Webseite
Beginnen Sie mit der Website. Ihr Unternehmen muss zumindest compliant erscheinen. Überprüfen Sie Folgendes:
- Wenn Ihre Website Cookies verwendet, sollte sie einen Cookie-Dialog anzeigen. Sie wissen, was das ist, da Sie bereits viele dieser Dialoge geschlossen haben. Ihre Website-Plattform oder Ihr Partner weiß, wie man einen einfachen Cookie-Dialog aktiviert.
- Bitten Sie den PrivacyDocs AI-Chatbot, eine standardmäßige Datenschutzrichtlinie für die Website zu erstellen. Diese wird die Website abdecken, nicht den Rest Ihres Unternehmens. Sie können eine gut geschriebene Richtlinie aus dem Internet übernehmen oder einfach den PrivacyDocs AI-Chatbot bitten, eine zu erstellen, basierend auf den eingegebenen Aufzeichnungen. Eine konforme Richtlinie sollte zwei Seiten umfassen und über zwei bis drei Verarbeitungstätigkeiten sprechen (Cookies setzen, die Website bereitstellen, Zugriffsprotokolle speichern, möglicherweise Feedbackformulare verarbeiten).
Überprüfen Sie Ihre Website auf Dritte, wie Google Analytics, Marketing-Software, eingebettete Videos usw. Viele Websites verwenden andere Websites und geben die Daten Ihrer Besucher an andere Unternehmen weiter.
Inventar
Als Nächstes müssen Sie ein Verzeichnis der Verarbeitungstätigkeiten erstellen (sogenannte Verzeichnisse von Verarbeitungstätigkeiten). Die DSGVO (BDSG, GDPR) basiert auf den Verarbeitungstätigkeiten, von denen jede beschrieben werden muss.
Die Aktivitäten der Website sind ein guter Anfang. Nutzen Sie die Demodaten, die mit PrivacyDocs bereitgestellt werden, und passen Sie sie an Ihre spezifischen Anforderungen an.
Füllen Sie jeden Datensatz in PrivacyDocs aus. Dies kann Folgendes umfassen:
- Verstehen, welche Systeme an der Durchführung einer Verarbeitung beteiligt sind.
- Herausfinden, welche Unternehmen diese Systeme bereitstellen und beteiligt sind, sowie die Existenz der Datenverarbeitungsverträge mit diesen Unternehmen überprüfen.
- Festlegung der Aufbewahrungsfristen für Daten.
- Entdeckung der Datenweitergabepfade.
- Überprüfung der Informationen, die den betroffenen Personen bereitgestellt werden (Texte, die auf der Website erscheinen, Datenschutzerklärung der Website, interne Datenschutzrichtlinien, Verträge mit Ihren Kunden).
Einige Aufzeichnungen erfordern die Durchführung von Bewertungen (typischerweise eine Interessenabwägung oder eine Datenschutz-Folgenabschätzung). Sie können die Musterbewertungen, die mit PrivacyDocs bereitgestellt werden, konsultieren. Sie können auch den Datenschutzberatungsdienst von PrivacyDocs kontaktieren. Diese Bewertungen sind nicht zu zahlreich (Sie können erwarten, nur wenige zu benötigen), erfordern jedoch eine besondere Betrachtung Ihrer Prozesse. Sie werden oft am besten von externen Beratern durchgeführt.
Datenschutzrichtlinien
Datenschutzerklärungen sind kein Ort, um eine Zusammenfassung der DSGVO (BDSG, GDPR) zu geben und über ihre Grundsätze zu sprechen, sondern um spezifische Details zu den Verarbeitungstätigkeiten, die Sie durchführen, zu klären. Die Datenschutzerklärung sollte Ihren Mitarbeitern mitteilen, wie sie personenbezogene Daten verarbeiten, sie aber auch darüber informieren, wie ihre Daten verarbeitet werden.
Anfragen
Bereiten Sie Ihr Unternehmen auf die Bearbeitung der sogenannten Betroffenenanfragen (DSRs) vor: in der Regel E-Mail-Anfragen, die von jedermann an Ihr Unternehmen gerichtet werden.
- Richten Sie eine E-Mail-Adresse als bevorzugten Kontaktpunkt ein und erwähnen Sie diese in Ihren Datenschutzrichtlinien und auf der Website.
- Diese E-Mail würde normalerweise zu Ihnen oder zu jemandem führen, der rechtliche Anfragen verwaltet.
- Stellen Sie sicher, dass die eingehenden Anfragen zunächst aus rechtlicher Sicht bewertet werden, da die meisten möglicherweise nicht rechtlich fundiert sind.
- Stellen Sie sicher, dass alle Maßnahmen, die als Ergebnis von
Verstöße
Erklären Sie allen in Ihrem Unternehmen, was ein Verstoß ist, und richten Sie einen Mechanismus ein, um diese zu melden. Es ist eher ein sozialer Prozess. Technisch unterstützt PrivacyDocs dies mit dem Verzeichnis für Verstöße und Vorlagen für die obligatorischen Bewertungen von Verstößen, die vom Unternehmen durchgeführt werden müssen.
Schulung
Sie müssen Ihre Mitarbeiter über die DSGVO schulen. Es gibt viele kostenlose Grundkurse. Ein halbstündiger Kurs kann für die meisten Mitarbeiter ausreichend sein, während nur wenige ein tiefergehendes Wissen benötigen. Sie können einen Datenschutz-Freitagabend veranstalten und gemeinsam ein Kursvideo ansehen oder eine kurze Schulung von dem Beratungsdienst von PrivacyDocs anfordern.
Es ist wichtig, die Tatsache der Schulung in PrivacyDocs zu registrieren, um sie als Nachweis der Compliance zu haben.
Risiken
Wahrscheinlich werden Sie nicht alles vollständig erledigen können. Einige Verträge werden fehlen, einige Systeme oder Prozesse müssen aktualisiert werden usw. Dies sind alles Compliance-Lücken, die Risiken der Nichteinhaltung darstellen. Die meisten Unternehmen haben eine recht umfangreiche Liste von Compliance-Lücken und Risiken, die sie tragen. Sie müssen diese Risiken in PrivacyDocs registrieren.
Das Wichtigste ist, diese Risiken regelmäßig zu überprüfen und an der Risikominderung zu arbeiten. Ein Risiko zu ignorieren, ist nicht konform. Aber das Registrieren und Bewerten eines Risikos, zusammen mit dem Management und der Durchführung von Maßnahmen zur Risikominderung, kann Ihr Unternehmen konform machen, auch wenn das Risiko nicht sofort beseitigt wird.
Bewertungen
Sie müssen die Prozesse, von denen nicht erwartet wird, dass sie sich ändern, regelmäßig überprüfen, und die Wahl einer jährlichen Überprüfung ist oft vertretbar. Planen Sie eine DSGVO-Überprüfung für das nächste Jahr in Ihrem Kalender. Prozesse, die fällig oder überfällig sind, sind in PrivacyDocs markiert, um sichtbar zu sein.