TEIL A: Allgemeines
Anwendbarkeit
Dieses Dokument ist die aktuelle operative Version der DSGVO-Compliance-Richtlinie, die ab dem 25. Mai 2018 in Kraft tritt und für Aktivitäten von TechVersions gilt, das aus der folgenden Einheit besteht.
TechVersions, ein Technologiepublikationsunternehmen, 8000 Towers Crescent Drive, 13. Stock Wien, VA 22182
Einführung
Die Kernaktivität von TechVersions besteht darin, seine Kunden bei der Vermarktung von B2B-Produkten durch die Generierung effektiver Leads aus den Zielmärkten zu unterstützen.
Die Lead-Generierung erfolgt durch intelligente Marktforschung, die relevante Daten sammelt, um zuverlässige Kaufabsichten von Unternehmen über verschiedene Kanäle zu ermitteln, einschließlich durch Geschäftspartner, die relevante Technologien im Social-Media-Marketing, Web-Marketing, E-Mail-Marketing und Telemarketing nutzen.
Bei diesen Aktivitäten fungiert TechVersions als Vermittler, der der B2B-Marketingkette einen Mehrwert verleiht. Die Kampagneninformationen werden von den Kunden bereitgestellt, fein abgestimmt und in Kampagnenmaterialien zur Verteilung auf dem potenziellen Marktraum umgewandelt.
Die Verbreitung an die Endzielkunden durch die Platzierung der Kampagnenmaterialien in relevanten Medien erfolgt über externe Publisher, die Leads generieren. Ein Teil der Leads wird durch interne Publishing-Aktivitäten und den Einsatz innovativer Corporate-Intent-Marketing-Tools generiert, die vom Forschungs- und Entwicklungsteam von TechVersions entwickelt wurden.
Die von den Publishern generierten Leads werden zur Verbesserung ihrer Qualität intelligent gefiltert und in umsetzbare Marketingziele umgewandelt, bevor sie an die Kunden weitergeleitet werden.
TechVersions hat proprietäre Produkte, Prozesse und Informationsgenerierungssysteme entwickelt, die die Entwicklung zuverlässiger Anbieter und geschulter Arbeitskräfte umfassen, die zusammen das Wertversprechen widerspiegeln, das TechVersions in das B2B-Marketing-Ökosystem auf der ganzen Welt einbringt. Es ist ein berechtigtes Interesse von TechVersions, dieses Fachwissen zu erhalten, zu fördern und zur Erschließung kommerzieller Chancen zu nutzen.
Dieser von TechVersions angenommene Kodex zur Einhaltung der DSGVO erklärt, dass sich TechVersions dem Konzept „Datenschutz als Grundrecht eines Bürgers einer demokratischen Gesellschaft“ auf der ganzen Welt verpflichtet fühlt und nach Treu und Glauben alle in der DSGVO vorgeschriebenen Datenschutzgrundsätze dort umsetzt, wo sie gelten anwendbar.
TechVersions gibt jedoch offen, dass es sein berechtigtes Interesse ist, weltweit als B2B-Marktvermittler einen legitimen Geschäftsbetrieb auszuüben, und dass es das demokratische Recht von TechVersions ist, sein Geschäft nach Treu und Glauben fortzuführen, ohne im Widerspruch zu den Rechten des Unternehmens zu stehen natürliche Personen, deren Privatsphäre gemäß der DSGVO geschützt werden soll.
TechVersions gibt außerdem bekannt, dass sein Geschäftsmodell nur die Erhebung von Daten von Geschäftseinheiten erfordert, die außerhalb des Geltungsbereichs der DSGVO liegen, sowie von Geschäftskontaktdaten, bei denen es sich nicht um personenbezogene Daten handelt, die jedoch teilweise personenbezogene Daten umfassen können, jedoch keine personenbezogenen Daten von Kindern und Jugendlichen umfassen Personenbezogene Daten, die gemäß DSGVO als „besondere Kategorien“ eingestuft sind.
DSGVO-Exposition
TechVersionsGroup ist im Grunde ein „B2B-Marketing-Vermittler“, der weltweit tätig ist, Marketing-Leads generiert und Kunden in vielen Ländern betreut. TechVersions ist nicht auf dem Verbrauchermarkt tätig und erhebt daher weder direkt noch indirekt personenbezogene Daten von EU-Datensubjekten. Die von TechVersions erfassten Daten fallen im Allgemeinen in die Kategorie der Geschäftskontaktdaten von Unternehmensmitarbeitern, die unter anderem den Namen, die geschäftliche E-Mail-Adresse und die geschäftliche Telefonnummer enthalten.
Ein Teil der B2B-Marketing-Leads wird in den EU-Ländern und im Vereinigten Königreich generiert. Einige der Kunden mit Sitz in der EU/im Vereinigten Königreich können auch die Dienste von TechVersions in Anspruch nehmen. Derzeit finden die meisten Interaktionen mit Kunden in den USA und die meisten Interaktionen mit Lead-generierenden Geschäftspartnern in Indien statt.
