BeHappy2Day EU/UK DSGVO-Bewusstseins- und Compliance-Richtlinienerklärung.
1.0. Einführung.
1.1. Die EU-Datenschutz-Grundverordnung („DSGVO“) tritt am 25. Mai 2018 in der gesamten Europäischen Union in Kraft und bringt die bedeutendsten Änderungen des Datenschutzrechts seit zwei Jahrzehnten mit sich. Basierend auf Privacy by Design und einem risikobasierten Ansatz wurde die DSGVO entwickelt, um den Anforderungen des digitalen Zeitalters gerecht zu werden.
1.2. Das 21. Jahrhundert bringt einen verstärkten Einsatz von Technologien mit sich, neue Definitionen dessen, was personenbezogene Daten ausmacht, und eine enorme Zunahme der grenzüberschreitenden Verarbeitung mit sich. Die neue Verordnung zielt darauf ab, Datenschutzgesetze und -verarbeitung in der gesamten EU zu vereinheitlichen; Gewährung von stärkeren und konsistenteren Rechten für den Zugriff auf und die Kontrolle ihrer personenbezogenen Daten.
2.0. Unser Engagement
Wir verpflichten uns, die Sicherheit und den Schutz der von uns verarbeiteten personenbezogenen Daten zu gewährleisten und einen konformen und konsistenten Datenschutzansatz zu bieten. Wir glauben, dass wir immer ein solides und wirksames Datenschutzprogramm eingerichtet haben, das den geltenden Gesetzen entspricht und die Datenschutzgrundsätze einhält. Wir erkennen jedoch unsere Verpflichtung an, dieses Programm zu aktualisieren und zu erweitern, um die Anforderungen der DSGVO und des britischen Datenschutzgesetzes zu erfüllen.
2.1. BeHappy2Day widmet sich dem Schutz der personenbezogenen Daten in unserem Zuständigkeitsbereich und der Entwicklung eines Datenschutzregimes, das effektiv und zweckmäßig ist und Verständnis und Wertschätzung für die neue Verordnung zeigt. Unsere Vorbereitung und Ziele für die DSGVO-Compliance wurden in dieser Erklärung zusammengefasst und umfassen die Entwicklung und Implementierung neuer Datenschutzrollen, -richtlinien, -verfahren, -kontrollen und -maßnahmen, um eine maximale und kontinuierliche Compliance sicherzustellen.
3.0. Wie wir uns auf die DSGVO vorbereiten
3.1. Wir haben bereits ein einheitliches Datenschutz- und Sicherheitsniveau in unserer gesamten Organisation, aber es ist unser Ziel, die DSGVO bis zum 25. Mai 2018 vollständig einzuhalten. Unsere Vorbereitung umfasst:
(a) Informationsprüfung – Durchführung einer unternehmensweiten Informationsprüfung, um festzustellen und zu bewerten, welche personenbezogenen Daten wir speichern, woher sie stammen, wie und warum sie verarbeitet werden und ob und an wen sie weitergegeben werden.
(b) Richtlinien und Verfahren – Überarbeitung/Implementierung neuer Datenschutzrichtlinien und -verfahren, um die Anforderungen und Standards der DSGVO und aller relevanten Datenschutzgesetze zu erfüllen, einschließlich:
(c) Datenschutz – unser wichtigstes Richtlinien- und Verfahrensdokument zum Datenschutz wurde überarbeitet, um die Standards und Anforderungen der DSGVO zu erfüllen. Rechenschaftspflicht- und Governance-Maßnahmen sind vorhanden, um sicherzustellen, dass wir unsere Verpflichtungen und Verantwortlichkeiten verstehen und angemessen verbreiten und belegen; mit besonderem Fokus auf Privacy by Design und die Rechte des Einzelnen.
(d) Datenaufbewahrung und -löschung – wir haben unsere Aufbewahrungsrichtlinie und unseren Zeitplan aktualisiert, um sicherzustellen, dass wir die Grundsätze der „Datenminimierung“ und „Speicherbegrenzung“ einhalten und dass personenbezogene Daten konform und ethisch korrekt gespeichert, archiviert und vernichtet werden. Wir haben spezielle Löschverfahren eingerichtet, um die neue Verpflichtung zum „Recht auf Löschung“ zu erfüllen, und wissen, wann diese und andere Rechte der betroffenen Person gelten; zusammen mit allen Ausnahmen, Reaktionszeiten und Benachrichtigungspflichten.
(e) Datenschutzverletzungen – unsere Datenschutzverletzungsverfahren stellen sicher, dass wir Sicherheitsvorkehrungen und Maßnahmen getroffen haben, um jede Verletzung des Schutzes personenbezogener Daten zum frühestmöglichen Zeitpunkt zu identifizieren, zu bewerten, zu untersuchen und zu melden. Unsere Verfahren sind robust und wurden an alle Mitarbeiter weitergegeben, um sie auf die Berichtslinien und zu befolgenden Schritte aufmerksam zu machen.
