Was ist GDPR

GDPR steht für General Data Protection Regulation und ist die neue Verordnung der Europäischen Union, die die Datenschutzrichtlinie und den UK Data Protection Act von 1998 ersetzen soll. Ziel der GDPR ist es, den EU-Bürgern mehr Kontrolle über ihre personenbezogenen Daten zu geben, strengere Bußgelder wegen Nichteinhaltung zu verlangen und die Unternehmen und ihre Verwendung personenbezogener Daten stärker zu kontrollieren.

Personenbezogene Daten beziehen sich auf alle Informationen über eine identifizierte oder identifizierbare natürliche Person. Eine identifizierbare natürliche Person ist eine Person, die direkt oder indirekt identifiziert werden kann, insbesondere durch Bezugnahme auf einen Identifikator wie einen Namen, eine Identifikationsnummer, Ortsdaten, einen Online-Identifikator oder auf einen oder mehrere Faktoren, die spezifisch für die physische, physiologische, genetische, geistige, wirtschaftliche, kulturelle oder soziale Identität dieser natürlichen Person sind.

Verarbeitung ist eine Reihe von Vorgängen, die an personenbezogenen Daten durchgeführt werden, unabhängig davon, ob sie automatisiert erfasst, organisiert, strukturiert, aufgezeichnet, gespeichert, angepasst oder geändert, abgerufen, konsultiert, verwendet, durch Übermittlung, Verbreitung oder anderweitige Bereitstellung, Ausrichtung oder Kombination, Einschränkung, Löschung oder Zerstörung. „Einschränkung der Verarbeitung“ ist die Kennzeichnung der gespeicherten personenbezogenen Daten mit dem Ziel, deren Verarbeitung in Zukunft einzuschränken.

Sensible Daten sind eine besondere Kategorie von personenbezogenen Daten (einschließlich personenbezogener Daten, die die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheitsdaten), für die zusätzliche Schutzmaßnahmen gelten.

Datenverantwortliche ist die zuständige Behörde, die allein oder zusammen mit anderen die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt, wenn die Zwecke und Mittel dieser Verarbeitung durch das Recht der Union oder des Mitgliedstaats bestimmt werden.

Datenverarbeiter ist eine natürliche oder juristische Person, Behörde, Agentur oder andere Stelle, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet.

Worin besteht der Unterschied zwischen einem Verantwortlichen und einem Bearbeiter? Ein Unternehmen, das mit personenbezogenen Daten arbeitet, wird entweder als Verantwortlicher oder als Bearbeiter tätig sein. Wenn der Controller die Daten selbst verarbeitet, gelten sie dennoch als Controller. So werden beispielsweise Online-Händler dieser Kategorie angehören (ebenso wie die meisten anderen Unternehmen).
Ein Prozessor ist eine Person außerhalb der Controller-Organisation, die die Daten im Namen des Controllers verarbeitet. Beispiele für typische Prozessorunternehmen sind Lohnbuchhalter, Buchhalter, Marktforschungsunternehmen und die meisten Cloud-Anbieter.

Wie bereitet sich Sales.Rocks auf GDPR vor?

Bei Sample Solutions BV und unserer Plattform Sales.Rocks glauben wir, dass GDPR ein wichtiger Meilenstein in der Datenschutz-Landschaft ist, und wir setzen uns für deren Einhaltung ein: Wir verwenden interne Technologien – wir verarbeiten öffentlich zugängliche Informationen, soweit dies nach geltendem Recht gesetzlich zulässig ist.

Durch die Verwendung von Big Data und die Zusammenführung eines Sampling Frames mit unstrukturierten Inhalten von Social Media Profilen, wie Bildern und Messenger Anwendungen, können zusätzliche Informationen mit Mobiltelefonnummern verknüpft werden, was eine genaue Zielgruppenansprache (Alter und Geschlecht) ermöglicht.

Laut GDPR liegt die Altersgruppe bei 16 Jahren. Sales.Rocks respektiert diese Regelung und sammelt nicht wissentlich personenbezogene Daten von Kindern, die unter 16 Jahre alt sind. Einige nationale Regulierungsbehörden können jedoch die Altersgruppe herabsetzen, jedoch nicht unter 13 Jahre.

Wir haben erhebliche Investitionen getätigt, um das Unternehmen auf die bevorstehende Frist zur Umsetzung der GDPR im Mai dieses Jahres vorzubereiten. Dies bedeutet, dass wir mit der Durchführung einer Datenschutzfolgenabschätzung begonnen haben, indem wir unsere Datenschutzvereinbarung aktualisiert, einen Datenschutzbeauftragten ernannt, eine GDPR-Task Force zusammengestellt und technische Ressourcen bereitgestellt haben, um die Plattform um zusätzliche GDPR Compliance Funktionen zu erweitern.