Die DSGVO-Gefährdung von TechVersions wird daher erkannt, wenn Geschäftskontaktdaten von Unternehmensorganisationen erfasst werden, die in EU-/UK-Regionen tätig sind.
Ansatz zur Einhaltung der DSGVO
Um die Anwendung einer möglichst strengen Norm auf die Verarbeitung von Daten zu ermöglichen, die einem DSGVO-Compliance-Risiko ausgesetzt sind, führt TechVersions eine Richtlinie ein, um DSGVO-sensible Daten (GSD) als „sensible Daten“ zu behandeln, die durch die Ressourcen von TechVersions fließen, indem sie mit Tags versehen werden eingehende Daten ggf. mit einem geeigneten Tag versehen, um sie als GSD zu klassifizieren.
Der Datenschutz der betroffenen Personen und die Sicherheit von Informationen im Zusammenhang mit dem Datenschutz in Bezug auf die mit GSD gekennzeichneten Daten werden bei der Gestaltung der Unterstützungsstruktur berücksichtigt.
Obwohl Daten an bestimmten Standorten verarbeitet werden und sich die technische Infrastruktur für die Verarbeitung von GSD an diesen festgelegten Standorten befindet, wurde ein DSGVO-Bewusstsein auf Unternehmensebene geschaffen und wird weiterhin verfolgt, sodass die Grundsätze dieses DSGVO-Verhaltenskodex auf das gesamte Unternehmen durchdringen Organisation, die über die GSD-Verarbeitung hinausgeht und auch die Marketing-, Finanz- und Verwaltungsfunktionen umfasst, die an verschiedenen Standorten mit eigener technischer und administrativer Infrastruktur angesiedelt sein können.
Um die Sicherheit für die gesamte Datenverarbeitungsinfrastruktur effektiv umzusetzen, hat das Unternehmen eine umfassende Informationssicherheitsrichtlinie verabschiedet, die mehrere Unterrichtlinien in Bezug auf Datenzugriff, Verarbeitungsspeicherung, Übertragung usw. umfasst.
Datenschutzverpflichtung
TechVersions erkennt an, dass „Privatsphäre“ ein wichtiges demokratisches Recht in der Zivilgesellschaft ist. Als verantwortungsbewusstes Unternehmen verpflichtet sich TechVersions zum Schutz der Privatsphäre aller natürlichen Personen, deren personenbezogene Daten zur Verarbeitung in den Unternehmensdatenspeicher gelangen.
Angesichts der Präsenz von Kunden in der EU/im Vereinigten Königreich und der Überwachung der Aktivitäten von Unternehmensmitarbeitern mit Wohnsitz in der EU/im Vereinigten Königreich hat sich TechVersions für die Einführung von DSGVO-Compliance-Standards zum Schutz der Privatsphäre natürlicher Personen entschieden, die möglicherweise mit der Gruppe interagieren auch wenn eine solche Interaktion nur in ihrer Eigenschaft als Mitarbeiter verschiedener Geschäftseinheiten stattfindet, die die Geschäftsziele ihrer jeweiligen Geschäftsorganisation verfolgen.
Berechtigtes Interesse
Die Kernaktivität von TechVersions umfasst die Verarbeitung von Daten im Zusammenhang mit dem Kauf verschiedener Produkte für den Unternehmensgebrauch. Das Tätigkeitsspektrum umfasst Sammlung, Aggregation, Analyse, Segmentierung und Absichtsüberwachung. Im Rahmen dieser Verarbeitung wertet TechVersions die aus der Geschäftsumgebung gesammelten Rohdaten auf und wandelt sie in wertschöpfende Informationen zur Geschäftsentscheidung um.
Die erfassten Rohdaten gelten als Daten der betroffenen Person und gelten für die Rechte der betroffenen Person gemäß DSGVO. Der Mehrwert für die Daten, der während des Prozesses entsteht, ergibt sich aus den proprietären Datenverarbeitungsfunktionen von TechVersions, auf die TechVersions einen bestimmten Anspruch an geistigen Eigentumsrechten hat.
Wenn Daten pseudonymisiert wurden, gelten die wertschöpfenden pseudonymisierten Daten als Daten, an deren Verwendung TechVersions ein berechtigtes Interesse für weitere Forschungszwecke hat. Nicht pseudonymisierte Daten unterliegen auch im Mehrwertzustand der Ausübung der Rechte der betroffenen Person wie Zugriff, Berichtigung, Einschränkung, Portabilität und Löschung. Etwaige pseudonymisierte Daten werden nicht als DSGVO-sensibel eingestuft.
TechVersions hat gemäß Artikel 6 Absatz 1 Buchstabe f der EU-DSGVO ein berechtigtes Geschäftsinteresse an der Erhebung und Verarbeitung geschäftsbezogener Daten wie Firmografien und Geschäftskontaktdaten von Entscheidungsträgern in den Geschäftseinheiten
Darüber hinaus umfasst das Geschäft von TechVersions Tätigkeiten innerhalb und außerhalb von EU-Ländern und unterliegt daher den gesetzlichen Verpflichtungen verschiedener Länder in Bezug auf die Datenverarbeitung sowie anderen Gesetzen, die für Unternehmen im Allgemeinen und IT-bezogene Aktivitäten im Besonderen gelten, wie in Artikel 6 vorgesehen (1)(c) der EU-DSGVO.
