Rechte der betroffenen Person Ein DSGVO Implementierungsguide

Präsentation zum Thema: "Rechte der betroffenen Person Ein DSGVO Implementierungsguide"—  Präsentation transkript:

1 Rechte der betroffenen Person Ein DSGVO Implementierungsguide

2 Agenda - Betroffenenrechte
1 | Einführung 2 | Rechte der Betroffenen nach DSGVO 3 | Praxisumsetzung

3 Was Unternehmen heute tun…
– / Privacy Policy Letter in Mail an Brief per Post

4 Was passiert nun mit der DSGVO?
Personenbezogene Daten immer mehr im Fokus der Öffentlichkeit Betroffenenanfragen werden zunehmen Verantwortliche in der Pflicht  Ausmaß unbekannt – / Privacy Policy Letter in Mail

5 Maximale Geldbußen und Risiken durch Sammelklagen
Bis zu 10 Mio. EUR oder 2% des Jahresumsatzes Verletzung der Pflichten des Verantwortlichen und des Verarbeiters Bis zu 20 Mio. EUR oder 4% des Jahresumsatzes Verstoß gegen Betroffenenrechte Verstoß gegen Bestimmungen in Bezug auf die Übermittlung personenbezogener Daten in ein Drittland Now, I hate to do this, but let’s talk about fines for a moment As you probably know, ceiling for fines depends on the type of violation Well, a violation of data subject rights can mean a fine of up to 20M or 4% of annual turnover. There has also been some debate about whether the GDPR provides a right to form class action lawsuits against controllers. Article 80 states that data subjects can mandate n0n- profits

6 Rechtsbehelfe, Haftung und Sanktionen
Denial-of-Service-Angriff durch Datenauskunfts-anfragen von Betroffenen Klagen im Namen von Betroffenen (Sammelklagen) 4% oder 20 Mio. Euro 2% oder 10 Mio. Euro Einstellung der Daten-verwendung oder Löschung von Daten Geldbußen werden auf Grundlage mehrerer Faktoren berechnet: Bereits bestehende Kontrollen Art, Schwere, Umfang und Dauer des Verstoßes die Arten der personenbezogenen Daten, die von dem Verstoß betroffen sind vom Verantwortlichen oder Verarbeiter ergriffene Maßnahmen zur Minderung/Aufhebung des Risikos oder zur Benachrichtigung der betroffenen Partei über eine Datenschutzverletzung Warnung, Verweis

7 Seien Sie in der Lage, die Bearbeitung von Anfragen in strukturierter und konsistenter Weise vorzunehmen und Behördenanfragen zu beantworten, sobald ein Verstoß öffentlich ist. A quick note—controllers are responsible for responding to data subject requests, whereas processors are there to assist.

8 Operative Anforderungen zum Umgang mit Betroffenenrechten nach der DSGVO
Annahme von Anfragen Umgang mit Anfragen Ablehnung von Anfragen Übermittlung von Antworten Dokumentation von Ergebnissen Anfrage benutzerfreundlich gestalten Identität bestätigen; zusätzliche Informationen anfordern Wann Sie ein Entgelt verlangen können Kommunikation mit Aufsichtsbehörde Compliance nachweisen, Transparenz aufzeigen Art. 12 Abs. 4 Art. 12 Abs. 6 Art. 12 Abs. 5 lit. a Konsistente Antworten Arbeitsablauf dokumentieren Tool zur Markierung Art. 12 Abs. 2 Übermittlung in schriftlicher, vorzugsweise elektronischer, Form Anfragen vereinfachen; z.B. Webportal Dokumentation aller Anforderungen. Per sehr schwierig Unverzüglich Wann Sie Anfragen ablehnen können Art. 12 Abs. 1 Auf elektronische Weise Art. 12 Abs. 3 Art. 11 Abs. 2, Art.12 Abs. 5 lit. a Nachverfolgung und Benachrichtigungen Validierung nicht möglich Elektronische Antworten bei elektronischen Anfragen Verlängerung Verschiedene Ausnahmen Art. 12 Abs. 3 Auf elektronische Weise Art. 12 Abs. 3 Art. 12 Abs. 3 Nachverfolgen und kommunizieren Daten sicher hin und her übermitteln Verarbeitungsverzeichnis mit Rechtsgrundlage verknüpfen Kostenfrei Sicheres Portal; keine Unterrichtung über Rechtsbehelfe und Beschwerden bei Aufsichtsbehörde Art. 12 Abs. 5 Präzise, transparent und verständlich Effizient gestalten Art. 12 Abs. 4 Art. 12 Abs. 1 Bereit sein, Maßnahmen zu rechtfertigen Konsistente Antworten

