Datenschutz-Grundverordnung (GDPR)

GDPR (General Data Protection Regulation) ist eine Verordnung der Europäischen Union zum Schutz personenbezogener Daten und Unifikation der Regeln in diesem Bereich im Rahmen der EU, die mit Wirksamkeit ab 25. 5. 2018 durch das tschechische Gesetz Nr. 101//2000 Slg. zum Schutz personenbezogener Daten ersetzt werden soll, das in der Tschechischen Republik verbindlich und direkt anwendbar sein wird. Sie bezieht sich auf alle Subjekte verarbeitend Informationen über Naturpersonen  – EU-Staatsangehörigen, ohne Rücksicht auf ihre geographische Lokalität (Arbeitgeber, Lieferanten, Dienstleistungserbringer, Betreiber von Webseiten und E-Shops). Sie wird auch die öffentliche Hand (Banken, Versicherungsanstalten, Krankenhäuser) und kleine und mittlere Unternehmen betreffen.

Bedeutende Änderungen

·         selbst der Begriff „personenbezogene Daten“ wird präzisiert und es wird neu auch technische Angaben wie z.B. E-Mail-Adresse, IP-Adresse, Cookies-Dateien und sgn. genetische und biometrische Angaben einbeziehen.

·         neu werden die Bedingungen für die Einholung der Zustimmung der Verarbeitung datenbezogener Daten genau geregelt. Die Zustimmung muss ausdrücklich, eindeutig, unbedingt und jederzeit widerrufbar sein.

·         personenbezogene Daten dürfen nur in dem erforderlichen Umfang und nur auf eine  beschränkte Zeit verarbeitet werden. Während der ganzen Zeit der Verarbeitung  müssen die Subjekte fähig sein, das Maß und die Ebene der Sicherung belegen.

·         die sgn. Anzeigepflicht – die Pflicht, dem Amt für den Schutz personenbezogener Daten die Aufnahme jeder Verarbeitung personenbezogener Daten anzuzeigen;

Sanktionen

Für eine Nichterfüllung der Bedingung droht eine mehrfach höhere  Sanktion, die in einigen Fällen sogar zum Untergang des Unternehmens führen kann, und zwar bis auf 20.000.000 EUR (ca. 535 Millionen tschechische Kronen) oder 4% vom gesamten Jahresumsatz weltweit, je nachdem, welcher Wert höher liegt.

 

Neue Pflichten für Datenverantwortliche, für die Einhaltung deren der Datenverantwortliche verantwortlich ist

Zu Neuigkeiten gehören z.B. der prinzipielle Akzent auf Informationspflicht , das Recht auf Datenübertragbarkeit, das Recht vergessen zu werden, die Pflicht, für ausgewählte Verarbeitung die Datenschutzfolgenabschätzung (PIA=Privacy Impact Assessment) durchzuführen oder einen Beauftragter für den Datenschutz (Data Protection Officer = DPO) zu ernennen.

·         die Pflicht, jeden Verstoß gegen die Datensicherheit zu melden

Der Datenverantwortliche ist verpflichtet, ohne unnötigen Verzug der Aufsichtsbehörde jeden Verstoß gegen die Datensicherheit personenbezogener Daten spätestens binnen 72 Stunden zu melden, sobald ihm ein solcher Fall zur Kenntnis gelangt, es sei denn, dass kein Risiko eines Eingriffs in das Recht des Einzelnen auf Datenschutz vorliegt. Im Falle eines hohen Risikos für den Einzelnen ist es nötig, den Verstoß auch dem mit dem Verstoß betroffenen Subjekt zu melden.

·         die Pflicht , einen Beauftragten für den Datenschutz (Data Protection Officer, DPO) zu ernennen. Im Falle der Staatsverwaltung, Staatsunternehmen und Gesellschaften, die sich systematisch mit Naturpersonen-Monitoring beschäftigen (z.B. Behörden und öffentliche Hand, Gemeinden und Städte, Krankenhäuser und Privatkliniken, Versicherungsanstalten und Banken, Energieversorger) wird eine weitere Pflicht, und zwar die Pflicht einen Beauftragten für den Datenschutz  zu ernennen, begründet. Dieser soll die Übereinstimmung der Tätigkeiten dieser Subjekte mit der Verordnung beaufsichtigen, mit dem Amt für den Schutz personenbezogener Daten kommunizieren und interne Tätigkeiten, wie z.B. interne Prüfungen oder Schulungen durchführen.

 

Dienste im Zusammenhang mit der GDPR-Verordnung, die unsere Anwaltskanzlei leistet

 

·         Analyse des gegenwärtigen Zustands und der Bereitschaft für die GDPR-Verordnung, Entwurf erforderlicher Änderungen und Umsetzung der GDPR-Verordnung nach individuellen Bedürfnissen des Klienten

·         rechtliche Revisionen der Dokumente benutzt gegenüber betroffenen Personen, insbesondere Revisionen der Verträge mit Klienten, Einholung der Zustimmungen von betroffenen Personen, Informierung

·         Bearbeitung oder Revidierung interner Richtlinien bzw. sonstiger interner Dokumente der Klienten, die die Verarbeitung personenbezogener Daten regeln

·         obligatorische Konsultation mit der Aufsichtsbehörde bei bedeutenden Verarbeitungen personenbezogener Daten

·         innerbetriebliche Schulung der Belegschaft oder des Managements

·         Kontrolle der rechtlichen Instrumente, die zur Übermittlung der Daten ins Ausland benutzt werden