Darüber hinaus hat TechVersions Geschäftspraktiken für eine rechtmäßige Verarbeitung eingeführt, die die in Artikel 6 dargelegten Grundsätze der EU-DSGVO einbeziehen, einschließlich der Einholung einer ausdrücklichen Einwilligung nach Aufklärung, sofern erforderlich, und der Einhaltung der Anforderungen vertraglicher Verpflichtungen mit den betroffenen Personen, sofern vorhanden.
Die Richtlinien von TechVersions zu Privatsphäre und Datenschutz sind daher mit spezifischen Datenschutz- und Informationssicherheitskontrollen strukturiert, die sich mit der Frage der Identifizierung sensibler DSGVO-Daten in der Phase ihrer Entstehung und Eingabe in das TechVersions-System und deren Kennzeichnung während ihres gesamten Verarbeitungslebenszyklus befassen.
Erweiterung des Compliance-Bereichs auf das Datenverarbeitungs-Ökosystem
Darüber hinaus werden unter Wahrung der gesetzgeberischen Absicht, das in der EU-DSGVO zum Ausdruck gebrachte Grundrecht auf Privatsphäre des Einzelnen zu schützen, geeignete technische und organisatorische/administrative Kontrollen aufrechterhalten, um sicherzustellen, dass alle nachgelagerten Geschäftspartner, die möglicherweise Zugriff auf sensible Daten der DSGVO haben, zur Verarbeitung im Namen von TechVersions sind außerdem DSGVO-konform.
TechVersions erkennt an, dass es in den meisten Teilen seiner Geschäftstätigkeit kein „Datenverantwortlicher“, sondern ein „Datenverarbeiter“ im Sinne der DSGVO ist. Es kann die Rolle eines „gemeinsamen Verantwortlichen“ übernehmen, wenn es für einen Teil seiner Verarbeitung die Dienste von Subunternehmern in Anspruch nimmt.
Unter Berücksichtigung dieser Rollen sind die Richtlinien und Kontrollen von TechVersions so strukturiert, dass sie die DSGVO-Konformität gewährleisten. Dazu gehört auch die Aufrechterhaltung geeigneter technischer und organisatorischer/administrativer Kontrollen, um sich ordnungsgemäß über die DSGVO-Compliance-Aktivitäten seiner Geschäftspartner zu informieren und ihnen auch die eigene DSGVO-Compliance von TechVersions mitzuteilen gegebenenfalls erforderliche Maßnahmen.
Einschränkungen dieses Dokuments
Die folgenden Absätze stellen die übergeordnete Richtlinie von TechVersions für die Einhaltung der DSGVO auf Unternehmensebene dar und verdeutlichen den Ansatz von TechVersions zur Erreichung eines zufriedenstellenden Niveaus der Einhaltung der DSGVO-Grundsätze in seinen Betrieben.
Dieses Richtliniendokument ist für die begrenzte Weitergabe an Interessengruppen, einschließlich Unternehmen außerhalb von TechVersions, gedacht und schließt daher geschützte Informationen über die Verarbeitung aus, wenn dies für den Schutz des geistigen Eigentums der Organisation unerlässlich ist.
Alle Anfragen zur Offenlegung von Informationen, die über die hier genannten hinausgehen, werden im Rahmen der Datenoffenlegungsrichtlinie von TechVersions bearbeitet und solche Anfragen können über eine nicht seriöse authentifizierte E-Mail an den Datenschutzmanager gerichtet werden.
Teil B: Spezifische Richtlinienumrisse
- Zugewiesene Verantwortung
TechVersions hat einen Datenschutzbeauftragten benannt, der als Ansprechpartner für die Bearbeitung aller Anfragen und Beschwerden betroffener Personen fungiert. In Anbetracht des derzeitigen Risikos, dem DSGVO-sensible Daten in TechVersions ausgesetzt sind, wird davon ausgegangen, dass die Kerntätigkeit von TechVersions weder eine groß angelegte und systematische Überwachung von EU-Datensubjekten noch das Anbieten von Dienstleistungen für Einzelpersonen in der EU umfasst und dies daher auch der Fall ist Es besteht keine Verpflichtung zur Benennung eines „Datenschutzbeauftragten“, wie in der DSGVO vorgesehen.
Ein Information Security Governance Committee (ISGC) wird die Gesamtverantwortung für die Informationssicherheit einschließlich der Einhaltung der DSGVO übernehmen. Es wird das oberste politische Entscheidungsgremium von TechVersions sein, das für die Festlegung aller Richtlinien zur Informationssicherheit, einschließlich der DSGVO-Richtlinien, verantwortlich ist und die Notwendigkeit überwacht, zu gegebener Zeit eine Person oder einen Berater zum Datenschutzbeauftragten zu ernennen.