9 NEUN Betroffenen-rechte nach der DSGVO
Recht auf Information Artikel 13, 14 Erwägungsgrund 60–62 Auskunftsrecht der betroffenen Person Artikel 15 Erwägungsgrund 63, 64 Recht auf Berichtigung Artikel 16, 19 NEUN Betroffenen-rechte nach der DSGVO Recht auf Löschung (Recht auf Vergessen werden) Artikel 17, 19 Erwägungsgrund 65, 66 Recht auf Einschränkung der Verarbeitung Artikel 18, 19 Erwägungsgrund 67 Recht auf Datenübertragbarkeit Artikel 20 Erwägungsgrund 68 Widerspruchsrecht Artikel 21 Erwägungsgrund 69, 70 Automatisierte Entscheidungs-findung im Einzelfall Artikel 22 Erwägungsgrund 71, 72 Recht, die Einwilligung zu widerrufen Artikel 7 Erwägungsgrund 32, 33, 41, 43

10 1. Recht auf Information (Informationspflicht)
Artikel 13 und 14, Erwägungsgründe 60 – 62 Übersicht: das Recht auf Informationen vom Verantwortlichen Verantwortliche müssen Informationen ohne Anfrage zur Verfügung stellen Anwendungsbereich: Der Verantwortliche (Controller) bezieht die personenbezogenen Daten auf direktem oder indirektem Weg. Weitere Anforderungen: Wenn direkt: zum Zeitpunkt der Erhebung der Daten Wenn indirekt: innerhalb einer angemessenen Frist nach Erlangung der Daten, aber spätestens: innerhalb eines Monats oder zum Zeitpunkt der ersten Kommunikation, sofern die Daten zur Kommunikation mit dem Betroffenen verwendet werden, oder vor der Offenlegung an einen anderen Empfänger indirekt: muss auch Quelle der Daten enthalten Summary: The right to obtain information from the controller Controllers must provide the information without being asked for it Scope: Controller obtains the personal data either directly or indirectly Other Requirements: If directly, then provide at the time the data are obtained If indirectly, then provide within a reasonable period after obtaining the data, but at the latest: Within one month; or at the time of first communication if the data is used to communicate with the data subject; or before disclosure to another recipient. If indirectly, then must also include the source of the data Exceptions: If obtained directly, then no need to provide if: the data subject already has the information If obtained indirectly, then no need to provide if: impossible or disproportionate effort Provision would render impossible or seriously impair the achievement of the objectives of the processing Obtaining or disclosure is expressly laid down by EU or Member State law to which the controller is subject and which provides appropriate measures The personal data must remain confidential subject to an obligation of professional secrecy regulated by EU or Member State law Other Considerations: Can provide a link to privacy policy where the data subject can easily see it, above “submit” button for example Possibility to use standardized icons to give a meaningful overview in an easily visible, intelligible and clearly legible manner (article 12(7)). These will be standardized/adopted by the EU Commission. Use of icons alone is not enough, it is only in combination with the information to be provided. Take into account the number of data subjects, age and any appropriate safeguards adopted This Photo by Unknown Author is licensed under CC BY-NC-SA

11 Fallstudie: Anruf beim Kunden
Depends, but likely YES, at the time of communication (Article 13(1) and 14(3)(b)) Example: calling data subject on their phone number, which you obtained from a source other than the data subject (Art 14(3)(b)). Provide a disclaimer of why you’re making the call and where you obtained the information from. Maybe explain where a more detailed notice can be found? Or another example, if a customer calls ME on my support line, perhaps I don’t need to provide the notice. Why? Because GDPR says you do not need to provide the information where the data subj Müssen vor dem Gespräch Informationen bereitgestellt werden?