Wir haben sichergestellt, dass unser Datenschutzbeauftragter ordnungsgemäß und rechtzeitig in alle Fragen des Schutzes personenbezogener Daten einbezogen wird. Zu diesem Zweck berichtet der DSB an die obersten Führungsebenen und an den Vorstand.

• Unterrichtung und Beratung des für die Datenverarbeitung Verantwortlichen oder des Verarbeiters und aller Mitarbeiter, die die Datenverarbeitung durchführen, über ihre Verpflichtungen aus dieser Verordnung und anderen Datenschutzbestimmungen der Union oder der Mitgliedstaaten
• Überwachung der Einhaltung der GDPR
• Beratung bei Anfragen in Bezug auf die Folgenabschätzung für den Datenschutz und Überwachung ihrer Leistung
• Zusammenarbeit mit der Aufsichtsbehörde
• Als Kontaktstelle für die Aufsichtsbehörde in Fragen der Verarbeitung fungieren
Unsere sechsstufige Vorbereitung auf die GDPR Konformität

Das Gesetz verstehen
In unserem Unternehmen kennen wir unsere Verpflichtungen gegenüber GDPR, da sich unsere Arbeit auf die Verarbeitung, Sammlung und Speicherung von Daten bezieht. Wir streben stets nach Verbesserung durch die Organisation von Workshops, Schulungen und Audits, um unsere Mitarbeiter ständig über ihre Verpflichtungen zur sicheren und privaten Aufbewahrung der Daten unter Einhaltung der gesetzlichen Bestimmungen zu informieren.

Risikobeurteilung
Wir haben eine Liste erstellt, was für unser Unternehmen am wichtigsten ist und was der beste Weg ist, um die GDPR umzusetzen. Wir haben die Liste risikogerecht bewertet, unsere Risikobereitschaft anhand dieser Liste ermittelt unsere Roadmap, die darauf aufgebaut ist. GDPR und ISO 27001 schreiben vor, dass Unternehmen regelmäßig Risikobewertungen durchführen. Diese helfen uns, Bedrohungen und Schwachstellen zu identifizieren, die sich auf die Vermögenswerte des Unternehmens auswirken können, und geben uns die Informationen, die wir benötigen, um die Vertraulichkeit, Verfügbarkeit und Integrität der personenbezogenen Daten zu gewährleisten.

Roadmap für die Rechenschaftspflicht zum Nachweis der GDPR-Konformität
Unternehmen können dies tun, indem sie geeignete technische und organisatorische Maßnahmen ergreifen, um sicherzustellen, dass sie nachweisen können, dass die Verarbeitung personenbezogener Daten in Übereinstimmung mit der GDPR erfolgt. Wir haben geeignete technische und organisatorische Maßnahmen (TOMs) getroffen, um den Schutz personenbezogener Daten zu gewährleisten.

Wissen, welche Daten geregelt sind
Wir wissen, welche Daten reguliert sind, deshalb haben wir bereits festgelegt, welche Informationen unser Unternehmen besitzt und wo sie gespeichert sind. Da wir, um dies zu erreichen, eine klare Aufzeichnung der uns vorliegenden Kundeninformationen benötigen, haben wir klassifiziert, wer Zugang zu den Daten hat, wer die Daten weitergibt, wann auf sie zugegriffen wurde und welche Informationen verwendet wurden.

Gewährung des Zugangsrechts des Betroffenen
Die betroffenen Personen können sich mit uns in Verbindung setzen, um Informationen darüber zu erhalten, wie wir ihre Daten verarbeiten und welche Art von Daten wir speichern. Unser DSB ist dafür verantwortlich, der betroffenen Person Auskunft darüber zu erteilen, ob ihre personenbezogenen Daten verarbeitet werden oder nicht und in diesem Fall, welche personenbezogenen Daten verwendet werden.

Festlegung von Verfahren für die Reaktion auf die betroffenen Personen bei der Ausübung ihrer Rechte
Diese Anforderung gilt für alle Kommunikationen mit den betroffenen Personen und die für jede Art von Datenanfrage erforderlichen spezifischen Antworten, einschließlich Zugriff, Korrektur, Löschung, Verarbeitungsbeschränkungen, Einwände und Datenübertragbarkeit.