- Datenklassifizierung
TechVersions betreibt kein Marketing gegenüber einzelnen natürlichen Personen und erhebt daher normalerweise keine personenbezogenen Daten, die unter die gesetzlichen Bestimmungen der DSGVO fallen. Allerdings werden alle potenziell identifizierbaren personenbezogenen Daten wie E-Mail-Adresse und Telefonnummer eines Mitarbeiters einer Organisation als „DSGVO-sensibel“ eingestuft, wenn die Geschäftseinheit oder der Mitarbeiter bekanntermaßen in der EU/im Vereinigten Königreich ansässig ist.
Dementsprechend wird der gesamte Geschäftskontaktdatensatz, der mit einer physischen Standortadresse in der EU/im Vereinigten Königreich verknüpft ist, als DSGVO-sensible Daten (GSD) identifiziert und bei der weiteren Verarbeitung innerhalb der Organisation gekennzeichnet.
Liegen keine Informationen zum physischen Standort der betroffenen Person vor, würde der physische Standort der zugehörigen Unternehmensorganisation als relevant angesehen.
- Datenprüfung
Einmal vor dem 25. Mai 2018 und danach in monatlichen Abständen oder wie vom ISGC anderweitig festgelegt, werden gespeicherte Datensätze überprüft, um etwaige GSD zu lokalisieren und die damit verbundenen Compliance-Anforderungen zu überprüfen, z. B. ob die Daten archiviert, gelöscht oder anderweitig speziell festgelegt werden müssen gesichert.
Jeder GSD-Datensatz, dem keine entsprechende „Einwilligung“ oder „Berechtigungserklärung“ beiliegt, wird zur Löschung empfohlen.
Nach Bestätigung werden diese Daten forensisch gelöscht.
- DSGVO-Folgenabschätzung
Vor dem 25. Mai 2018 wurde eine DSGVO-Lückenbewertung durchgeführt und die erforderlichen Korrekturmaßnahmen wurden umgesetzt. Nach dem 25. Mai 2018 wird eine Datenschutz-Folgenabschätzung (DPIA) durchgeführt, wann immer ein bedeutendes neues Projekt durchgeführt wird, wenn das ISGC dies feststellt Notwendigkeit.
- Richtlinie zur Annahme neuer Unternehmen
Ab dem 25. Mai 2018 unterliegen völlig neue Geschäftsverpflichtungen, die die Verarbeitung von Daten beinhalten, der Genehmigung des ISGC mit einem spezifischen Hinweis zur DSGVO-Folgenabschätzung, der vom DPO in Absprache mit dem für die Verarbeitung zuständigen technischen Team eingereicht wird.
- GSD-Datenspeicherrichtlinie
GSD werden in Systemen gespeichert, auf die nur bestimmte Personen nach dem strikten „Need-To-Know-Prinzip“ zugreifen können.
Jeder GSD-Satz muss mit dem Datenverantwortlichen gekennzeichnet sein, von dem er stammt und der für die Datenerfassung im Rahmen der Einwilligung oder des Vertrags verantwortlich ist.
Alle mit einem solchen Datensatz verbundenen spezifischen Einschränkungen müssen ebenfalls mit dem Datensatz gekennzeichnet werden.
Die Datenspeicherung ermöglicht die Lokalisierung und Verarbeitung einzelner Datensätze für die Ausübung der Rechte einer betroffenen Person, wie z. B. Antrag auf Datenberichtigung, Datenübertragbarkeit, Datenlöschung oder Datenzugriff, jederzeit während ihres Lebenszyklus.
- GSD-Datenzugriffsrichtlinie
Der Zugriff auf GSD erfolgt gemäß der Zugriffskontrollrichtlinie, die sicherstellt, dass jeder GSD-Datensatz über spezifische Zugriffsparameter verfügt, die definieren, wer auf die Daten zugreifen kann und wie er auf die Daten zugreift. Nur diejenigen, die als GSD-Arbeitskräfte ausgewiesen sind, dürfen auf den GSD-Datensatz zugreifen.
Die Verwendung von Zugriffsparametern wie Passwörtern muss mit einem erforderlichen Maß an Komplexität und Eindeutigkeit definiert und durch Verschlüsselung und Maschinen-ID-Tags ergänzt werden, sodass auf GSD-Daten nur von spezifischer Hardware aus zugegriffen werden kann, die den autorisierten GSD-Mitarbeitern zugewiesen ist.
Wenn die Datenspeicherung in der Cloud erfolgt, dürfen nur DSGVO-konforme Cloud-Dienste verwendet werden, zusammen mit zusätzlichen Kontrollen, die möglicherweise erforderlich sind, um sicherzustellen, dass die Daten bei der Speicherung und Übertragung vor unbefugtem Zugriff geschützt sind.
Projektspezifische GSD müssen so gespeichert werden, dass nur mit einem bestimmten Projekt verbundene Mitarbeiter Zugriff auf die Daten erhalten. Der projektübergreifende Zugriff ist bedarfsgerecht zu regeln.