12 2. Recht auf Auskunft Übersicht: Anwendungsbereich:
Artikel 15, Erwägungsgründe 63 und 64 Das Britische ICO: Verhaltensregeln in Bezug auf Betroffenenauskunft Das Britische ICO: Zehn einfache Schritte zum Verständnis und zur Handhabung von Betroffenenanfragen gemäß Data Protection Act – August 2013 Übersicht: das Recht auf Bestätigung der Verarbeitung, Zugang zur Verarbeitung und Informationen über die Verarbeitung Anwendungsbereich: alle personenbezogenen Daten des Betroffenen (ungeachtet dessen, wie die Daten erhoben wurden und der Rechtsgrundlage der Verarbeitung) Weitere Anforderungen: Das Recht sollte die Rechte und Freiheiten anderer Personen nicht beeinträchtigen. Die erste Kopie muss kostenlos zur Verfügung gestellt werden. Für weiteren Kopien kann ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangt werden. Bei elektronischen Anfragen müssen die Informationen in einem gängigen, elektronischen Format zur Verfügung gestellt werden. Bei einer großen Menge von Daten kann die Anfrage auf einen spezifischen Teil reduziert sein. Summary: The right to obtain confirmation of, access to, and information about the processing Scope: All personal data about the data subject (regardless of how that data was collected, or legal basis of processing) Other Requirements: The right should not adversely affect the rights and freedoms of others Initial copy must be free May charge reasonable fee for additional copies, based on administrative costs If electronic request, then must provide information in a commonly used electronic form If large amount of data, then can ask data subject to specify a sub-set of data Must respond without undue delay and in any event within one month of receipt Other Considerations: Automated portal to access data is preferred (Where possible, the controller should be able to provide remote access to a secure system which would provide the data subject with direct access to his or her personal data) Redaction is critical. (the right of access must not adversely affect the rights and freedoms of others). It is also generally manual and difficult, particularly if the data is unstructured (phone calls, s, or other communications). Scope is also difficult—it’s ALL data, regardless of legal basis. This Photo by Unknown Author is licensed under CC BY-SA

13 Fallstudie: Aufgezeichneter Telefonanruf
Maybe the answer is yes. Key Point is HOW—how would you redact a phone call? Maybe you provide the recording but edit out any parts that put your employee’s privacy at risk Maybe you transcribe the call using a transcription service and edit it as appropriate. A more expensive option. Maybe could argue that a person’s voice is personal data and therefore needs to be included. Muss nach einem Telefongespräch zwischen einem Mitarbeiter und einem Kunden dem Kunden die Aufzeichnung zur Verfügung gestellt werden?

14 Fallstudie: Massenhafte Anfragen nach einer Datenschutzverletzung oder negativer PR
May refuse to act on request where requests are manifestly unfounded or excessive, in particular because of their repetitive character (Article 12(5)(a)). BUT, there are also going to be a lot of legitimate requests that can’t be rejected! You need a tool to help you quickly weed out those unfounded requests so that you can focus on the ones that matter. Need this to be part of your breach response plan—have the right teams and individuals included and documented procedures in place so that you can respond in time (72 hours!) These are the hidden costs of a breach. Eine neue Art von Denial-of-Service-Angriffen gegen Unternehmen

15 3. Recht auf Berichtigung
Artikel 16 und 19, Erwägungsgründe 63 und 64 Übersicht: das Recht auf Berichtigung von personenbezogenen Daten, wenn diese ungenau oder unvollständig sind Anwendungsbereich: alle personenbezogenen Daten des Betroffenen (ungeachtet dessen, wie die Daten erhoben wurden, und der Rechtsgrundlage der Verarbeitung) Weitere Anforderungen: Unterrichtung der Drittempfänger über die Anfrage Unterrichtung der Betroffenen über diese Dritten Summary: The right to have personal data rectified if it is inaccurate or incomplete Scope: All personal data about the data subject (regardless of how it was collected, or the legal basis) Other Requirements: Inform third-party recipients of the request Inform the data subject about those third parties Other Considerations How do we balance freedom of expression and information vs the right to rectification. What if there is a disagreement as to accuracy? How do you handle this? This Photo by Unknown Author is licensed under CC BY-SA Dieses Foto von Unbekannter Autor ist lizenziert unter CC BY-SA.

16 Fallstudie: Berichtigung historischer Daten
The flag is historical data and was correct at the time. Das Zahlungskonto eines Benutzers war einst rückständig, jetzt zahlt der Benutzer aber pünktlich. Der Benutzer möchte die Kennzeichnung vom Konto entfernen.

