HR Business Club Salzburg Auswirkungen der Datenschutz-Grundverordnung auf das HR-Management Mag. Erwin Fuchs, Selbstständiger Rechtsanwalt, Northcote.Recht Salzburg, 16. November 2017 This is a title slide. The title and the subtitle can be overwritten in the normal way but the date is set via the ‘Header and Footer’ mechanism. To set the date, go to the
ÜBERBLICK Allgemeines zur DSGVO Auswirkungen der DSGVO auf das HR-Management Leitfaden – erste Schritte zur Umsetzung und praktische Tipps zur DSGVO
Allgemeines zur DSGVO - Unmittelbar wirksam und in Kraft ab 25.5.2018 - Datenschutz-Anpassungsgesetz 2018 bereits in Kraft – wenig Klarstellungen (z.B. Blockierung statt Löschung) - Strafen bis 10 bzw. 20 Mio EUR – oder 2 bzw. 4% des weltweiten Konzernumsatzes – auch für arbeitsrechtliche Datenschutzregelungen möglich! - Persönliche Daten natürlicher und juristischer Personen weiterhin geschützt
Allgemeines zur DSGVO - Rechte der Betroffenen weiterhin: Auskunft, Berichtigung, Löschung – Frist jeweils 1 Monat (max. 2 Monate bei komplexen Fällen) - Neu: Verzeichnis von Verarbeitungstätigkeiten, wenn keine Ausnahme vorliegt – Ausnahmen: (i) unter 250 DN (ii) Kein Risiko für Rechte und Freiheiten (iii) Nur gelegentliche Datenverarbeitung (iv) Keine besondere Datenkategorien (ehemals sensible Daten oder strafrechtlich relevante Daten)
Allgemeines zur DSGVO - Neue Pflichten in Zusammenhang mit data breaches (Selbstanzeige binnen 72 Stunden, sofern nicht Daten sichergestellt sind) - Neu: Datenschutzbeauftragter – nur verpflichtend in (i) Behörden und öffentlichen Stellen (ii) Unternehmen, die systematisch betroffene Personen beobachten (etwa Kreditauskunfteien; Banken; Versicherungen; Unternehmen, die Bewertungsplatformen betreiben; IT-Dienstleister)
Auswirkungen der DSGVO auf das HR-Management DSGVO betrifft Daten natürlicher und juristischer Personen – sämtliche Daten von Bewerbern, Arbeitnehmern und ehemalige Arbeitnehmern (im Folgenden: AN-Daten) erfasst AN-Daten werden in jedem Unternehmen verarbeitet Jedes Unternehmen muss derzeitige Datenverarbeitung an den Grundsätzen der DSGVO messen – keine Übergangsfrist ab 25.5.2018!
Auswirkungen der DSGVO auf das HR-Management Nicht meldepflichtige Standardanwendungen noch bis 25.5.2018 SA002 Personalverwaltung für privatrechtliche Dienstverhältnisse; gilt für Unternehmen, die AN, AN-ähnliche Personen, freie DN, Lehrlinge, Volontäre, Ferialpraktikanten, ehem. DN und Leiharbeitnehmer (direkt) beschäftigen
Auswirkungen der DSGVO auf das HR-Management In Zukunft für gelten für die Datenverarbeitung von Mitarbeitern folgende Grundsätze Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz Zweckbindung Datenminimierung Richtigkeit Speicherbegrenzung Integrität und Vertraulichkeit
Auswirkungen der DSGVO auf das HR-Management Besonderer Fokus auf Rechtmäßigkeit Bedingungen für die Einwilligung strenger! Verarbeitung besonderer Kategorien personenbezogener Daten nur mit ausdrücklicher Zustimmung (außer arbeitsrechtliche Pflichten als AG oder übergeordnete Interessen)
Auswirkungen der DSGVO auf das HR-Management Rechtmäßigkeit gs. nur gegeben wenn Zustimmung/Einwilligung des Betroffenen Erfüllung eines Vertrages / vorvertragliche Pflichten Rechtliche Verpflichtung Überwiegende Interessen Einwilligung Nachweislich Wenn schriftlich, dann verständliche und leicht zugängliche Form sowie klare und einfache Sprache Widerruf jederzeit möglich! Freiwilligkeit streng geprüft – keine Verquickung für mehrere Verarbeitungen – Koppelungsverbot!