- GSD-Richtlinie zur Datenaufbewahrung
GSD dürfen in einer aktiven Prozessumgebung nur für den Mindestzeitraum aufbewahrt werden, für den sie für die Verarbeitung erforderlich sind. Danach werden die Daten gemäß den unter „berechtigtes Interesse“ genannten Anforderungen sicher archiviert, beispielsweise bis zum Abschluss des Projektabrechnungszyklus.
Anschließend werden die Daten gemäß den festgestellten berechtigten Interessen des Unternehmens weiterhin sicher archiviert oder vernichtet.
Es wird eine monatliche Überprüfung der archivierten Daten durchgeführt, um nicht mehr benötigte Daten zu identifizieren, die zur Entsorgungsanweisungen an ISGC weitergeleitet werden müssen.
Bei der Interessenabwägung sind gesetzliche Pflichten zur Datenaufbewahrung zu berücksichtigen, die sich aufgrund sich überschneidender Rechtsvorschriften ergeben können.
- GSD-Datenoffenlegungsrichtlinie
Anfragen zur Offenlegung von GSD werden normalerweise nur vom Quelldatenverantwortlichen entgegengenommen.
Es wird anerkannt, dass Anfragen, die direkt von den betroffenen Personen eingehen, einem Phishing-Risiko unterliegen und solche Anfragen, falls vorhanden, an den entsprechenden Datenverantwortlichen weitergeleitet werden müssen, der die Daten von der betroffenen Person im Rahmen einer zwischen ihnen bestehenden Einwilligung oder eines Vertrags erfasst hat.
Die offenzulegenden Daten werden nur an den Datenverantwortlichen zur Weiterleitung an die betroffene Person übermittelt, nachdem die Identität des Vertreters des Datenverantwortlichen, der die Anfrage stellt, ordnungsgemäß authentifiziert wurde.
In Ausnahmefällen, in denen Daten direkt entweder an eine betroffene Person oder ihren Bevollmächtigten oder an eine Strafverfolgungsbehörde weitergegeben werden müssen, muss eine angemessene Authentifizierung der Identität der Person, die den Antrag gestellt hat, sichergestellt werden.
Alle Datenoffenlegungsanfragen müssen vor der Freigabe der Daten vom ISGC genehmigt werden, und die Anfrage sowie die Bewertungsdokumente gelten als erforderliche DSGVO-Konformitätsdokumentation.
- Richtlinie zur Verwaltung von GSD-Datenvorfällen
Ein „Vorfall“ im Sinne dieses Kodex ist jede Beobachtung, die möglicherweise darauf hindeutet, dass gegen den GSD-Compliance-Kodex oder die darin enthaltenen Richtlinien oder Verfahren verstoßen wurde, unabhängig davon, ob der Verdacht besteht, dass Daten kompromittiert wurden oder nicht.
Eine Whistleblower-Richtlinie kann verwendet werden, um sicherzustellen, dass Vorfälle von jedem Beobachter innerhalb oder außerhalb des Unternehmens unverzüglich gemeldet werden.
Jeder derartige Vorfall, der TechVersions bekannt wird, wird in einem GSD-Vorfallmanagementregister protokolliert und zur sofortigen Reaktion an den Datenschutzbeauftragten weitergeleitet.
Der Datenschutzbeauftragte prüft den Vorfallbericht und ergreift unverzüglich Maßnahmen zur Lösung des Vorfalls und meldet den Vorfall auch dem ISGC.
Das ISGC wird umgehend eine Sitzung einberufen und den Vorfall bewerten, um festzustellen, ob es sich um einen Verdacht auf eine Datenschutzverletzung handelt. Bei Bedarf kann ISGC ein sofortiges technisches Rechtsaudit zur Risikobewertung des Vorfalls anordnen. Auf der Grundlage der Risikobewertung entscheidet ISGC über die Notwendigkeit weiterer Maßnahmen, einschließlich der Übermittlung einer Benachrichtigung über Datenschutzverletzungen an den mit den Daten verbundenen Datenverantwortlichen.
Ein Vorfall, bei dem ein anderer Mitarbeiter der Organisation auf GSD zugegriffen hat, gilt als Sicherheitsvorfall und nicht unbedingt als „Verstoß“. Bei solchen Vorfällen muss jedoch die Ursache des unbefugten Zugriffs untersucht werden. Wenn es sich um einen unbeabsichtigten versehentlichen Zugriff handelt, kann dieser durch eine geeignete interne Disziplinarmaßnahme gemäß der Personalpolitik behoben werden. Wenn die Daten nicht verschoben wurden oder von einem Außenstehenden nicht abgerufen wurden, kann der Vorfall als interner Datenunfall eingestuft werden, der keinen Verstoß darstellt.
Für den Fall, dass der Zugriff oder die übertragenen Daten bekanntermaßen in verschlüsselter Form erfolgten und sich in einem Zustand befanden, in dem sie für den Empfänger nicht entschlüsselbar waren, kann der Zugriff vorbehaltlich einer geeigneten internen Untersuchung hinsichtlich der Sicherheit des zugehörigen Entschlüsselungsschlüssels klassifiziert werden als interner Datenunfall, der keinen Verstoß darstellt.