17 This Photo by Unknown Author is licensed under CC BY-SA
4. Recht auf Löschung Artikel 17 und 19, Erwägungsgründe 65 und 66 Übersicht: das Recht, personenbezogenen Daten löschen oder entfernen zulassen Anwendungsbereich: Daten sind nicht mehr für den Zweck erforderlich die Einwilligung wird vom Betroffenen widerrufen und es besteht keine weitere Rechtsgrundlage für die Verarbeitung erfolgreiche Ausübung des Widerspruchsrechts unrechtmäßige Verarbeitung der Daten zur Einhaltung von Rechtsvorschriften der Union oder der Mitgliedstaaten Weitere Anforderungen: Unterrichtung der Drittempfänger über die Löschanfrage Summary: The right to have personal data deleted or removed Not an absolute right—data subjects have a right to have their personal data deleted only under specific circumstances. Scope: Personal data are no longer necessary for the purpose for which they were collected or processed If processing is based on consent, the data subject withdraws consent and there is no other legal basis for the processing This includes withdrawal of consent by a minor who has since reached the age of consent. Data subject exercises the right to object and there are no overriding legitimate grounds for the processing Example: an employee asking to be forgotten but the company needs to process his data for HR purposes The personal data have been processed illegally Example: in violation of the requirements of GDPR The personal data have to be erased for compliance with EU or Member State law that applies to the controller Other Requirements: Inform third-party recipients about the erasure request Exceptions: The exercise of the right of freedom of expression and information (ex: information is newsworthy because relevant facts about a public figure (politician) => would trump the application of the right) Processing of the information is required by EU or Member State law or for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller For reasons of public interest in the area of public health in some circumstances For archiving purposes in the public interest, scientific or historical research purposes or statistical purposes in some circumstances The establishment, exercise or defense of legal claims Operational Considerations: Communicate any erasure to each recipient to whom the personal data have been disclosed (unless impossible or involves disproportionate efforts) if requested by data subject, Inform the data subject about those recipients Recordkeeping obligations—may want to keep a limited amount of information in order to demonstrate compliance (but keep data minimisation and purpose limitation in mind) Notable Highlights: Right to be forgotten in an online environment: If a controller has made the personal data public, the controller is obliged to inform the controllers which are processing the personal data to erase any links to, or copies or replications of those personal data. In doing so, the controller should take reasonable steps taking into account available technology and the means available to the controller (technical measures) to inform the controllers which are processing the personal data of the data subject's request This Photo by Unknown Author is licensed under CC BY-SA

18 Fallstudie: Löschung von Kundendaten mit überfälligen Zahlungen
Generally, this would not fall within any of the conditions for erasure. If the company were to delete the data, it would no longer be able to track the overdue payments anymore—a compelling reason not to honor the requests. Key Point here is that in many cases you don’t actually have to comply with an erasure request—so, it’s imperitive to know this so that you don’t make the mistake of deleting something when you didn’t have to and losing out on the value of that data or the past due account you just deleted. The public will likely be mis-informed on this—they’ll see that they have a right to erasure and they’ll think they can delete their data at any time. Löschen Sie diese Daten?

19 5. Recht auf Einschränkung der Verarbeitung
Artikel 18 und 19, Erwägungsgrund 67 Übersicht: das Recht die Verarbeitung von personenbezogenen Daten zu „blockieren“ oder zu „unterbinden“ Anwendungsbereich: die betroffene Person bestreitet die Richtigkeit (Recht auf Berichtigung) die betroffene Person widerspricht der Verarbeitung (Widerspruchsrecht) unrechtmäßige Verarbeitung der Daten die Daten sind nicht mehr für den Zweck erforderlich, werden aber von der betroffenen Person benötigt, um Rechtsansprüche geltend zu machen Weitere Anforderungen: Unterrichtung der Drittempfänger über die Löschanfrage Unterrichtung der betroffenen Personen, wenn Sie sich entscheiden, die Einschränkung aufzuheben Summary: The right to have the processing of personal data “blocked” or “suppressed” During restriction, the data may not be processed, but it may be stored. Scope: Data subject contests accuracy of the personal data—restrict processing until accuracy is verified Data subject successfully exercises their right to object—e.g., restrict processing while you consider whether your legitimate interest override the individual’s The processing is unlawful and the data subject prefers restriction rather than erasure of their data. Data are no longer necessary for the purpose, but are required by the data subject for the establishment, exercise or defense of legal claims Other Requirements: Inform third-parties recipients about the erasure request Inform data subjects before lifting a restriction After processing of personal data has been restricted, the personal data may be processed only: With consent from the data subject For the establishment, exercise or defense of a legal claim For the protection of the rights of another natural or legal person For reasons of important public interest of the EU or of a Member State Other Considerations: Do you have measures in place to allow for restricting processing of particular data about a particular data subject? May want to retain a limited amount of information to ensure that restriction is respected in the future. Ensure by technical means that the personal data are not subject to further processing operations and cannot be changed Clearly indicate in the system the fact that the processing of personal data is restricted

