Einhaltung der DSGVO
Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union (EU), die am 25. Mai 2018 in Kraft trat, verbessert die Sicherheit personenbezogener Daten von Bürgern und Einwohnern der EU-Länder sowie Norwegens, Islands und Liechtensteins. Der einheitliche Standard gilt nach Inkrafttreten der DSGVO auch für Bürger und Einwohner des Vereinigten Königreichs.Brexit. Es ist schwer vorstellbar, dass ein Unternehmen oder eine Branche in Europa Waren oder Dienstleistungen anbietet, die nicht von diesen detaillierten Anforderungen zum Schutz personenbezogener Daten betroffen sind.
Im Namen von Graebel begrüße ich die neuen Regelungen. Sie sind streng, aber angemessen und entsprechen dem Geist der Sicherheit und Transparenz, mit dem wir in der Vergangenheit nicht nur in Europa, sondern weltweit mit personenbezogenen Daten umgegangen sind.
Die Anforderungen
Im Allgemeinen baut die DSGVO auf den früheren Datenschutzstandards der EU auf – der Datenschutzrichtlinie von 1995. Es erweitert und klärt diese Anforderungen in folgenden Bereichen:
- Territorialer Geltungsbereich – Dies gilt für alle Organisationen, die Zugriff auf personenbezogene Daten von Einwohnern dieser Länder haben, unabhängig vom Sitz des Unternehmens.
- Strafen – Die neue Bußgeldstruktur ist abgestuft und gedeckelt. Die Höchststrafen sind höher als in der Vergangenheit.
- Zustimmung – Einwilligungsformulare müssen klar und prägnant sein mit minimalem „Legalese“
- Rechte von Einzelpersonen:
- Verstoßbenachrichtigung – Sie müssen innerhalb von 72 Stunden nach der Entdeckung einer Verletzung ihrer Informationen benachrichtigt werden
- Recht auf Zugang – Sie können Auskunft über ihre von der Organisation gespeicherten personenbezogenen Daten verlangen.
- „Recht auf Vergessenwerden“ – Sie können die Organisation auffordern, ihre personenbezogenen Daten zu löschen.
- Datenportabilität – Sie können ihre Informationen abrufen und mit einer anderen Entität teilen
- Datenschutz durch Design – Die Sicherheit personenbezogener Daten muss ein Bestandteil des anfänglichen Designs von Systemen sein, die solche Daten verwenden oder speichern.
- Datenschutzbeauftragte – Organisationen müssen einen Datenschutzbeauftragten ernennen, wenn ihre Aktivitäten zur Verarbeitung personenbezogener Daten einen bestimmten Schwellenwert überschreiten.
Wenn Sie mehr zu diesen Themen erfahren möchten, können Sie direkt zur Quelle gehen und das Material der EU überprüfen, einschließlich eines nützlichen Zusammenfassung der Anforderungen.
DSGVO und Mobilität
Als Relocation Management Company (RMC) werden uns jeden Tag grundlegende persönliche Kennungsinformationen für Übernehmer und Beauftragte anvertraut. Und im Falle von Einwanderungs- und anderen Funktionen können wir noch sensiblere personenbezogene Daten anfordern und speichern – zum Beispiel in Bezug auf Staatsbürgerschaft, Geschlecht, Familienstand und sogar Geburtsort. Der Schutz dieser Informationen ist von entscheidender Bedeutung.
Und unsere DSGVO-Verpflichtungen erstrecken sich auf jedes der Partnerunternehmen und Dienstleister, mit denen wir diese Informationen teilen, während sie im Auftrag unserer Kunden arbeiten. Das ist einer der Gründe, warum wir unsere globale Servicepartner – die Unternehmen, die spezifische Umzugsdienstleistungen von der Haushaltswarenverwaltung bis zur Einwanderung und steuerlichen Unterstützung übernehmen. Wir müssen nicht nur sicherstellen, dass sie sich hervorragend um unsere Kunden kümmern, wir müssen auch sicherstellen, dass sie über geeignete Systeme zum Schutz vertraulicher personenbezogener Daten verfügen.
Die European Relocation Association (EuRA) hat eine umfassende Überprüfung der Hauptbestimmungen der DSGVO aus Sicht der Mobilitätsbranche.
Grübel ist bereit
Nach Inkrafttreten der DSGVO im April 2016 hat Graebel ein funktionsübergreifendes Bewertungsteam eingerichtet und mit der Aktualisierung unserer Richtlinien und Verfahren begonnen, um die neuen Anforderungen zu integrieren. Seitdem haben wir die folgenden Schritte unternommen, die bis zum 25. Mai abgeschlossen sein werden:
- Behalte einen Dritten (TrustArc) eine priorisierte Gap-Analyse durchzuführen, um die notwendigen Schritte zu ermitteln
- Durchführung einer Dateninventur und Geschäftsprozesskarten zur Erfüllung des DSGVO-Artikels 30
- Identifizierte alle nach außen gerichteten Anwendungen, die Daten sammeln, und erstellte dann entsprechende Datenschutzhinweise
- Dokumentierte unsere Prozesse als Datenverantwortlicher und Datenverarbeiter, um Artikel 30.1 der DSGVO zu adressieren
- Entwickelter benutzerdefinierter Code für unsere Cookie-Hinweise/Zustimmungsverfahren
- Wir haben unsere Richtlinie zur Aufbewahrung von Aufzeichnungen validiert, um sie mit den DSGVO-Artikeln 5/25 in Einklang zu bringen
- Wir haben unseren Incident Response Plan aktualisiert, um sicherzustellen, dass Benachrichtigungsprozesse für Einzelpersonen und Behörden gemäß den Artikeln 32/33 der DSGVO eingerichtet sind
- Entwicklung eines Prozesses und Plans für die Datenschutz-Folgenabschätzungen, um Artikel 6.4 der DSGVO zu adressieren
- Aktualisierte unsere Kunden- und Lieferantenverträge, um Artikel 30 der DSGVO zu berücksichtigen
- Entwicklung von Mitarbeiterschulungen, um Teams auf ihre spezifischen Verantwortlichkeiten im Zusammenhang mit den DSGVO-Anforderungen vorzubereiten
- Erstellung interner Prozesse zur Unterstützung der einzelnen Rechteelemente der DSGVO im Zusammenhang mit den Artikeln 15/17/20
- Entwicklung eines jährlichen Testplans für unser DSGVO-Compliance-Programm, einschließlich der Meldung von Datenschutzverletzungen.
Auch hier gratulieren wir den EU-Ländern zu der durchdachten Art und Weise, wie sie diese neuen Vorschriften ausgearbeitet haben. Ja, die Vorbereitung darauf war für uns und andere RMCs eine Menge Arbeit. Aber unsere Prozesse sind dafür umso besser, da die Anforderungen auf einem sehr vertretbaren Ansatz zum Schutz der Privatsphäre des Einzelnen basieren.
Auf die Zukunft der Welt!