- GSD-Richtlinie zur Benachrichtigung über Datenschutzverletzungen
Ein „Datenverstoß“ ist ein Vorfall, bei dem TechVersions nach einer notwendigen Untersuchung zu der Erkenntnis gelangt ist, dass der Zugriff auf einen bestimmten Datensatz unter GSD gefährdet wurde und eine externe Instanz gekommen ist, um auf einen GSD-Satz zuzugreifen oder ihn zu versenden.
Ein solcher Vorfall einer Datenschutzverletzung ist unverzüglich dem ISGC zu melden, das unverzüglich den mit dem Datensatz verbundenen Datenverantwortlichen unter Angabe relevanter Einzelheiten des Vorfalls benachrichtigt.
In einem solchen Bericht sind Art und Umfang des Verstoßes, Zeitpunkt und Datum des Verstoßes, Angaben zu den betroffenen Personen, Maßnahmen, die bei Feststellung des Verstoßes ergriffen wurden usw. anzugeben. Gegebenenfalls kann der Verstoß auch an a gemeldet werden Aufsichtsbehörde.
- Richtlinie zur Rechteverwaltung von GSD-Datensubjekten
Das Datenverarbeitungssystem von TechVersion hat „Privacy and Security by Design“ integriert, um die Einhaltung der DSGVO-Anforderungen zu ermöglichen, insbesondere im Hinblick auf die Rechte der betroffenen Person gemäß DSGVO.
Um diese Rechte der betroffenen Person wie „Zugriff“, „Berichtigung“, „Löschung“, „Übertragbarkeit“ und das Recht, „Einschränkungen“ aufzuerlegen, zu erfüllen, hat TechVersions seine GSD-Speicher- und Zugriffssysteme so aktiviert, dass a Der Datensatz einer bestimmten betroffenen Person kann separat extrahiert und verarbeitet werden.
Das System wurde daher so konzipiert, dass es den strengsten Anforderungen der DSGVO entspricht.
Wenn von einer betroffenen Person eine Anfrage zur Ausübung dieser Rechte gemäß der Datenoffenlegungsrichtlinie eingeht, wird die Anfrage zunächst validiert und dann, falls die Daten von einem Datenverantwortlichen empfangen wurden, wird der Datenverantwortliche aufgefordert, dies zu bestätigen Offenlegung von Daten.
Normalerweise wird die Anfrage in Kommunikation mit dem Datenverantwortlichen verarbeitet und im Falle einer Portierung an den Datenverantwortlichen zurückgesendet.
In Ausnahmefällen, in denen TechVersions die Anfrage einer betroffenen Person ohne Mitwirkung des Datenverantwortlichen bearbeiten muss, werden geeignete Vorkehrungen getroffen, um eine unrechtmäßige Offenlegung zu verhindern, da es im berechtigten Interesse von TechVersions liegt, von einer möglichen unrechtmäßigen Offenlegung entschädigt zu werden .
- GSD-Datenübermittlungsrichtlinie
GSD-Daten können normalerweise über eine Anwendungsschnittstelle (API) in das System einfließen. Der Zugriff auf die Schnittstelle erfolgt über ein sicheres Passwort-Zugriffssystem, ergänzt durch eine geeignete Zweitfaktor-Authentifizierung, bei der ein erhebliches GSD-Risiko festgestellt wird.
Die Datenübertragung erfolgt auf Verschlüsselungsbasis vorbehaltlich der Überwachung der Übertragungssicherheit, die bekannte Schwachstellen abdeckt.
Die Anwendung selbst sowie ihre inhärenten Speicher- und Verarbeitungselemente und die API werden durch ein geeignetes Malware- und sicheres Zugriffsverwaltungssystem vor unbefugtem Zugriff und böswilligen Angriffen geschützt
Wenn der GSD-Satz auch an den Kunden oder Subunternehmer übermittelt wird, erfolgt die Übertragung über verschlüsselte Kommunikationskanäle, entweder über eine API oder eine verschlüsselte E-Mail.
- GSD-Marketing-Nutzungsrichtlinie
Wenn TechVersions GSD für Marketingzwecke per E-Mail, Telefonanruf oder auf andere Weise nutzt, wird darauf geachtet, dass eine entsprechende Einwilligung oder ein Vertrag zur Ermöglichung einer solchen Kommunikation vorliegt.
TechVersions besteht außerdem darauf, dass seine Partner, sowohl Lead-Generatoren, Subunternehmer als auch Kunden, die GSD nur im Rahmen der verfügbaren Berechtigungen verwenden.
Liegt keine eindeutige Einwilligung vor, werden von den Lead-Generatoren keine geschäftlichen Kontaktdaten erhoben und auch nicht an die Kunden weitergegeben oder durch die Subunternehmer verarbeitet.
Solche Daten werden zunächst gelöscht, wenn sie in das TechVersions-System gelangen, und als „GSD ohne ordnungsgemäße Verarbeitungsgenehmigung“ identifiziert.