20 6. Recht auf Datenübertragbarkeit
Artikel 20, Erwägungsgrund 68 Artikel-29-Datenschutzgruppe – Richtlinien zum Recht auf Datenübertragbarkeit Übersicht: das Recht, personenbezogene Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten das Recht, personenbezogene Daten einem anderen Verantwortlichen übermitteln zu lassen, soweit dies technisch machbar ist Anwendungsbereich: personenbezogene Daten, die von der betroffenen Person zur Verfügung gestellt wurden, Verarbeitung auf Basis von Einwilligung oder eines Vertrages und Verarbeitung erfolgte mithilfe automatisierter Verfahren Weitere Anforderungen: Dieses Recht gilt nicht für eine Verarbeitung, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt. Das Recht sollte die Rechte und Freiheiten anderer Personen nicht beeinträchtigen. Summary: The right to receive personal data in a structured, commonly used and machine-readable format the right to have the personal data transmitted to another controller, where technically feasible CSV, XML or JSON – needs to be reusable across different services, without hindering usability Machine readable = the information is structured so that software can extract specific elements of the data Ex: EDI – healthcare industry Scope: (another area of common misunderstanding) Personal data provided by the data subject; Processing based on consent or a contract and carried out by automated means (need all 3) Other Requirements: Does not apply where processing is necessary for the performance of a task in the public interest/exercise of official authority The right should not adversely affect the rights and freedoms of others Other Considerations: The Article 29 Working Party has issued guidelines on Art 20, but the EU Commission responded w/ concern that the guidelines interpret Art 20 too broadly What does “provided by” mean? WP29 says this should include: “data actively and knowingly provided by the data subject” E.g., mailing address, user name, age, etc. “observed data provided by the data subject by virtue of the use of the service or the device” E.g., search history, traffic data, location data, etc. Could also include “other raw data such as the heartbeat tracked by a wearable device” WP29 says this should not include: “inferred data” and “derived data” such as personal data created by a service provider (e.g., algorithmic results) E.g., a credit score or the outcome of an assessment regarding the health of a user is a typical example of inferred data.  NOTE: the EU Commission said that the WP29’s interpretation is too broad—e.g., “observed data” would be the opposite of “provided by” Ensure the ability to redact Provide the data in a re-usable format In essence, the Art. 20 enables individuals to switch service providers easily without losing all the information they have provided and created about themselves

21 Fallstudie: Spotify zu Amazon Music
Spotify erfasst: Titel der gehörten Lieder Vom Benutzer gesetzte Likes oder Dislikes bei Liedern Profil der Musikvorlieben des Benutzers auf Basis proprietärer Spotify- Algorithmen Downloadable song library The WP29 used this as an example of data portability in its guidance—specifically where a data subject might want to retrieve their playlist or play count from a music streaming service in order to help him decide what music to buy on another platform. This is an interesting example because is a playlist or music library personal data that you have provided? Also, this gets into proprietary algorithms used by these streaming services, such as Spotify or Pandora’s algorithims—can portability be denied if it would reveal the algorithm? Can it be redacted somehow?

