zur Alarmierung und zur Beratung - Wenn eine Anweisung unseres Kunden unserer Meinung nach einen Verstoß gegen die Datenschutzbestimmungen darstellt, müssen wir ihm dies unverzüglich mitteilen. - Wenn eine Person ihre Rechte ausübt (Zugang, Berichtigung, Löschung, Portabilität, Widerspruch, nicht vorbehaltlich einer automatisierten Einzelentscheidung, einschließlich Profilerstellung). Wir müssen unserem Kunden so weit wie möglich helfen, dieser Bitte nachzukommen. - Basierend auf den uns zur Verfügung stehenden Informationen müssen wir unserem Kunden dabei helfen, die Einhaltung der Verpflichtungen in Bezug auf Verarbeitungssicherheit, Benachrichtigung über Datenschutzverletzungen und Analyse der Auswirkungen auf den Datenschutz sicherzustellen.
|
Die Vorteile des LXCDM-Servicevertrags mit seiner DSGVO-Vereinbarung inklusive Risikomanagement Grundlage der Zusammenarbeit mit dem Kunden ist der Abschluss eines Servicevertrags, in dem eine vollumfängliche Betreueung der IT-Infrastruktur, ergänzt durch eine zur DSGVO konforme Vereinbarung, in der auch ein mit beiden Parteien gemeinsam durchzuführendes Risikomanagement definiert wird. Ausgehend von dieser Risikomanagementanalyse implementieren wir Sicherheitsrichtlinien zu folgenden wichtigen Punkten: - Mitarbeiterbewusstsein für mehr IT Sicherheit - Benutzerauthentifizierungen - Verwaltung von Berechtigungen auf komplexe Datenstrukturen und sensible Daten - Sicherheit der Arbeitstation - Sicherheit von mobilen Geräten - Schutz der internen IT-Infrastruktur - Sicherung und Gewährleistung der Geschäftskontinuität im Falls eines Ausfalls - Sichere Archivierung der Daten im Standort Luxemburg (Contern) - Überwachung, Pflege und Zerstörung (falls vom Kunden gewünscht) von Daten und Datenstrukturen - Verwaltung der Vergabe von Unteraufträgen an Subunternehmer - Rechte von Personen, deren personenbezogene Daten im Sinne der DSGVO erhoben und verarbeitet wurden
|
|
|
|
|