- GSD-Einwilligungsrichtlinie
Alle Informationen, die aufgrund der Tatsache, dass die betroffene Person in der EU/im Vereinigten Königreich ansässig ist oder deren Arbeitgeber in der EU/im Vereinigten Königreich ansässig ist, als GSD eingestuft sind, werden nur akzeptiert, wenn die betroffene Person eine ausdrückliche Einwilligung auf der Grundlage des in der DSGVO vorgeschriebenen Formats erteilt hat.
Im Szenario vor der DSGVO wurden solche Einwilligungen im Allgemeinen nach den Grundsätzen der Verarbeitung personenbezogener Daten eingeholt, zu denen auch eine Datenschutzerklärung gehörte. In dieser Datenschutzerklärung wurde angegeben, welche Informationen erfasst wurden, zu welchem Zweck sie erfasst wurden, wie lange sie aufbewahrt werden, wie sie gesichert werden, ob die Informationen korrekt sind, ob sie zur Verarbeitung aus der EU übertragen werden usw. Einige Einwilligungen basierten standardmäßig auf dem „Opt-in“-Prinzip.
Nach der DSGVO ist es wichtig, dass personenbezogene Daten nur auf der Grundlage einer ausdrücklichen Einwilligung erfasst werden, wobei „Opt-Out“ die Standardoption ist, und dass die Einwilligung nur auf der Grundlage einer bestätigenden Handlung, die die Zustimmung anzeigt, akzeptiert wird.
Darüber hinaus sollte die Datenschutzerklärung auch darauf hinweisen, dass die betroffene Person bestimmte Rechte hat, wie z. B. „Recht auf Auskunft über die Identität nachgelagerter Auftragsverarbeiter“, „Recht auf Zugang und Berichtigung“ und „Recht auf Portabilität und Löschung“.
Angesichts der neuen Anforderungen gelten alle im Vor-DSGVO-Format eingeholten Einwilligungen als ungültig und solche Daten würden von TechVersions verworfen.
Externe Herausgeber, die Leads für TechVersions generieren, müssen in ihren Verträgen bestätigen, dass sie nur Leads bereitstellen, die mit der neuen Einwilligungsform generiert wurden, wenn die betroffene Person in der EU/im Vereinigten Königreich ansässig ist.
- GSD-Stakeholder-Kommunikationsrichtlinie
TechVersions arbeitet über viele externe Organisationen, die am DSGVO-Compliance-Programm von TechVersions beteiligt sind. Zu diesen Organisationen gehören Kunden, Lead-Generatoren, Subunternehmer usw.
Für eine wirksame Einhaltung sollten bei der Kommunikation mit den Beteiligten keine GSD-Daten ausgetauscht werden, außer durch sichere Übertragung und nur an autorisierte Vertreter.
Während die Kommunikation über die API durch die Zugriffsrichtlinie gesteuert wird, sollte jede andere Kommunikation per E-Mail durch eine E-Mail-Kommunikationsrichtlinie gesteuert werden.
Im Wesentlichen muss eine E-Mail-Kommunikationsrichtlinie festlegen, dass die Weitergabe von GSD- oder DSGVO-Compliance-Informationen an einen Stakeholder nur über eine benachrichtigte Kontakt-E-Mail-Adresse erfolgen darf, bei der es sich in den meisten Fällen um den Datenschutzbeauftragten der anderen Organisation handelt. Bei Bedarf kann die E-Mail-Kommunikation verschlüsselt und authentifiziert werden mit digitaler Signatur.
- GSD-Richtlinie zur Identifizierung berechtigter Interessen
TechVersions erkennt an, dass bestimmte Rechte der betroffenen Personen wie Datenlöschung oder Datenberichtigung im Widerspruch zu den berechtigten Interessen von TechVersions stehen könnten oder im Widerspruch zu den Gesetzen zur Datenaufbewahrung stehen könnten, die im Hinblick auf andere gesetzliche Verpflichtungen ansonsten für die Daten gelten könnten .
In allen Fällen, in denen die Rechte der betroffenen Person umgesetzt werden, prüft TechVersions die Anfrage, bevor weitere Maßnahmen ergriffen werden. Für den Fall, dass TechVersions die Notwendigkeit erkennt, die Anfrage abzulehnen oder sie zur Annahme zu ändern, werden die Gründe dokumentiert und vom ISGC wird ein GSD-Vermerk über berechtigte Interessen erstellt.
Sofern die Daten nicht aktiv sein müssen, können sie bis zum Erlöschen des berechtigten Interesses sicher archiviert werden.
Die Gründe für die Ausübung des berechtigten Interesses an der Bearbeitung der Anfrage der betroffenen Person werden dem für die betroffene Person verantwortlichen Verantwortlichen zur Weiterleitung an die betroffene Person mitgeteilt.
- GSD-Personalmanagementrichtlinie
GSD wird als ein Datensatz betrachtet, der im Hinblick auf die Informationssicherheit ausschließliche und besondere Aufmerksamkeit erfordert, während er sich in der Obhut von TechVersions befindet.