22 7. Widerspruchsrecht Artikel 21, Erwägungsgründe 69 und 70 Übersicht:
das Recht, „aus Gründen, die sich aus ihrer speziellen Situation ergeben“, jederzeit gegen die Verarbeitung Widerspruch einzulegen Anwendungsbereich: Verarbeitung auf Basis berechtigter Interessen Verarbeitung, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt Verarbeitung für Zwecke des Direktmarketing Verarbeitung für historische Forschungszwecke oder wissenschaftliche & statistische Studien Weitere Anforderungen: Berechtigtes Interesse oder Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt: Die Verarbeitung muss eingestellt werden, es sei denn: der Verantwortliche kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich. Direktmarketing: Die Verarbeitung muss bei Widerspruch eingestellt werden – ohne Ausnahme. Summary The right to object to the processing of their personal data at any time in some circumstances Controller must stop the processing. Scope: (this is kind of a weird one) Processing based on legitimate interests Processing based on the performance of a task in the public interest/exercise of official authority Processing for direct marketing purposes (including profiling) Processing for scientific or historical research purposes or statistical purposes NOTE: burden is on the controller to determine whether or not they are required to fulfill the request Understand legal basis and purpose of each processing activity Ability to locate all places where processing a specific data subject’s personal data Underlines the importance of data mapping and DPIAs Other Requirements: If legitimate interest or performance of task in public interest/exercise of official authority, must cease processing, unless: Demonstrate compelling legitimate grounds for processing which override the interests, rights and freedoms of the data subject; or The processing is necessary for the establishment, exercise or defence of legal claims If direct marketing, must cease processing upon objection—no exemptions. There’s also an addition exemption where If you are conducting research under Article 89(1) where the processing of personal data is necessary for the performance of a public interest task, you are not required to comply with an objection to the processing. In the context of the use of information society services (e.g., social media), data subjects must have a way to exercise their right to object by automated means using technical specifications. Operational Considerations: Inform the data subject about the right to object at the latest at the time of first communication with the data subject, and needs to be separately from any other information Controller must explicitly bring this right to the attention of the data subject and present it clearly and separately from any other information

23 8. Automatisierte Entscheidungsfindung im Einzelfall
Artikel 22, Erwägungsgründe 71 und 72 Die Artikel-29-Datenschutzgruppe hat einen Richtlinienentwurf entlassen. Zusammengefasst: das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu sein Anwendungsbereich: Entscheidungen, die auf einer automatisierten Verarbeitung beruhen und die rechtliche Wirkung für die betroffene Person bestimmen oder sie in ähnlicher Weise erheblich beeinträchtigen Weitere Anforderungen: Das Recht auf das Eingreifen einer Person muss gewährleistet sein. Das Recht auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung muss gewährleistet sein. Findet unter folgenden Voraussetzungen keine Anwendung: die Entscheidung ist für die Erfüllung eines Vertrags erforderlich, die Entscheidung ist gesetzlich erlaubt, die Entscheidung basiert auf ausdrücklicher Einwilligung oder die Entscheidung entfaltet keine rechtliche Wirkung für die betroffene Person und beeinträchtigt sie nicht in ähnlicher Weise erheblich. Summary: The right not to be subject to a decision which is based solely on automated processing Scope: Decisions based on automated processing and produces a legal effect or similarly significant effect on the individual (legal effect refers to the impact on the individual’s statutory as well as contractual rights—e.g., refused entry at border, denial of social benefit, increased surveillance by authorities) Examples of Automated Decision-Making: an individual applies for a personal loan online and the website provides an immediate decision based on algorithms and a credit search; or a worker's pay being automatically adjusted according to automated monitoring of his productivity. Other Requirements: Must ensure the ability to obtain human intervention Must allow individuals to express their point of view and to contest the decision Does not apply if: Decision is necessary for performance of a contract; Decision is authorized by law; or Decision is based on explicit consent Decision does not have a legal or similarly significant effect on the individual Decisions based on the exceptions above cannot be based on special categories of personal data (sensitive data) unless the data subject has given explicit consent or processing is necessary for reasons of substantial public interest, on the basis of EU or Member state law, and suitable safeguards to protect the rights and freedoms of the data subject are put in place Operational Considerations: Provide data subjects with the ability to “appeal” the decision and get human intervention (e.g., an “appeal button”) Provide data subjects with the ability to express their views—ability to communicate with a human

24 Fallstudie: Online-Kreditantrag
If I apply for a loan online and submit a credit application, and I get denied the loan, what can I do? You can request NOT to be subject to the automated decision (the decision to deny your loan) and instead have a human being intervene. How does this look in practice? Is this simply a customer service hotline? Do you schedule a call-back? Send an saying after reviewing, we denied your loan and here’s why?