Auswirkungen der DSGVO auf das HR-Management Beachtung arbeitsrechtlicher Datenschutz-bestimmungen (§§89, 91, 96, 96a ArbVG bzw. §10 AVRAG) weiterhin notwendig Sobald Ö eine Notifikation an die Europäische Kommission abgibt, wonach arbeitsrechtliche Normen datenschutzrechtliche Schutznormen darstellen, gelten die Strafen bis 20 Mio. EUR oder 4% des weltweiten Konzernumsatzes auch für die Nichteinhaltung arbeitsrechtlicher Datenschutz-bestimmungen!
Auswirkungen der DSGVO auf das HR-Management Beispiele für die wichtigsten arbeitsrechtlichen Datenschutzregelungen: Kontrollmaßnahmen (VideoÜW, GPS-Ortungen, IT-Systeme – je nach Intensität des Eingriffs) Personalfragebögen (wenn Daten außerhalb der beabsichtigten Verwendung verarbeitet werden) Personaldatensysteme (streng genommen bereits jede Übermittlung von Personaldaten) Personalbeurteilungssysteme (Daten werden erhoben, die nicht durch die betriebliche Verwendung gerechtfertigt sind)
Leitfaden – erste Schritte zur Umsetzung der DSGVO 2 Grundpfeiler: Datensicherheit und Compliance Datensicherheit wird verstärkt – zusätzliche Sicherheitsmaßnahmen im Vergleich zum DSG 2000 nötig Pseudonymisierung und Verschlüsselung Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der IT-Systeme sicherzustellen Fähigkeit die IT-Systeme nach Zwischenfall rasch wiederherzustellen Regelmäßiges internes Audit, dass Sicherheitsmaßnahmen noch wirksam sind
Leitfaden – erste Schritte zur Umsetzung der DSGVO Compliance insb. in folgenden Bereichen: Datenkategorien Rechtliche Grundlage Zweckbindung Datenminimierung und Datensparsamkeit Datenrichtigkeit und Datenaktualität Speicherdauer Datenübermittlung an Dritte Aufklärungs- und Informationspflichten Prozesse zur Entsprechung der Betroffenenrechte Auftragsdatenverarbeitung Sonderthemen: DS-Folgeabschätzung, Verzeichnis, DS-Beauftragter etc.
Praktische erste Schritte zur Umsetzung der DSGVO – Teil I Benennung eines internen SPOC/DS-Managers – 3 Ansprechpartner nötig: Projektleitung – IT – Recht Erstellung eines Datenverarbeitungsverzeichnisses Ermittlung der Dienstleister/Auftragsdatenverarbeiter und Erstellung bzw. Prüfung der DL/ADV-Verträge Datensicherheitscheck Arbeitsrechtliche Datenschutz-Compliance (inkl. Einbeziehung des BR, wenn vorhanden) Einführung der Prozesse für Betroffenenrechte Datenübermittlung an Dritte, wenn vorhanden, prüfen Datenschutz b2b und Spezialthemen je nach Branche prüfen
Praktische erste Schritte zur Umsetzung der DSGVO – Teil II Inhalt eines Datenverarbeitungsverzeichnisses: Name und Kontaktdaten des/der Verantwortlichen, des Vertreters und eines allfälligen DS-Beauftragten Zwecke der Verarbeitung Beschreibung der Kategorien der betroffenen Personen und der Kategorien der betroffenen personenbezogenen Daten Kategorien der Empfänger Übermittlungen an Drittländer, wenn vorhanden Fristen für die Löschung, wenn möglich Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen, wenn möglich Nicht zwingend, aber anzuraten: Rechtliche Grundlage der DV
Selbstständiger Rechtsanwalt Northcote.Recht Landstr.Hauptstr.1 Kontakt: Mag. Erwin Fuchs Selbstständiger Rechtsanwalt Northcote.Recht Landstr.Hauptstr.1 1030 Wien T: +43 1 715 11 15 F: +43 1 715 11 15 55 E: e.fuchs@northcote.at www.northcote.at Wir reden heute über Anwälte, Verdienstmöglichkeiten, Qualitäten im Leben und Lebenseinstellungen von uns Jungen. Bei Frage etwas über Parkinson sagen. Cyril Northcote Parkinson, sein Gesetz ist der Succus des Konzeptes