(f) Internationale Datenübertragungen und Offenlegungen an Dritte – Wenn BeHappy2Day personenbezogene Daten außerhalb der EU speichert oder überträgt, haben wir robuste Verfahren und Schutzmaßnahmen eingerichtet, um die Integrität der Daten zu sichern, zu verschlüsseln und aufrechtzuerhalten. Unsere Verfahren umfassen eine kontinuierliche Überprüfung der Länder mit ausreichenden Angemessenheitsbeschlüssen sowie Bestimmungen für verbindliche Unternehmensregeln; Standarddatenschutzklauseln oder anerkannte Verhaltenskodizes für Länder ohne. Wir führen strenge Due-Diligence-Prüfungen mit allen Empfängern personenbezogener Daten durch, um zu bewerten und zu überprüfen, ob sie über angemessene Sicherheitsvorkehrungen zum Schutz der Informationen verfügen, durchsetzbare Rechte der betroffenen Person gewährleisten und gegebenenfalls über wirksame Rechtsbehelfe für betroffene Personen verfügen.
(g) Auskunftsersuche (SAR) – Sie haben das Recht zu erfahren, welche Informationen wir über Sie gespeichert haben. Wir haben unsere SAR-Verfahren überarbeitet, um dem überarbeiteten 30-Tage-Zeitrahmen für die Bereitstellung der angeforderten Informationen und für die kostenlose Bereitstellung dieser Informationen Rechnung zu tragen. Unsere neuen Verfahren beschreiben detailliert, wie die betroffene Person überprüft wird, welche Schritte zur Bearbeitung einer Auskunftsanfrage zu unternehmen sind, welche Ausnahmen gelten und eine Reihe von Antwortvorlagen, um sicherzustellen, dass die Kommunikation mit betroffenen Personen konform, konsistent und angemessen ist.
(h) Rechtsgrundlage für die Verarbeitung – Wir überprüfen alle Verarbeitungsaktivitäten, um die Rechtsgrundlage für die Verarbeitung zu ermitteln und sicherzustellen, dass jede Grundlage für die Aktivität geeignet ist, auf die sie sich bezieht. Gegebenenfalls führen wir auch Aufzeichnungen über unsere Verarbeitungstätigkeiten, um sicherzustellen, dass unsere Verpflichtungen gemäß Artikel 30 der DSGVO und Anhang 1 des Datenschutzgesetzes erfüllt werden.
(i) Datenschutzerklärung/-richtlinie – wir haben unsere Datenschutzerklärung(en) überarbeitet, um der DSGVO zu entsprechen und sicherzustellen, dass alle Personen, deren personenbezogene Daten wir verarbeiten, darüber informiert wurden, warum wir sie benötigen, wie sie verwendet werden und wofür Ihre Rechte sind, wem die Informationen offengelegt werden und welche Sicherheitsmaßnahmen zum Schutz ihrer Informationen getroffen werden.
(j) Einwilligung einholen – wir überarbeiten unsere Einwilligungsmechanismen zum Einholen personenbezogener Daten, stellen sicher, dass Einzelpersonen verstehen, was sie uns zur Verfügung stellen, warum und wie wir sie verwenden, und geben klare, definierte Möglichkeiten, der Verarbeitung ihrer Informationen durch uns zuzustimmen. Wir haben strenge Verfahren zur Aufzeichnung der Zustimmung entwickelt, um sicherzustellen, dass wir eine positive Zustimmung zusammen mit Zeit- und Datumsaufzeichnungen nachweisen können; und eine einfach zu sehende und zugängliche Möglichkeit, die Einwilligung jederzeit zu widerrufen.
(k) Direktmarketing – wir überarbeiten den Wortlaut und die Prozesse für Direktmarketing, einschließlich klarer Opt-in-Mechanismen für Marketingabonnements; ein klarer Hinweis und eine Methode zum Abmelden und Bereitstellen von Abmeldefunktionen für alle nachfolgenden Marketingmaterialien.
(l) Datenschutz-Folgenabschätzungen (DSFA) – wenn wir personenbezogene Daten verarbeiten, die als hohes Risiko gelten, eine Verarbeitung in großem Umfang beinhalten oder spezielle Kategorien/Daten zu strafrechtlichen Verurteilungen enthalten; Wir haben strenge Verfahren und Bewertungsvorlagen für die Durchführung von Folgenabschätzungen entwickelt, die den Anforderungen von Artikel 35 der DSGVO vollständig entsprechen. Wir haben Dokumentationsprozesse implementiert, die jede Bewertung aufzeichnen, es uns ermöglichen, das von der Verarbeitungstätigkeit ausgehende Risiko einzuschätzen und Minderungsmaßnahmen zu ergreifen, um das Risiko für die betroffene(n) Person(en) zu verringern.
(m) Auftragsverarbeitervereinbarungen – wenn wir Dritte einsetzen, um personenbezogene Daten in unserem Namen zu verarbeiten (z. B. Gehaltsabrechnung, Personalbeschaffung, Hosting usw.), haben wir konforme Auftragsverarbeitervereinbarungen und Due-Diligence-Verfahren entworfen, um sicherzustellen, dass sie (ebenso wie wir), erfüllen und verstehen ihre/unsere DSGVO-Verpflichtungen. Diese Maßnahmen umfassen anfängliche und laufende Überprüfungen der erbrachten Leistung, der Erforderlichkeit der Verarbeitungstätigkeit, der vorhandenen technischen und organisatorischen Maßnahmen und der Einhaltung der DSGVO.