25 Abmelden 9. Recht, die Einwilligung zu widerrufen Übersicht:
Artikel 7, Erwägungsgrund 42 Übersicht: Betroffene Personen haben das Recht, ihre Einwilligung jederzeit zu widerrufen. Anwendungsbereich: Verarbeitung aufgrund von Einwilligung Weitere Anforderungen: Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein. Abmelden Summary: When processing is based on consent of the data subject, the data subject has the right to withdraw their consent at any time (Art 7(3)) Scope: Where processing is based on consent Other Requirements: Must be as easy to withdraw as to give consent Other Considerations: Withdrawal of consent does not affect the lawfulness of the processing based on consent that took place prior to the withdrawal – i.e., no retroactive withdrawal (Art 7(3)) You can’t hide the ball – make withdrawal options (button, link, checkbox, etc.) easily accessible, conspicuous, easy to use, etc. Don’t force data subjects to call your customer service line. Consider mechanisms/tools for consent management

26 1 2 3 4 5 ANFRAGENAUFNAHME ZUWEISUNGSWORKFLOW ERMITTLUNG DER DATEN
Handhabung der Aufnahme über Unternehmenswebseite & Intranet 2 ZUWEISUNGSWORKFLOW Interner Arbeitsfluss und Integrationen für Datenschutz- und IT-Teams 3 ERMITTLUNG DER DATEN Erfüllung und Ermittlung von Daten der betroffenen Person 4 ÜBERMITTLUNG VON ANTWORTEN Sichere verschlüsselte Kommunikation zurück zur betroffenen Person 5 DOKUMENTATION UND BERICHTE Compliance-Berichterstattung und Blick auf Trends und Kosten

27

28

29

30

31 Hier klicken, um Anfrage zu erfüllen:
Zuweisung einer Betroffenenanfrage Die folgende Betroffenenanfrage wurde eingereicht, und Sie sind nach unseren Informationen die geeignete Person für die Erfüllung dieser Anfrage. Klicken Sie bitte auf folgenden Link, um die Anfrage zu erfüllen. Hier klicken, um Anfrage zu erfüllen: Anfrage aufrufen arrives in DS Inbox All information provided is sent to DS. Need to encrypt fields like ‘Employee ID’, and ‘SSN’ Add an notification to Privacy Officer for ticketing flow, groups for assignment** Required

32

33 OneTrust Software zur Umsetzung der DSGVO
Art. 5: Grundsätze für die Verarbeitung personenbezogener Daten Art. 24: Verantwortung des für die Verarbeitung Verantwortlichen Bereitschafts- und Rechenschaftstool Dokumentieren Sie zentral die Einhaltung der DSGVO. Art. 25: Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen Art. 35: DPIA Artikel 36: Vorherige Konsultation PIA-, DPIA- und PbD- Automatisierung Überprüfen Sie Geschäftsprojekte auf Datenschutzrisiken. Art. 6: Rechtsgrundlage für die Verarbeitung Art. 30: Verarbeitungsverzeichnisse Art. 32: Sicherheit der Verarbeitung Verarbeitungsverzeichnis-automatisierung Erfassen Sie den Geschäftskontext Ihrer Datenflüsse. Art. 7: Bedingungen für die Einwilligung Art. 21: Widerspruchsrecht Datenschutzrichtlinie für elektronische Kommunikation / Verordnungsentwurf Cookie-Einwilligung und Website Scanning Aktualisieren Sie Einwilligungshinweise in Ihren „Web Properties“. Art. 7: Bedingungen für die Einwilligung Einwilligungsbestätigungs-management Bewahren Sie Beweise für die Einwilligung jeder einzelnen Person auf. Art. 28, 24, 29: Zuständigkeiten des Verarbeiters und des Verantwortlichen Art. 46: Datenübermittlung vorbehaltlich geeigneter Garantien Anbieter- und Lieferantenrisikomanagement Überprüfen Sie alle Unterauftragsverarbeiter, um Risiken zu beseitigen. Art. 12–21: Rechte der betroffenen Person Portal für Betroffenenrechte und -anfragen Portal zur Handhabung des kompletten Lebenszyklus von Betroffenenanfragen Art. 33: Benachrichtigung der Aufsichtsbehörde Art. 34: Benachrichtigung der betroffenen Person Vorfall- und Datenschutz-verletzungsmanagement Erfassungs- und Benachrichtigungsworkflows für Vorfälle. We have the most comprehensive tool set to implement the operational things a privacy program requires, and automate the record keeping to demonstrate compliance to your board and regulators in an integrated set of tools: Step through each item It is highly modular, most companies start small and choose one module that is their current priority – and based on what you already have you can integrate as well. Are any of these areas a higher priority that others for you that we should focus on in the demo?

34 Besuchen Sie unseren Stand.
Produktdemos Vollständige Fassung der DSGVO Kostenlose Tools und Vorlagen Workshops zum Thema DSGVO