Daher würde GSD entsprechend gekennzeichnet und nach Bedarf von einer speziell geschulten Gruppe von Mitarbeitern verarbeitet werden.
Diese Mitarbeiter und die Systeme, in denen GSD gespeichert, abgerufen und verarbeitet würden, würden angesichts des mit GSD verbundenen Risikos sicher verwaltet.
Die Zuweisung von Personen zu dieser GSD-Verarbeitung und deren Entfernung müssen mit geeigneten Sicherheitsmaßnahmen verwaltet werden, darunter ein höheres Maß an Hintergrundüberprüfung, Schulung, physischen Zugangsidentitäten, Sanktionsrichtlinien usw.
Die Personalrichtlinien müssen bei Bedarf entsprechend für die GSD-Belegschaft aktualisiert werden.
- GSD-Pseudonymisierungsrichtlinie
Es ist anerkannt, dass Pseudonymisierung eine Strategie zur Reduzierung der Risiken bei der Verarbeitung von GSD ist.
Pseudonymisierte personenbezogene Daten gelten nicht als „personenbezogene Daten“ im Sinne der DSGVO-Verordnung, sofern der Pseudonymisierungsprozess angemessen strukturiert ist.
Angesichts des aktuellen Ausmaßes, in dem seine Geschäftstätigkeit den DSGVO-Risiken ausgesetzt ist; TechVersions hält es derzeit nicht für notwendig, Pseudonymisierung als Strategie zur Risikominderung einzusetzen.
- GSD DRP-BCP-Richtlinie
TechVersions ist sich der Bedeutung eines effektiven Notfallwiederherstellungs- und Geschäftskontinuitätsplans für seinen Betrieb bewusst, einschließlich der Vorgänge mit GSD-Verarbeitung.
TechVersions sorgt für eine angemessene Sicherung der GSD-Daten und ist in angemessener Weise in der Lage, die Geschäftskontinuität im Notfall aufrechtzuerhalten.
- GSD-Compliance-Dokumentationsrichtlinie
Die Maßnahmen zur Einhaltung der DSGVO sind zu dokumentieren, sodass sie zur Überprüfung verfügbar sind. Die Compliance-Dokumentation muss für einen Zeitraum von mindestens 6 Jahren ab ihrer Erstellung aufbewahrt werden.
Für den Fall, dass ein Dokument ein potenzieller Beweis für Anforderungen der Strafverfolgung oder zur Verteidigung des berechtigten Interesses von TechVersions ist, wird ein solches Dokument so lange aufbewahrt, wie die Anforderung fortbesteht.
- GSD-Prüfungsrichtlinie
Ein internes Sicherheitsprüfungsteam von TechVersions prüft mindestens einmal im Jahr die Informationsbestände von TechVersions, um das Sicherheitsniveau und die Einhaltung der DSGVO und anderer regulatorischer Anforderungen zu bewerten.
Externe Prüfungen können auf der Grundlage einer Beurteilung durch das ISGC in Betracht gezogen werden, wenn eine wesentliche Änderung des Geschäftsprofils eintritt.
TechVersions behält sich das Recht vor, eine Prüfung der Einrichtungen seiner Subunternehmer durchzuführen, um die Einhaltung der vertraglichen Verpflichtungen sicherzustellen.
TechVersions erkennt jedoch an, dass die Befugnis zur Prüfung der Einrichtungen eines Subunternehmers eine Ermächtigung darstellt und nur unter außergewöhnlichen Umständen genutzt werden darf. Dies mindert nicht die Verantwortung des Subunternehmers, die Compliance-Anforderungen gemäß den vertraglichen Zusicherungen einzuhalten.
- GSD-Beschwerdewiedergutmachungsrichtlinie
TechVersions stellt eine mehrstufige Richtlinie zur Beschwerdebehebung bereit, um etwaige Streitigkeiten mit betroffenen Personen beizulegen. Solche Beschwerden werden vom DPO auf der ersten Ebene, vom ISGC auf der zweiten Ebene und einem vom Vorstand zu diesem Zweck eingerichteten Online-Streitbeilegungsausschuss auf der dritten Ebene behandelt.
Alle Anfragen einer DSGVO-Aufsichtsbehörde werden vom Datenschutzbeauftragten bearbeitet und bei Bedarf an das ISGC weitergeleitet.
Etwaige Streitigkeiten mit den Kunden, Verlagen oder Subunternehmern werden gemäß den jeweiligen vertraglichen Vereinbarungen behandelt.
- Netzwerksicherheitsrichtlinie
Um sicherzustellen, dass die vom Unternehmen genutzte IT-Infrastruktur sicher ist, muss TechVersions eine strenge Informationssicherheitsrichtlinie einführen, die nach Bedarf Firewalls, Systeme zur Erkennung von Eindringlingen, Systeme zur Malware-Prävention und System-Patches usw. umfasst.
Ein benannter Informationssicherheitsmanager ist für die Aufrechterhaltung der Netzwerksicherheit verantwortlich.
PS: Dieser Kodex kann von Zeit zu Zeit überarbeitet werden.