(n) Daten zu besonderen Kategorien – Wenn wir Informationen zu besonderen Kategorien erhalten und verarbeiten, tun wir dies in vollständiger Übereinstimmung mit den Anforderungen von Artikel 9 und verfügen über hochrangige Verschlüsselungen und Schutzmaßnahmen für alle diese Daten. Daten besonderer Kategorien werden nur verarbeitet, wenn dies erforderlich ist, und werden nur verarbeitet, wenn wir zuerst die angemessene Grundlage von Artikel 9 Absatz 2 oder die Bedingung von Anhang 1 des Datenschutzgesetzes identifiziert haben. Wo wir uns auf die Einwilligung zur Verarbeitung verlassen, ist diese ausdrücklich und wird durch eine Unterschrift verifiziert, wobei das Recht, die Einwilligung zu ändern oder zu entfernen, deutlich ausgeschildert ist.
4.0. Rechte der betroffenen Person
4.1. Zusätzlich zu den oben genannten Richtlinien und Verfahren, die sicherstellen, dass Einzelpersonen ihre Datenschutzrechte durchsetzen können, stellen wir über unsere Website leicht zugängliche Informationen über das Recht einer Person bereit, auf personenbezogene Daten zuzugreifen, die BeHappy2Day über sie verarbeitet, und Informationen anzufordern über:
- Welche personenbezogenen Daten wir über sie speichern
- Die Zwecke der Verarbeitung
- Die betroffenen Kategorien personenbezogener Daten
- Die Empfänger, gegenüber denen die personenbezogenen Daten offengelegt wurden/werden
- Wie lange wir beabsichtigen, Ihre personenbezogenen Daten zu speichern
- Wenn wir die Daten nicht direkt bei ihnen erhoben haben, Angaben zur Quelle
- Das Recht, unvollständige oder ungenaue Daten über sie korrigieren oder vervollständigen zu lassen, und das Verfahren, um dies zu beantragen
- Das Recht, die Löschung personenbezogener Daten (falls zutreffend) oder die Einschränkung der Verarbeitung gemäß den Datenschutzgesetzen zu verlangen, sowie dem Direktmarketing von uns zu widersprechen und über jede von uns eingesetzte automatisierte Entscheidungsfindung informiert zu werden
- Das Recht, eine Beschwerde einzureichen oder einen Rechtsbehelf einzulegen, und an wen Sie sich in solchen Fällen wenden können
5.0. Informationssicherheit & technische und organisatorische Maßnahmen
5.1. BeHappy2Day nimmt die Privatsphäre und Sicherheit von Personen und deren personenbezogenen Daten sehr ernst und ergreift alle angemessenen Maßnahmen und Vorkehrungen, um die von uns verarbeiteten personenbezogenen Daten zu schützen und zu sichern. Wir verfügen über solide Informationssicherheitsrichtlinien und -verfahren, um personenbezogene Daten vor unbefugtem Zugriff, Änderung, Offenlegung oder Zerstörung zu schützen, und verfügen über mehrere Ebenen von Sicherheitsmaßnahmen, darunter: SSL, Zugriffskontrollen, Passwortrichtlinien, Verschlüsselungen, Pseudonymisierung, Praktiken, Beschränkungen, IT, Authentifizierung usw.
6.0. DSGVO-Rollen und Mitarbeiter
6.1. Wir haben Marina Bushmareva zu unserer Datenverantwortlichen ernannt und ein Datenschutzteam ernannt, um unseren Fahrplan zur Einhaltung der neuen Datenschutzverordnung zu entwickeln und umzusetzen. Das Team ist dafür verantwortlich, das Bewusstsein für die DSGVO in der gesamten Organisation zu fördern, unsere DSGVO-Bereitschaft zu bewerten, Lücken zu identifizieren und die neuen Richtlinien, Verfahren und Maßnahmen umzusetzen.
6.2. BeHappy2Day ist sich bewusst, dass ein kontinuierliches Bewusstsein und Verständnis der Mitarbeiter für die kontinuierliche Einhaltung der DSGVO von entscheidender Bedeutung ist, und hat unsere Mitarbeiter in unsere Vorbereitungspläne einbezogen. Wir haben ein spezifisches Mitarbeiter-Sensibilisierungsprogramm für die oben genannten Punkte implementiert, das vor dem 25. Mai 2018 für alle Mitarbeiter eingeführt wird. Dies ist ein fortlaufender Bestandteil unseres Einführungs- und jährlichen Schulungsprogramms.
Wenn Sie Fragen zu unserer Vorbereitung auf die DSGVO haben, wenden Sie sich bitte an Marina Bushmareva, die unsere Datenverantwortliche ist, unter admin@behappy2day.com